Home Malware Truebot: guía completa

Malware Truebot: guía completa

El Centro Canadiense de Seguridad Cibernética (CCCS) y el Centro de Análisis e Intercambio de Información Multiestatal han advertido sobre variantes de malware TrueBot recientemente identificadas utilizadas contra organizaciones en los EE. UU. y Canadá. El impacto de un ataque Truebot puede ser severo y variado, involucrando el robo de datos confidenciales como información de identificación personal (PII), registros financieros o propiedad intelectual. Truebot también puede implementar cargas útiles de malware adicionales, como ransomware, para cifrar archivos críticos y extorsionar a la organización objetivo para que pague. CISA y sus socios han lanzado un conjuntoaviso de ciberseguridad sobre variantes de malware Trueboteso explica cómo se ha observado a Truebot en asociación con Raspberry Robin y cómo los ciberdelincuentes pueden obtener acceso inicial, así como la capacidad de moverse lateralmente dentro de la red comprometida.

Los expertos de SalvageData recomiendan medidas proactivas de seguridad de datos, como copias de seguridad periódicas, sólidas prácticas de ciberseguridad y mantener el software actualizado, para protegerse contra ataques de malware. Y,En caso de un ataque de malware, póngase en contacto con nuestroexpertos en recuperación de malwareinmediatamente.

¿Qué tipo de malware es Truebot?

Truebot puede identificarse como unmalware de botnetsy unTrojan.Downloader. Ha sido utilizado por grupos cibernéticos maliciosos como Cl0p Ransomware Gang para recopilar y exfiltrar información de sus víctimas objetivo. Es capaz de descargar y ejecutar cargas útiles adicionales, lo que lo convierte en un malware ideal para grupos IAB que desean colocar una puerta trasera en un sistema y realizar un reconocimiento básico de la red. El malware Truebot escanea el entorno comprometido en busca de herramientas de depuración y las enumera para evadir las defensas de la red. Para mantener su sigilo, el malware limita los datos que recopila y los sincroniza con los datos salientes de la organización y el tráfico de red.

¿Qué es un malware botnet?

Una botnet es una red de dispositivos conectados a Internet, como computadoras, servidores, dispositivos móviles y dispositivos de Internet de las cosas (IoT), que están infectados y controlados por malware. El malware infecta los dispositivos y crea un bot, que es controlado de forma remota por el atacante o el administrador de bots. El malware botnet generalmente busca dispositivos con puntos finales vulnerables a través de Internet, en lugar de apuntar a individuos, empresas o industrias específicas. El objetivo de crear una botnet es infectar tantos dispositivos conectados como sea posible y utilizar la potencia informática y la funcionalidad a gran escala de esos dispositivos para tareas automatizadas que generalmente permanecen ocultas para los usuarios de los dispositivos.

¿Qué es un Trojan.Downloader?

Trojan.Downloader es un tipo de malware troyano que descarga e instala otro software o archivos maliciosos en el dispositivo de la víctima sin su conocimiento o consentimiento. Los descargadores de troyanos pueden disfrazarse de software legítimo o útil, como una actualización de software o un juego, y a menudo se distribuyen como parte de la carga útil de otro programa dañino, como un cuentagotas de troyano. También se pueden distribuir como archivos disfrazados adjuntos a correos electrónicos no deseados, utilizando un programa que parezca legítimo o nombres de documentos, como "factura" o "cuentas.exe", como una forma simple de ingeniería social.

Leer más:¿Qué es el malware y cómo protegerse contra sus ataques?

Todo lo que sabemos sobre el malware Truebot

Nombre confirmado

  • virus verdadero robot

Tipo de amenaza

  • malware
  • troyano
  • Virus que roba contraseñas
  • malware bancario
  • software espía

Carga útil

  • Petirrojo frambuesa
  • Gracia defectuosa
  • Golpe de cobalto
  • ransomware cl0p,

Métodos de distribución

  • Ingeniería social
  • Phishing
  • Explotación de CVE-2022-31199
  • Publicidad maliciosa
  • Kits de explotación
  • Software pirateado

Consecuencias

  • Contraseñas e información bancaria robadas
  • robo de identidad
  • La computadora de la víctima se agrega a una botnet.

¿Cómo infecta el malware Truebot una máquina o red?

El malware, al igual que el ransomware, utiliza varias tácticas para infectar máquinas y sistemas, la mayoría de ellas aprovechando vulnerabilidades. Estos incluyen software sin parches y contraseñas débiles.

