Noticias
A TrickBot le interesa mucho tu resolución de pantalla
Es posible que ahora mismo te preguntes la razón por la que un troyano como TrickBot se interesaría en saber cuál es tu resolución de pantalla. Más aún, si te contamos que, dependiendo de la misma, es posible que pese a llegar a un sistema no lo infecte. Sé que suena muy extraño, puesto que se trata de un valor que a priori no debería influir en las acciones del patógeno, ¿no? Pues en realidad sí que tiene una razón de ser, y al conocerla, tenemos una confirmación más de lo encarnizada que es la guerra entre la industria de la ciberseguridad y el cibercrimen.
Cuando los expertos en seguridad capturan muestras de patógenos in the wild, en muchas ocasiones lo consiguen gracias a honeypots, y la mayoría de los análisis se llevan a cabo en sandboxes. En el primer caso para que el malware llegue a ellas de manera natural, y en el segundo para evitar que, durante las pruebas, pueda ocasionar daños en el sistema anfitrión, difundirse a través de su conexión a la red, etcétera. ¿Y qué tienen en común honeypots y sandboxes? Efectivamente, máquinas virtuales.
Así, los desarrolladores de malware como TrickBot llevan ya mucho tiempo empleando técnicas para detectar si se están ejecutando en una máquina virtual o no. Y es que, de ser así, es posible que hayan caído en una trampa y, por lo tanto, la acción más inteligente es no desplegar su ataque, con el fin de pasar desapercibido y evitar, de este modo, un análisis que puede ser el primer paso hacia su fin.
Por norma general, estas técnicas para detectar si el entorno en el que se encuentran es una máquina virtual, incluyenla búsqueda de procesos particulares, servicios de Windows o nombres de máquinas, e incluso verifican las direcciones MAC de la tarjeta de red o las características de la CPU.
Y ahora, según revela Maciej Kotowicz, de la empresa de ciberseguridad MalwareLab, TrickBot ha sumado la comprobación de la resolución de pantalla del sistema infectado para intentar determinar si se trata de una máquina virtual. En el tweet que puedes a continuación, Kotowicz cuenta que una nueva muestra de TrickBot está verificando si la resolución de la pantalla del sistema es de 800 x 600 o 1024 x 768 píxeles. Y si detecta que es así, ya no realizará ninguna de las funciones para las que ha sido diseñado.
Today’s #Trickbot loaders with a screen resolution #antivm trick, if you have 800×600 or 1024×768 resolution – you are safe! ;] cc @VK_Intel @James_inthe_box @JAMESWT_MHT @abuse_ch pic.twitter.com/mbGE5IwLH0
— mak (@maciekkotowicz) June 30, 2020
¿Y qué funciones tiene TrickBot? Propagarse lateralmente a través de una red, robar credenciales guardadas en los navegadores, robar bases de datos de Servicios de Active Directory , robar cookies y claves OpenSSH , robar credenciales RDP, VNC y PuTTY y más. Hay que recordar que se trata de un malware en constante evolución, por lo que va sumando nuevas y peligrosas funciones cada poco tiempo.
¿Y por qué las resoluciones de pantalla? Como bien saben los creadores de TrickBot, muchos investigadores despliegan las máquinas virtuales pero no instalan en las mismas el conjunto de herramientas que mejora la integración entre huésped y anfitrión, y no lo hacen porque en los mismos se suelen encontrar algunos de los archivos que el malware emplea para detectar si se encuentra en una máquina virtual. Y, claro, sin esas herramientas, lo normal es que la resolución de pantalla configurada en el adaptador gráfico virtual no pueda exceder de las mencionadas.
Por lo tanto, y ante este descubrimiento, nos encontramos con que los atacantes pueden detectar si están en una máquina virtual por el software de integración, pero también por las carencias que puede provocar la ausencia del mismo en una máquina virtual. Este movimiento por parte de los responsables de TrickBot plantea, sin duda, una nueva dificultad a los investigadores, y será muy interesante ver cómo la enfrentan.