Trickbot reaparece con una nueva campaña

Recientes investigaciones de seguridad alertan sobre la reaparición del prolífico malware troyano Trickbot luego de una operación encabezada por Microsoft para derribarlos en octubre de 2020.

Trickbot Trojan

Trickbot, un malware informático del cual en boletines del pasado año 2020 tuvo distintas menciones donde se le relaciono con campañas de  Emotet, Ryuk y Conti. El troyano especializado en el robo de datos bancarios y credenciales lleva a cabo sus operaciones maliciosas enviando a las víctimas a sitios web fraudulentos que parecen idénticas a las páginas web de distintos bancos y correos electrónicos no deseados.

A través de correos spam, que incluyen archivos adjuntos HTML, la botnet descarga un formulario de inicio de sesión en un documento Word engañando a los usuarios. Dicho documento está incrustado con una  macro maliciosa que restaura a Trickbot del servidor de comando y control (C&C) de los actores de amenazas cuando está permitido.

Recordemos que Trickbot además de robar información, claves y credenciales puede dar acceso de puerta trasera para transportar otro malware, incluido ransomware.

Infraestructura interrumpida

En octubre de 2020 ocurrió un hito importante, Microsoft junto con otros socios del área de seguridad y agencias federales de Estados Unidos llevaron a cabo una operación en la cual lograron interrumpir el funcionamiento de Trickbot y desmantelar su infraestructura.

Nueva campaña

Si bien, luego de la interrupción que sufrió la botnet por parte de Microsoft disminuyó drásticamente su actuar y sus campañas, esto no evitó en 100% la capacidad de proliferar y renovarse para el malware.

Según investigaciones realizadas por el equipo de Menlo Security, “Threat Labs”, hay suficiente evidencia para detallar una nueva campaña que trae un activo regreso de Trickbot a las pistas.

Estas nuevas campañas identificadas se dirigen exclusivamente a usuarios norteamericanos de sectores legales y de seguros. 

A diferencia de sus campañas anteriores, se evidenció acciones de Phishing, estos correos no deseados incluían enlaces URL maliciosos. Una vez que el usuario hace clic en el enlace dentro del correo se le redirige a un servidor comprometido que intenta convencer a las víctimas para que descarguen una carga maliciosa. Este dominio contiene un botón "Descargar prueba fotográfica" (Photo Proof), que si se hace clic en él, descarga un archivo zip que contiene JavaScript malicioso que compromete al dispositivo. Si el usuario abre el archivo JavaScript descargado, se realiza una solicitud HTTP al servidor C&C para descargar el binario malicioso final.

Panorama

Los investigadores llamaron a la operación de derribo encabezada por Microsoft un esfuerzo "valiente" que tuvo un impacto a corto plazo debido al diverso y efectivo conjunto de herramientas de los ciberactores detrás de TrickBot que les permite ser resistentes, reactivos y resueltos a restaurar las operaciones y sacar provecho del entorno de amenazas actual como por ejemplo, la reciente operación coordinada que derribó a Emotet.

El Centro de Ciberinteligencia de Entel recomienda lo siguiente:

• Las campañas de phishing se caracterizan por tener faltas de ortografía o errores en el diseño. Revisa el contenido con detención, y desconfía de correos con imperfecciones.
• Desconfía de los correos alarmantes. Si un mensaje le indica o incentiva a tomar decisiones apresuradas o en un tiempo limitado, probablemente se trata de phishing.
• No haga clic en ningún enlace ni descargue ningún archivo en un correo electrónico si no puede verificar la fuente de forma independiente. E incluso si el correo electrónico proviene de una fuente de confianza, verifique con ellos si realmente lo enviaron.
• No responda a correos electrónicos no solicitados de extraños y especialmente si le piden que proporcione algún tipo de información personal.
• Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
• Actualizar los equipos con Windows a las últimas versiones.
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
• Disponer de sistemas antispam para correos electrónicos, de esta manera se reduce las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
• Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.