Ingeniería social

Los atacantes utilizan tácticas de ingeniería social para manipular a las personas para que compartan información que no deberían compartir, descarguen software que no deberían descargar, visiten sitios web que no deberían visitar, envíen dinero a delincuentes o cometan otros errores que comprometan su seguridad personal u organizacional.

Phishing

Históricamente, el malware Truebot se basó en correos electrónicos de phishing como método de entrega principal, engañando a los destinatarios para que hicieran clic en hipervínculos maliciosos u ocultando malware como notificaciones de actualización de software.

Explotación de vulnerabilidades CVE-2022-31199

El malware Truebot está explotando activamente CVE-2022-31199, una vulnerabilidad de ejecución remota de código en el componente de grabación de video de actividad del usuario de Netwrix Auditor que permite a un atacante remoto no autenticado ejecutar código arbitrario como usuario de NT AUTHORITYSYSTEM en los sistemas afectados, incluidos los sistemas que monitorea Netwrix Auditor. Los atacantes utilizan esta vulnerabilidad para ofrecer nuevas variantes de malware Truebot y recopilar y filtrar información de organizaciones en EE. UU. y Canadá.

Kits de publicidad maliciosa y exploits

La publicidad maliciosa es el uso de publicidad en línea, que parece legítima, para difundir malware. Los kits de explotación son software preempaquetado que se pueden utilizar para explotar vulnerabilidades en un sistema.

Software pirateado

Los atacantes pueden infectar software pirateado con malware y distribuirlo a través de sitios de torrents u otras plataformas para compartir archivos.

Métodos de ejecución del malware Truebot

El malware Truebot es un malware sofisticado que utiliza varios métodos para infectar sistemas y redes. El objetivo principal de una infección Truebot es extraer datos confidenciales de los hosts comprometidos para obtener ganancias financieras.

Recopilación de datos

Durante la primera etapa del proceso de ejecución de Truebot, verifica la versión actual del sistema operativo (SO) con RtlGetVersion y la arquitectura del procesador usando GetNativeSystemInfo. Durante la fase de ejecución de FlawedGrace, RAT almacena cargas útiles cifradas dentro del registro. La herramienta puede crear tareas programadas e inyectar cargas útiles en msiexec.exe y svchost.exe, que son procesos de comando que permiten a FlawedGrace establecer una conexión de comando y control (C2) a un servidor remoto, así como cargar bibliotecas de vínculos dinámicos (DLL) para lograr una escalada de privilegios. Varias horas después del acceso inicial, se ha observado a Truebot inyectando balizas Cobalt Strike en la memoria en modo inactivo durante las primeras horas antes de iniciar operaciones adicionales.

Evasión de descubrimiento y defensa

Después de las comprobaciones iniciales de la información del sistema, Truebot puede enumerar todos los procesos en ejecución, recopilar datos confidenciales del host local y enviar estos datos a una cadena de datos codificada que se describe a continuación para su ejecución en la segunda etapa. Basado en IOC, Truebot también puede descubrir protocolos de seguridad de software y métricas de tiempo del sistema, lo que ayuda en la evasión de defensa, además de permitir la sincronización con el reloj interno del sistema comprometido para facilitar la programación de tareas. Los desarrolladores de Truebot emplean técnicas sofisticadas para evadir la detección por parte de la seguridad tradicional. soluciones. Utilizan varios métodos para disfrazar el malware dentro de formatos de archivos legítimos, lo que dificulta que los sistemas de seguridad lo identifiquen y bloqueen. Además, Truebot emplea métodos de codificación y cifrado para ofuscar sus actividades, lo que dificulta que los analistas de seguridad analicen y detecten sus actividades maliciosas.

Exfiltración de datos

Truebot estableció una conexión utilizando un identificador único global (GUID) recién generado y un segundo dominio ofuscado para recibir cargas útiles adicionales, autorreplicarse en todo el entorno y/o eliminar archivos utilizados en sus operaciones. El malware Truebot puede descargar módulos maliciosos adicionales, cargar código de shell e implementar varias herramientas para navegar sigilosamente en una red infectada.

