TrickBot: La amenaza que más utiliza al COVID-19 para engañar a los usuarios.

TrickBot, el conocido troyano bancario que tanto se menciona en la actualidad por ser uno de los principales puntos de entrada de Ryuk (ransomware al cual distribuye en redes comprometidas) ha sido reconocido por Microsoft como el malware que más se encuentra utilizanado al COVID-19 como estrategia para engañar a usuarios, según datos del ATP de Office 365.

 

Según reportan, durante la seman pasada fue el malware más prolífico en utilizar correos electrónicos con engaños relacionados con el Coronavirus en los cuales buscan que el usuario caiga en la trampa, descargue el archivo de Office adjunto y ejecute sus macros.

 

Uno de los diferentes formatos de correos utilizados.
Créditos de la imagen: Microsoft
Otro de los diferentes formatos de correos utilizados.
Créditos de la imagen: Microsoft
El texto que aparece a los usuarios en el documento de Word y busca engañarles para que habiliten las macros.
Créditos de la imagen: Microsoft

Sin embargo, no hay que olvidar que por lo general no es TrickBot en sí el que llega a través de las macros maliciosas, sino otro troyano bancario: Emotet, el cual una vez infecta un equipo y establece contacto con su botnet, se mantiene en constante funcionamiento descargando módulos y otras amenazas como TrickBot.

 

Luego, TrickBot hace uso de sus diversos módulos de reconnaisance, robo de credenciales y explotación de vulnerabilidades para moverse a través de la red hacia los controladores de dominio, donde extrae más información sobre el resto de ordenadores y finalmente comparte un directorio en el disco C desde donde lanza scripts de PsExec sobre el resto de los equipos para que éstos copien y ejecuten el ransomware Ryuk.

 

Más información acerca de estas tres amenazas y su funcionamiento se encuentra presente en las grabaciones de los webinars que hemos realizado al respecto:

 

Webinar sobre Emotet donde explicamos en qué consiste esta amenaza, por qué es tan compleja y cómo reducir el riesgo de infección.
Primer webinar sobre Ryuk, donde explicamos la triple campaña de distribución Emotet – TrickBot – Ryuk y cómo podemos protegernos en cada fase del ciberataque.
Segundo webinar sobre Ryuk, donde entramos en mayor detalle sobre los tres pasos de la campaña, la propagación lateral de TrickBot y cómo se encarga de desplegar a Ryuk sobre los demás ordenadores.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *