Los investigadores de Secureworks® Counter Threat Unit ™ (CTU) monitorean continuamente la botnet TrickBot operada por el grupo de amenazas GOLD BLACKBURN. Una característica clave de TrickBot es su capacidad para manipular sesiones web interceptando el tráfico de la red antes de que lo procese el navegador de la víctima. TrickBot se ha dirigido a cientos de organizaciones, en su mayoría instituciones financieras, desde que comenzó a operar de forma generalizada en octubre de 2016. En agosto de 2019, los webinjects dinámicos utilizados por TrickBot se ampliaron para incluir a los siguientes operadores de telefonía móvil con sede en EE. UU.

• 5 de agosto: Verizon Wireless
• 12 de agosto: T-Mobile
• 19 de agosto: Sprint

Cuando una víctima navega al sitio web de una de estas organizaciones, TrickBot intercepta la respuesta legítima del servidor y la envía a través de un servidor de comando y control (C2). Este servidor C2 inyecta HTML y JavaScript adicionales en la página, que luego se representa en el navegador web de la víctima. Para los tres operadores, el código inyectado genera un campo de formulario adicional que solicita el código PIN del usuario, como se muestra en las Figuras 1 y 2.

Figura 1. Formulario modificado por TrickBot (izquierda) y formulario original (derecha) para Verizon Wireless. (Fuente: Secureworks)

Figura 2. Formulario PIN adicional agregado a la página de inicio de sesión de Sprint después de ingresar el nombre de usuario y la contraseña. (Fuente: Secureworks)

El código inyectado que se muestra en la Figura 3 activa la funcionalidad de registro de TrickBot (rcrd). Esta funcionalidad crea una solicitud HTTP adicional que contiene el nombre de usuario, la contraseña y el PIN de la víctima que se transmite al servidor TrickBot C2. Estas "grabaciones" se presentan a los operadores de TrickBot mientras navegan por los hosts infectados en su panel web.

Figura 3. JavaScript inyectado en la página de inicio de sesión de T-Mobile. (Fuente: Secureworks)

La orientación de los códigos PIN móviles por GOLD BLACKBURN, o por actores de amenazas afiliados que usan TrickBot, sugiere un interés en perpetrar salida or SÍ intercambiar fraude. Este fraude permite a un atacante asumir el control del número de teléfono de una víctima, incluidas todas las comunicaciones de voz y texto entrantes y salientes. La interceptación de tokens de autenticación o restablecimiento de contraseñas basados ​​en el servicio de mensajes cortos (SMS) se usa con frecuencia durante el fraude de adquisición de cuenta (ATO).

Los investigadores de CTU ™ recomiendan que las organizaciones usen contraseña de un solo uso basada en el tiempo (TOTP) autenticación multifactor (MFA) en lugar de SMS MFA cuando sea posible. Del mismo modo, los números de teléfono no deben usarse como opciones de restablecimiento de contraseña en cuentas importantes. Habilitando un Código Postal en las cuentas móviles sigue siendo una medida antifraude prudente que requiere que un atacante posea información adicional sobre su víctima prevista.

Para mitigar la exposición a este malware, los investigadores de CTU recomiendan que las organizaciones usen los controles disponibles para revisar y restringir el acceso utilizando los indicadores enumerados en la Tabla 1. Tenga en cuenta que las direcciones IP pueden reasignarse. Las direcciones IP pueden contener contenido malicioso, así que considere los riesgos antes de abrirlos en un navegador.

Tabla 1. Indicadores de esta amenaza.

Fuente: https://www.secureworks.com/blog/trickbot-modifications-target-us-mobile-users