GETOVERX FORUM Community Support
TROYANO – TrickBot - Printable Version

+- GETOVERX FORUM Community Support (https://forum.getoverx.com)
+-- Forum: Malware Docs (https://forum.getoverx.com/forumdisplay.php?fid=12)
+--- Forum: Troyanos (Trojans) (https://forum.getoverx.com/forumdisplay.php?fid=15)
+--- Thread: TROYANO – TrickBot (/showthread.php?tid=42)

TROYANO – TrickBot - mrwebfeeder - 11-29-2025

Nombre: TrickBot

Categoría: Troyano bancario / Plataforma modular

Fecha de descubrimiento: En torno a 2016

Comportamiento (lo que hace y archivos que infecta):
- Nace como troyano bancario centrado en robar credenciales de banca en línea y otras credenciales financieras.
- Evoluciona a una plataforma modular capaz de:
- Robo de credenciales (navegadores, clientes de correo, VPN, RDP, etc.).
- Exfiltración de información de sistema, dominio y red.
- Movimiento lateral dentro del entorno corporativo.
- Descarga y ejecución de otros payloads (especialmente ransomware).
- Se distribuye principalmente mediante:
- Campañas de correo malicioso (malspam) con adjuntos o enlaces.
- Cadena de infección junto a otros malware (por ejemplo Emotet, Ryuk, Conti y otros actores).
- Funciones típicas:
- Inyección en navegadores para capturar credenciales bancarias.
- Enumeración de red (shares, dominios, controladores de dominio).
- Uso de credenciales robadas para propagarse a otros equipos.
- Descarga de módulos adicionales (DLL/EXE) desde infraestructura de mando y control (C2).
- Archivos afectados:
- Perfiles y datos de navegadores (cookies, sesiones, credenciales guardadas).
- Ficheros de configuración de aplicaciones con credenciales o tokens.
- Binarios auxiliares y DLLs colocados en rutas de sistema o de usuario.

Persistencia:
- Usa tareas programadas para ejecutarse de forma recurrente:
- Ejemplo: creación de tareas con nombres que imitan procesos legítimos o tareas del sistema.
- Modifica claves de Registro en rutas Run/RunOnce para ejecutar su binario en cada inicio de sesión.
- Puede instalar servicios adicionales o usar rutas en AppData con nombres que simulan software legítimo.
- En redes comprometidas:
- Mantiene presencia mediante movimiento lateral y despliegue de módulos en varios equipos; limpiar un solo host rara vez es suficiente.

Hash real de referencia (SHA-256):
Muestra pública asociada a TrickBot:
Code:
0fbf3f65f8c9db2bdd687ce916d3b8ce1eb4f24f666b0c844d05f200c3c0d892

Mitigación con GetOverX Shield v3.0.2.0 o superior:
  • Antivirus:
    - Realizar escaneo completo de todos los equipos sospechosos y de las unidades de red mapeadas.
    - Localizar y eliminar:
    - El binario principal de TrickBot.
    - Módulos adicionales (DLL/EXE) descargados por el troyano.
    - Prestar especial atención a:
    - Directorios de usuario (AppData, Local, Roaming).
    - Rutas de sistema donde se hayan creado binarios con nombres similares a procesos legítimos.
    - Repetir el escaneo tras la limpieza y antes de reconectar el equipo a la red.

  • Firewall:
    - Bloquear conexiones salientes hacia dominios e IPs asociadas a C2 de TrickBot o tráfico sospechoso persistente.
    - Restringir SMB, RDP y otros servicios de administración solo a orígenes/destinos legítimos para reducir movimiento lateral.
    - En hosts comprometidos:
    - Aislar temporalmente mediante reglas de firewall más restrictivas hasta concluir la remediación.

  • HIPS / EDR:
    - Crear reglas de detección para:
    - Actividad anómala de tareas programadas recién creadas que ejecutan binarios desconocidos.
    - Creación/modificación de claves de Registro Run/RunOnce apuntando a rutas no estándar.
    - Uso de procesos hijos que:
    - Enumeran red y dominio.
    - Ejecutan herramientas administrativas o de credenciales sin justificación.
    - Intentos de inyección en navegadores u otros procesos que manejan credenciales.
    - Definir respuesta automática:
    - Bloquear y matar procesos identificados como relacionados con TrickBot.
    - Marcar hashes y rutas como bloqueadas de forma persistente.
    - Registrar toda la actividad en los logs unificados para análisis posterior.

  • Sandbox:
    - Ejecutar en Sandbox:
    - Adjuntos de correo sospechosos.
    - Ejecutables recibidos por canales no confiables.
    - Observar si el archivo:
    - Establece conexiones a dominios/IPs desconocidos.
    - Crea tareas programadas o claves Run.
    - Descarga módulos adicionales o herramientas de red.

  • Post-incidente:
    - Forzar el cambio de credenciales:
    - Bancarias.
    - Cuentas administrativas (AD, servidores críticos, VPN, correo).
    - Revisar si se descargó y ejecutó ransomware u otros payloads posteriores:
    - Examinar logs de cifrado de archivos, borrado de copias de sombra, etc.
    - Analizar toda la red:
    - Identificar otros endpoints con indicios de TrickBot o módulos relacionados.
    - Realizar limpieza coordinada para evitar reinfecciones desde máquinas aún comprometidas.
    - Reforzar controles de correo y formación anti-phishing para reducir las probabilidades de nuevas infecciones en la misma organización.

Notas opcionales:
- TrickBot ha sido uno de los pilares del ecosistema de cibercrimen financiero y ransomware, frecuentemente utilizado junto con otras familias (Emotet, Ryuk, Conti) como parte de cadenas de ataque complejas en entornos corporativos.