Este malware quiere robar tu cuenta VPN

Trickbot es un malware modular

Sin embargo, en noviembre, los investigadores de seguridad de Palo Alto Networks comenzaron a ver indicadores de que Trickbots & apos; El módulo de captura de contraseña había comenzado a apuntar a datos de aplicaciones OpenSSH y OpenVPN.

Cuando un host de Windows está infectado con Trickbot, descarga diferentes módulos para realizar diversas funciones. Los módulos en sí se almacenan en archivos binarios cifrados en el directorio AppData Roaming del sistema infectado y luego se decodifican como archivos DLL que se ejecutan desde la memoria del sistema.

• Bromium descubre un centro de distribución de malware con sede en EE. UU.
• Estas fueron las peores cepas de malware de 2020
• Consulte también el mejor software antimalware gratuito

Pwgrab64 es un capturador de contraseñas utilizado por Trickbot y este módulo.

Apuntando a OpenSSH y OpenVPN

Los patrones de tráfico de las infecciones recientes de Trickbot fueron bastante consistentes hasta noviembre, cuando Palo Alto Networks comenzó a ver dos nuevas solicitudes HTTP POST para claves privadas OpenSSH y contraseñas y configuraciones OpenVPN

Afortunadamente, estas actualizaciones del módulo de captura de contraseñas de Trickbot pueden no ser completamente funcionales aún en el tráfico proveniente del malware. Trickbot infecciones en entornos de laboratorio donde las solicitudes HTTP POST generadas por el capturador de contraseñas para OpenSSH y OpenVPN no contenían datos.

Sin embargo, el capturador de contraseñas de Trickbot realmente funciona y seguirá obteniendo contraseñas SSH y claves privadas de un cliente SSH / Telnet llamado PuTTY.

El truco continúa evolucionando, pero los usuarios pueden evitar ser víctimas de este malware mediante el parcheo completo y las versiones actualizadas de Microsoft Windows.