¡Mejoran el troyano TrickBot! ahora puede robar las credenciales de Active Directory de Windows

El nuevo módulo de TrickBot denominado "ADII" está configurado para robar las credenciales de Active Directory de Windows.

El troyano TrickBot, una variedad de malware que afecta a los usuarios desde 2016, ahora se ha mejorado para robar las credenciales de Active Directory de Windows. Hoy, en el ecosistema de ciberseguridad se considera una de las principales amenazas que abusan de las empresas, los expertos estiman que TrickBot es responsable de comprometer más de 250 millones de cuentas de correo electrónico hasta la fecha. Anteriormente, TrickBot fue un paso más allá al apuntar a los usuarios de Windows 10 al deshabilitar Windows Defender en sus sistemas en lugar de simplemente evadir la protección antivirus. Básicamente, TrickBot es un troyano bancario y generalmente se implementa a través de correos electrónicos de spearphishing como facturas enviadas al departamento de cuentas y compras. Por lo general, se adjunta como documentos infectados de Microsoft Excel o Word. El malware se puede propagar a través de una organización de varias maneras.

Identificado por primera vez por Sandor Nemes, un investigador de seguridad de Virus Total, este nuevo módulo de TrickBot denominado "ADII" amplifica aún más la amenaza que posee para la seguridad, roba información de Active Directory de Windows mediante la ejecución de un conjunto de comandos.

Se está creando y almacenando una base de datos de Active Directory en la carpeta predeterminada C: \ Windows \ NTDS en el controlador de dominio, aquí un servidor actúa como controlador de dominio. Ahora, toda la información, incluidas las contraseñas, las computadoras, los usuarios y los grupos de Active Directory de Windows, se guarda en un archivo con el nombre "ntds.dit" en la base de datos. Como toda la información antes mencionada es de naturaleza sensible, Windows recurre a una BootKey que se encuentra en el componente del sistema del Registro y encripta la información con la ayuda de este. Los administradores responsables del mantenimiento de la base de datos utilizan una herramienta especial conocida como "ntdsutil" para trabajar con esa base de datos. Según se informa, las operaciones de archivo estándar no pueden acceder a BootKey.

¿Cómo funciona TrickBot en el robo de credenciales de Active Directory?

Los administradores usan el comando "instalar desde medios", también conocido como "ifm", para crear un volcado de Active Directory. El comando conduce a la creación de un medio de instalación para configurar nuevos controladores de dominio. El nuevo módulo "ADII" explota el comando ifm para producir una copia de la base de datos de Windows Active Directory; después de que la base de datos se haya volcado en la carpeta % Temp%, el bot recopila la información y la transfiere al administrador. Los datos recopilados pueden ser efectivos para infectar más sistemas en la misma red y también podrían ser utilizados por otros tipos de malware en busca de vulnerabilidades similares.

Fuente: e Hacking News