Indicadores de compromiso (IOC) de malware Truebot

La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) ha emitido una advertencia de que múltiples grupos de actores de amenazas están utilizando nuevas variantes de malware Truebot en ataques contra organizaciones en los EE. UU. y Canadá. El aviso contiene indicadores de compromiso (IOC) que las organizaciones pueden utilizar para identificar la actividad de Truebot dentro de su entorno. Las organizaciones que identifiquen IOC dentro de su entorno deben aplicar urgentemente las respuestas a incidentes y las medidas de mitigación detalladas en el aviso e informar la intrusión a CISA o al FBI. Algunas de las IOC que las empresas deben tener en cuenta son:

  • Registrante– Administrador del servicio de proxy de dominio GKG[.]NET
  • IP– 193.3.19[.]173 (Rusia)
  • Dominio– https://corporacionhardsoft[.]com/images/2/Document_16654.exe
  • Hash MD5– 6164e9d297d29aa8682971259da06848
  • Archivo– Document_may_24_16654[.]exe
  • Archivo– C:IntelRuntimeBroker[.]exe
  • Archivo– Documento_16654[.]exe

Cómo manejar un ataque de malware Truebot

El primer paso para recuperarse de un ataque Truebot es aislar la computadora infectada desconectándola de Internet y eliminando cualquier dispositivo conectado. Luego, debes contactar a las autoridades locales. En el caso de los residentes y empresas estadounidenses, son el FBI y elCentro de denuncias de delitos en Internet (IC3).Para informar un ataque de malware, debe recopilar toda la información que pueda al respecto, incluida:

  • Capturas de pantalla de la nota de rescate
  • Comunicaciones con actores de amenazas (si los tiene)
  • Una muestra de un archivo cifrado

Sin embargo, si prefierescontactar profesionales, entonces no hagas nada.Deje cada máquina infectada como estáy pide unservicio de eliminación de ransomware de emergencia. Reiniciar o apagar el sistema puede comprometer el servicio de recuperación. Capturar la RAM de un sistema activo puede ayudar a obtener la clave de cifrado, y capturar un archivo dropper, es decir, un archivo que ejecuta la carga maliciosa, podría sufrir ingeniería inversa y conducir al descifrado de los datos o a comprender cómo funciona.no eliminar el malwarey conservar todas las pruebas del ataque. Eso es importante paraforense digitalpara que los expertos puedan rastrear hasta el grupo de piratas informáticos e identificarlos. Es utilizando los datos de su sistema infectado que las autoridades puedenInvestigar el ataque y encontrar al responsable.Una investigación de un ciberataque no se diferencia de cualquier otra investigación criminal: necesita pruebas para encontrar a los atacantes.

1. Comuníquese con su proveedor de respuesta a incidentes

Una respuesta a un incidente cibernético es el proceso de responder y gestionar un incidente de ciberseguridad. Un anticipo de respuesta a incidentes es un acuerdo de servicio con un proveedor de ciberseguridad que permite a las organizaciones obtener ayuda externa con incidentes de ciberseguridad. Proporciona a las organizaciones una forma estructurada de experiencia y soporte a través de un socio de seguridad, lo que les permite responder de manera rápida y efectiva durante un incidente cibernético. Un anticipo de respuesta a incidentes ofrece tranquilidad a las organizaciones, ofreciendo soporte experto antes y después de un incidente de ciberseguridad. La naturaleza y estructura específicas de un contrato de respuesta a incidentes variarán según el proveedor y los requisitos de la organización. Un buen contrato de respuesta a incidentes debe ser sólido pero flexible y brindar servicios probados para mejorar la postura de seguridad a largo plazo de una organización.Si se comunica con su proveedor de servicios de IR, él puede hacerse cargo de inmediato y guiarlo en cada paso de la recuperación del ransomware.Sin embargo, si decide eliminar el malware usted mismo y recuperar los archivos con su equipo de TI, puede seguir los siguientes pasos.

2. Identificar la infección de malware

Puede identificar qué malware infectó su máquina utilizando unherramienta de identificación de ransomware.También puedes comprobar el tipo de malware por sus IOC. Los indicadores de compromiso (IOC) son pistas digitales que los profesionales de la ciberseguridad utilizan para identificar compromisos del sistema y actividades maliciosas dentro de una red o entorno de TI. Son esencialmente versiones digitales de evidencia dejada en la escena del crimen, y los IOC potenciales incluyen tráfico de red inusual, inicios de sesión de usuarios privilegiados de países extranjeros, solicitudes DNS extrañas, cambios en los archivos del sistema y más. Cuando se detecta un COI, los equipos de seguridad evalúan posibles amenazas o validan su autenticidad. Los IOC también proporcionan evidencia de a qué tenía acceso un atacante si se infiltraba en la red.

3. Utilice una copia de seguridad para restaurar los datos.

Las copias de seguridad son la forma más eficiente de recuperar datos. Asegúrese de realizar copias de seguridad diarias o semanales, según su uso de datos.

