Nueva táctica del malware Trickbot utiliza Google Docs

03 Septiembre 2019
Alto

Investigadores de  “Cofense” han detectado una nueva campaña de phishing del malware Trickbot que se adjunta en un enlace de Google Docs de forma camuflada  como un documento PDF. Los atacantes utilizan aplicaciones legítimas o sitios de intercambio de archivos confiables como Google Docs para evitar la puerta de enlace de correo electronico y asi atraer a los usuarios hacer clic en el enlace para infectar con malware. 

El correo electrónico intenta atraer a usuarios desprevenidos para que hagan clic en el enlace que contiene como asunto: “¿Ya recibió la documentación que le he dirigido recientemente? Lo estoy enviando de nuevo”. Este es un correo electrónico legítimamente generado por Google Docs cuando un archivo es compartido por uno de sus suscriptores. Sin saberlo, el destinatario se dirige a un documento alojado en Google que contiene una URL maliciosa. Cuando el destinatario hace clic en el enlace, lo dirige a una página similar de Google Docs que contiene un mensaje de error 404 falso. La amenaza hace que el destinatario descargue el documento manualmente con otro enlace que se presenta debajo del error y el cual al darle click descarga el malware.

Trickbot es un troyano bancario que ha estado circulando durante mucho tiempo (desde octubre de 2016), teniendo actualizaciones constantes en sus TTP. Todavía se considera una de las mayores amenazas de malware que atacan a las empresas en la actualidad. Inicialmente, TrickBot solo incluía capacidades de troyanos bancarios, a lo largo de los años los autores implementaron nuevas características como la capacidad de robar datos y la capacidad de soltar otras cargas.

Se recomienda lo siguiente:

  • Realizar campañas comunicacionales permanentes dirigidas a clientes y colaboradores de las organizaciones afectadas, que expliquen el funcionamiento de los phishing y malspam.
  • Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir amenazas.
  • Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
  • Evitar instalar programas de sitios que no sean oficiales.
  • Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
  • Comunicarse con el remitente para confirmar si un archivo adjunto es confiable.
  • Aprender a detectar correos electrónicos sospechosos que utilizan nombres de empresas reales y adoptan su imagen.
  • Tener activado el UAC (control de cuentas de usuario) de Windows.

Tags: #trickbot #malware #google #windows #malspam


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.