Trickbot utiliza malware OSTAP para distribuirse

Investigadores de Morphisec han detectado una campaña de phishing para distribuir el malware Trickbot en Windows 10. 

Ésta, consiste en la distribución de documentos de Microsoft Office con macros que explotan la última versión de ActiveX de escritorio remoto para Windows 10, a fin de ejecutar la descarga de un backdoor llamado Ostap que TrickBot adoptó recientemente para distribuirse.

OSTAP es un malware utilizado principalmente para descargar diferentes tipos de malwares, ya sean troyanos, ransomwares o spywares. Los documentos de esta campaña en particular contienen una imagen que pretende mostrar contenido cifrado, que oculta un control ActiveX debajo de ella, que se utiliza para convencer a los usuarios de que habiliten ese contenido, lo que también permite que comience el ataque. El elemento de descarga "OSTAP" en sí mismo se ofusca al estar presente en letras blancas ocultas entre los demás contenidos del documento, por lo que no es visible para el ojo humano. Toda la técnica ha sido diseñada específicamente para atacar a los usuarios de máquinas con Windows 10 con las actualizaciones de funciones más recientes y Windows Server 2016 en adelante.

Se recomienda lo siguiente:

• Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
• Analizar la factibilidad de implementar configuraciones de políticas de seguridad que restrinjan el uso de macros en los documentos de ofimática, capaces de exceptuar aquellas firmadas digitalmente con sus proveedores o colaboradores.
• La concientización a los usuarios haciendo hincapié que sean cautelosos cuando se les presentan mensajes de correo electrónico y archivos adjuntos con temática contingente, así como enlaces y sitios web que los delincuentes podrían utilizar como señuelos y la existencia de ataques concentrados los días viernes PM y fin de semana cuando la seguridad de las ciberoperaciones disminuye
• Actualizar los equipos con Windows a las últimas versiones.
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
• Evitar la ejecución de documentos de origen desconocido.
• Mantener actualizadas todas las plataformas de tecnologías y de detección de amenazas.