Recientes investigaciones de seguridad alertan sobre la reaparición del prolífico malware troyano Trickbot luego de una operación encabezada por Microsoft para derribarlos en octubre de 2020.
Trickbot Trojan
Trickbot, un malware informático del cual en boletines del pasado año 2020 tuvo distintas menciones donde se le relaciono con campañas de Emotet, Ryuk y Conti. El troyano especializado en el robo de datos bancarios y credenciales lleva a cabo sus operaciones maliciosas enviando a las víctimas a sitios web fraudulentos que parecen idénticas a las páginas web de distintos bancos y correos electrónicos no deseados.
A través de correos spam, que incluyen archivos adjuntos HTML, la botnet descarga un formulario de inicio de sesión en un documento Word engañando a los usuarios. Dicho documento está incrustado con una macro maliciosa que restaura a Trickbot del servidor de comando y control (C&C) de los actores de amenazas cuando está permitido.
Recordemos que Trickbot además de robar información, claves y credenciales puede dar acceso de puerta trasera para transportar otro malware, incluido ransomware.
Infraestructura interrumpida
En octubre de 2020 ocurrió un hito importante, Microsoft junto con otros socios del área de seguridad y agencias federales de Estados Unidos llevaron a cabo una operación en la cual lograron interrumpir el funcionamiento de Trickbot y desmantelar su infraestructura.
Nueva campaña
Si bien, luego de la interrupción que sufrió la botnet por parte de Microsoft disminuyó drásticamente su actuar y sus campañas, esto no evitó en 100% la capacidad de proliferar y renovarse para el malware.
Según investigaciones realizadas por el equipo de Menlo Security, “Threat Labs”, hay suficiente evidencia para detallar una nueva campaña que trae un activo regreso de Trickbot a las pistas.
Estas nuevas campañas identificadas se dirigen exclusivamente a usuarios norteamericanos de sectores legales y de seguros.
A diferencia de sus campañas anteriores, se evidenció acciones de Phishing, estos correos no deseados incluían enlaces URL maliciosos. Una vez que el usuario hace clic en el enlace dentro del correo se le redirige a un servidor comprometido que intenta convencer a las víctimas para que descarguen una carga maliciosa. Este dominio contiene un botón "Descargar prueba fotográfica" (Photo Proof), que si se hace clic en él, descarga un archivo zip que contiene JavaScript malicioso que compromete al dispositivo. Si el usuario abre el archivo JavaScript descargado, se realiza una solicitud HTTP al servidor C&C para descargar el binario malicioso final.
Panorama
Los investigadores llamaron a la operación de derribo encabezada por Microsoft un esfuerzo "valiente" que tuvo un impacto a corto plazo debido al diverso y efectivo conjunto de herramientas de los ciberactores detrás de TrickBot que les permite ser resistentes, reactivos y resueltos a restaurar las operaciones y sacar provecho del entorno de amenazas actual como por ejemplo, la reciente operación coordinada que derribó a Emotet.
El Centro de Ciberinteligencia de Entel recomienda lo siguiente:
Producto | Versión |
---|---|
Microsoft Windows Server |
2012 2012 R2 2016 2019 |
Microsoft Windows |
8 8.1 10 |
Tipo | Indicador |
---|---|
hash | 1ba8e8b115f23bb26286ed73f10... |
hash | 8aa9c596dd3eb7560bc7416ba18... |
hash | 6a48d9e597bd1e7f35efb6ac215... |
hash | 0cba2a3282558d47a5b8fa42468... |
hash | c9b8d34f8d3fd3a7e3ebcd9600a... |
hash | 415e04eb340f1b092288cbcc712... |
hash | d0dbb5a854ad3b26d2b7bdf00a0... |
hash | acdd64a44f2455de8cdf42868b6... |
hash | 04994ef2b0335050260923b437e... |
hash | 7a7aa969eeb18633694488c389b... |
ip | 31.184.254.50 |
ip | 5.34.180.180 |