4. Póngase en contacto con un servicio de recuperación de malware

Si no tiene una copia de seguridad o necesita ayuda para eliminar el malware y las vulnerabilidades, comuníquese con un servicio de recuperación de datos. Pagar el rescate no garantiza que se le devolverán sus datos. La única forma garantizada de restaurar todos los archivos es si tiene una copia de seguridad. Si no lo hace, los servicios de recuperación de datos de ransomware pueden ayudarlo a descifrar y recuperar los archivos. Los expertos de SalvageData pueden restaurar sus archivos de manera segura y evitar que el malware Truebot ataque su red nuevamente. Póngase en contacto con nuestros expertos las 24 horas del día, los 7 días de la semana para obtener servicios de recuperación de ransomware.

Prevenir el ataque de malware Truebot

Prevenir el malware es la mejor solución para la seguridad de los datos. es más fácil y económico que recuperarse de ellos. El malware Truebot puede costarle el futuro a su empresa e incluso cerrarle las puertas. Estos son algunos consejos para asegurarse de que puedaevitar ataques de malware:

  • Mantén tu sistema operativo y software actualizadoscon los últimos parches y actualizaciones de seguridad. Esto puede ayudar a prevenir vulnerabilidades que los atacantes pueden aprovechar.
  • Utilice contraseñas seguras y únicaspara todas las cuentas y habilite la autenticación de dos factores siempre que sea posible. Esto puede ayudar a evitar que los atacantes obtengan acceso a sus cuentas.
  • Tenga cuidado con los correos electrónicos, enlaces y archivos adjuntos sospechosos.No abra correos electrónicos ni haga clic en enlaces o archivos adjuntos de fuentes desconocidas o sospechosas..
  • Utilice software antivirus y antimalware de buena reputacióny mantenerlo actualizado. Esto puede ayudar a detectar y eliminar malware antes de que pueda causar daños.
  • Utilice un cortafuegospara bloquear el acceso no autorizado a su red y sistemas.
  • Segmentación de reddividir una red más grande en subredes más pequeñas con interconectividad limitada entre ellas. Restringe el movimiento lateral del atacante y evita que usuarios no autorizados accedan a la propiedad intelectual y a los datos de la organización.
  • Limitar los privilegios de usuariopara evitar que los atacantes obtengan acceso a datos y sistemas confidenciales.
  • Educar a los empleados y al personalsobre cómo reconocer y evitar correos electrónicos de phishing y otros ataques de ingeniería social.

Related Posts

Mejores fuentes de memes: crea los memes más divertidos

Mejores fuentes de memes: crea los memes más divertidos

2023-08-30
Códigos de área que nunca debe responder

Códigos de área que nunca debe responder

2025-03-17
Cómo solucionar un adaptador WiFi oculto o deshabilitado en Windows Device Manager

Cómo solucionar un adaptador WiFi oculto o deshabilitado en Windows Device Manager

2025-05-03
Se corrigió: la clave de recuperación de bitLocker no se puede guardar error

Se corrigió: la clave de recuperación de bitLocker no se puede guardar error

2025-04-30
Cómo omitir la contraseña zip de forma gratuita

Cómo omitir la contraseña zip de forma gratuita

2025-04-30
Administre M365 con Lokka y Claude AI

Administre M365 con Lokka y Claude AI

2025-03-25
Prueba de velocidad de Internet

Prueba de velocidad de Internet

2024-12-12
10 mejores potenciadores de imágenes de IA en 2025 (gratis y pagado)

10 mejores potenciadores de imágenes de IA en 2025 (gratis y pagado)

2025-04-04
Cómo restablecer la autenticación multifactor de Office 365

Cómo restablecer la autenticación multifactor de Office 365

2024-09-03
Las 10 principales plataformas en la nube de IoT para Internet de las cosas (2025)

Las 10 principales plataformas en la nube de IoT para Internet de las cosas (2025)

2025-11-22
Lanzamiento de Windows 11 Dev Insider Preview Build 26120.670, esto es lo nuevo y lo solucionado

Lanzamiento de Windows 11 Dev Insider Preview Build 26120.670, esto es lo nuevo y lo solucionado

2024-05-17
7 formas de desbloquear iPhone sin contraseña o identificación facial

7 formas de desbloquear iPhone sin contraseña o identificación facial

2025-04-30
Los mejores cursos de IA gratuitos para aumentar sus habilidades

Los mejores cursos de IA gratuitos para aumentar sus habilidades

2025-03-11
7 formas de liberar espacio de almacenamiento en su Apple Watch

7 formas de liberar espacio de almacenamiento en su Apple Watch

2023-12-09
Arreglar la distorsionamiento de discordias/estropear el audio de las aplicaciones de Windows 11

Arreglar la distorsionamiento de discordias/estropear el audio de las aplicaciones de Windows 11

2024-04-07