Nueva campaña de TrickBot viene altamente ofuscado

Investigadores de Trend Micro descubrieron una nueva variante del malware bancario “TrickBot”, que viene a través de correos electrónicos no deseados con un documento Word con macro. Una vez que se abre el documento, ejecuta un archivo JavaScript (JS) que descarga el payload. Además verifica la cantidad de procesos en ejecución en la máquina afectada. Aparte de robar información, también elimina archivos ubicados en unidades extraíbles y  de red que tienen extensiones particulares, para reemplazar los archivos con una copia de malware. 

El correo electrónico pretende ser una notificación de suscripción que involucra a proveedores de publicidad, informando al usuario que solicitó una membresía y que ya fue pagada. Luego describe las tarifas asociadas a la tarjeta de crédito del usuario que se cobrarán en el futuro. Para terminar, solicita al usuario que vea el documento adjunto para ver en detalle la información de pago y suscripción. Siendo este último documento el que contiene el script malicioso.

El archivo indica que se puede visualizar al habilitar la macro, pero donde realmente se oculta  el script JS es en el documento en sí y no en la macro, logrando disfrazar el script con el mismo color de fuente que el fondo del documento.

Este nuevo desarrollo muestra cómo los ciberdelincuentes pueden modificar constantemente un malware bancario ya existente para agregar nuevas variables. Los usuarios pueden evitar estos ataques siguiendo las buenas prácticas contra un correo no deseado. 

Se recomienda lo siguiente:

• Realizar campañas comunicacionales permanentes dirigidas a clientes y colaboradores de las organizaciones afectadas, que expliquen el funcionamiento de los phishing y malspam.
• Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir amenazas.
• Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
• Mantener actualizadas sus plataformas (Office, Windows, Adobe Acrobat, Oracle Java y otras)
• Mantener actualizadas todas las plataformas de tecnologías y de detección de amenazas
• Evitar instalar programas de sitios que no sean oficiales.
• Revisar los controles de seguridad de los AntiSpam y SandBoxing
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
• Comunicarse con el remitente para confirmar si un archivo adjunto es confiable.
• Aprender a detectar correos electrónicos sospechosos que utilizan nombres de empresas reales y adoptan su imagen.
• Tener activado el UAC (control de cuentas de usuario) de Windows.