Nueva campaña para difundir Trickbot alude a movimiento Black Lives Matter

Una nueva campaña de correo electrónico de phishing que incita a los usuarios a votar anónimamente sobre el movimiento Black Lives Matter está difundiendo en secreto el malware de robo de información TrickBot.

Las campañas de phishing a menudo usan eventos actuales para engañar a las personas para que abran archivos adjuntos maliciosos que infectan su sistema con malware una vez que se hace clic. La organización de seguridad cibernética Abuse.ch descubrió la campaña de phishing BLM que pretende ser de la "Administración del país".

Movimiento Black Lives Matter 

Black Lives Matter (también conocido por las siglas BLM; en inglés, Las vidas negras importan) es un movimiento internacional originado dentro de la comunidad afroestadounidense. Comenzó en 2013 con el uso del hashtag #BlackLivesMatter en las redes sociales, después de la absolución de George Zimmerman por la muerte del adolescente afroamericano Trayvon Martin a causa de un disparo. 

Según la firma de seguridad suiza Abuse.ch, los actores de amenazas se hacen pasar por funcionarios del gobierno, en un esfuerzo por atraer a las víctimas de mentalidad social para que hagan clic en un archivo adjunto malicioso en un correo electrónico.

Trickbot malware

Comenzó como un troyano bancario, el TrickBot ha evolucionado para realizar una variedad de comportamientos maliciosos como lo hemos visto en anteriores boletines.

Este comportamiento incluye una propagación lateral a través de una red, robando todas las credenciales a las cuales puda acceder, tales como aquellas guardadas en los navegadores, bases de datos de Servicios de Active Directory, cookies, claves OpenSSH, RDP, VNC, PuTTY y entre otras.

TrickBot también ha sido utilizado para ser la vía de acceso de otras variantes de malwares como el ransomware Ryuk.

La nueva campaña descubierta por la organización de seguridad cibernética Abuse.ch  incorpora un correo electrónico, que dice: "Deje una revisión confidencial sobre 'Black Lives Matter'" y luego solicita a los destinatarios que completen y devuelvan un documento adjunto llamado "e-vote_form_3438.doc". Este documento de campaña adjunto, si está abierto, muestra un botón que insta a los destinatarios a "Habilitar edición" o "Habilitar contenido". Si se hace clic, el botón activa macros maliciosas que a su vez descargan TrickBot, en forma de una una DLL maliciosa.

Panorama

"Abusar de las secuencias de comandos de macros de Microsoft Office es uno de los medios más populares y comúnmente utilizados como medio de infiltración para la descarga de malware. Explotando así la tendencia natural de la gente a confiar y la falta de conciencia en seguridad digital con la que operan en el entorno cibernético. Es por ello que nuevamente, volvemos a hacer hincapié en crear campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.

La Ingeniería Social, es y seguirá siendo la técnica más eficiente y menos costosa para las ciberoperaciones delictuales, debido al bajo riesgo para los atacantes y su particularidad de estar orientada a la manipulación inteligente de la tendencia natural de la gente a confiar valiéndose así de las personas y no del sistema operativo o equipamiento de seguridad. No podemos olvidar que el usuario es el eslabón más importante de la cadena de la seguridad, por lo que su acción o inacción serán fundamentales a la hora de corregir vulnerabilidades, protegerse ante ciberataques o evitar caer en las trampas de los ciberdelincuentes."

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

• Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
• No haga clic en ningún enlace ni descargue ningún archivo en un correo electrónico si no puede verificar la fuente de forma independiente. E incluso si el correo electrónico proviene de una fuente de confianza, verifique con ellos si realmente lo enviaron.
• No responda a correos electrónicos no solicitados de extraños y especialmente si le piden que proporcione algún tipo de información personal.
• Analizar la factibilidad de implementar configuraciones de políticas de seguridad que restrinjan el uso de macros en los documentos de ofimática, capaces de exceptuar aquellas firmadas digitalmente con sus proveedores o colaboradores
• Tener políticas de respaldo periódico que se almacenen fuera de la red organizacional.
• Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
• Actualizar los equipos con Windows a las últimas versiones.
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
• Disponer de sistemas antispam para correos electrónicos, de esta manera se reduce las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
• Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.