El investigador de seguridad Brad Duncan encontró una nueva variante de Trickbot, que implementa un módulo proxy personalizado para sus víctimas, este nuevo componente deriva del código de BokBot/IcedID para ataques de inyección web.
BokBot/IceID fue descubierto a finales del 2017 por el equipo X-Force de IBM, el cual puede redirigir a las víctimas a sitios bancarios falsos o adjuntarlos a un proceso del navegador para inyectar contenido fraudulento en las páginas bancarias originales.
El ataque comienza con un documento malicioso de Word, que implementa un script de PowerShell para descargar el malware. El host comprometido de esta manera también recibe la variante de Trickbot con el módulo proxy BokBot/IcedID que puede interceptar y modificar el tráfico web. Este parece estar adaptado específicamente para TrickBot o para operaciones bancarias fraudulentas que dependen del instalador de esta familia de malware. El investigador Vitali Kremez observó el componente y determinó que puede conectarse a cuatro navegadores web, Google Chrome, Mozilla Firefox, Internet Explorer y Microsoft Edge.
Aunque la relación con IcedID no es nueva, ahora es definitivamente más estricta. A mediados de 2018, los investigadores de Flashpoint anunciaron que habían encontrado equipos infectados con IcedID que entregaron Trickbot en una etapa siguiente. La cadena de infección comenzó con Emotet, que introdujo el primer malware que luego descargaría la siguiente amenaza en el sistema comprometido.
Se recomienda lo siguiente:
- Realizar campañas comunicacionales permanentes dirigidas a clientes y colaboradores de las organizaciones afectadas, que expliquen el funcionamiento de los phishing y malspam.
- Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir amenazas.
- Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
- Actualizar los equipos con Windows a las últimas versiones.
- Configurar de manera más estricta el anti spam.
- Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
- Comunicarse con el remitente para confirmar si un archivo adjunto es confiable.
- Aprender a detectar correos electrónicos sospechosos que utilizan nombres de empresas reales y adoptan su imagen.
- Tener activado el UAC (control de cuentas de usuario) de Windows.
| Producto | Versión |
|---|---|
| Microsoft Windows |
7 8 8.1 10 |