Una nueva campaña de correo electrónico de phishing que incita a los usuarios a votar anónimamente sobre el movimiento Black Lives Matter está difundiendo en secreto el malware de robo de información TrickBot.
Las campañas de phishing a menudo usan eventos actuales para engañar a las personas para que abran archivos adjuntos maliciosos que infectan su sistema con malware una vez que se hace clic. La organización de seguridad cibernética Abuse.ch descubrió la campaña de phishing BLM que pretende ser de la "Administración del país".
Movimiento Black Lives Matter
Black Lives Matter (también conocido por las siglas BLM; en inglés, Las vidas negras importan) es un movimiento internacional originado dentro de la comunidad afroestadounidense. Comenzó en 2013 con el uso del hashtag #BlackLivesMatter en las redes sociales, después de la absolución de George Zimmerman por la muerte del adolescente afroamericano Trayvon Martin a causa de un disparo.
Según la firma de seguridad suiza Abuse.ch, los actores de amenazas se hacen pasar por funcionarios del gobierno, en un esfuerzo por atraer a las víctimas de mentalidad social para que hagan clic en un archivo adjunto malicioso en un correo electrónico.
Trickbot malware
Comenzó como un troyano bancario, el TrickBot ha evolucionado para realizar una variedad de comportamientos maliciosos como lo hemos visto en anteriores boletines.
Este comportamiento incluye una propagación lateral a través de una red, robando todas las credenciales a las cuales puda acceder, tales como aquellas guardadas en los navegadores, bases de datos de Servicios de Active Directory, cookies, claves OpenSSH, RDP, VNC, PuTTY y entre otras.
TrickBot también ha sido utilizado para ser la vía de acceso de otras variantes de malwares como el ransomware Ryuk.
La nueva campaña descubierta por la organización de seguridad cibernética Abuse.ch incorpora un correo electrónico, que dice: "Deje una revisión confidencial sobre 'Black Lives Matter'" y luego solicita a los destinatarios que completen y devuelvan un documento adjunto llamado "e-vote_form_3438.doc". Este documento de campaña adjunto, si está abierto, muestra un botón que insta a los destinatarios a "Habilitar edición" o "Habilitar contenido". Si se hace clic, el botón activa macros maliciosas que a su vez descargan TrickBot, en forma de una una DLL maliciosa.
Panorama
"Abusar de las secuencias de comandos de macros de Microsoft Office es uno de los medios más populares y comúnmente utilizados como medio de infiltración para la descarga de malware. Explotando así la tendencia natural de la gente a confiar y la falta de conciencia en seguridad digital con la que operan en el entorno cibernético. Es por ello que nuevamente, volvemos a hacer hincapié en crear campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.
La Ingeniería Social, es y seguirá siendo la técnica más eficiente y menos costosa para las ciberoperaciones delictuales, debido al bajo riesgo para los atacantes y su particularidad de estar orientada a la manipulación inteligente de la tendencia natural de la gente a confiar valiéndose así de las personas y no del sistema operativo o equipamiento de seguridad. No podemos olvidar que el usuario es el eslabón más importante de la cadena de la seguridad, por lo que su acción o inacción serán fundamentales a la hora de corregir vulnerabilidades, protegerse ante ciberataques o evitar caer en las trampas de los ciberdelincuentes."
El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:
Producto | Versión |
---|---|
Microsoft Windows Server |
2012 2012 R2 2016 2019 |
Microsoft Windows |
8 8.1 10 |
Tipo | Indicador |
---|---|
hash | af3fcc4d0646a3a2c27512b07a0... |