Trickbot es un troyano que lleva existiendo desde 2016 y que los ciberdelincuentes suelen utilizar para distribuir ransomware u otro tipo de malware.
Los intentos anteriores de paralizar la red de bots Trickbot solo han tenido un éxito parcial, por lo que la red de bots sigue viva. Además, los atacantes intentan constantemente nuevos trucos para permitir que el malware persista en los sistemas infectados y mantener la comunicación con los servidores C2 sin interrupciones.
Su último truco consiste en obtener el control de los routers MikroTik -ya sea probando contraseñas por defecto, lanzando ataques de fuerza bruta o explotando vulnerabilidades existentes- y mantener el acceso cambiando la contraseña del dispositivo afectado.
Los routers comprometidos se utilizan entonces para crear una línea de comunicación entre el dispositivo infectado por Trickbot y los servidores C2 de Trickbot: los routers reciben el tráfico del dispositivo infectado a través del puerto 449, lo redirigen al puerto 80 y lo envían desde ese puerto al servidor de control (C2).
Para ayudar a los usuarios y organizaciones a descubrir si sus dispositivos MicroTik han sido comprometidos, los investigadores de Microsoft han publicado una herramienta forense de código abierto que permite buscar propiedades sospechosas y puntos débiles de seguridad que deben ser corregidos en el router. La podéis encontrar en el siguiente enlace.
También han delineado algunos pasos de detección y remediación que las organizaciones pueden tomar para limpiar los dispositivos infectados y los pasos que pueden tomar para prevenir futuras infecciones.
