Nueva campaña de phishing que despliega malware Trickbot
- Publicado: 08/04/2019
- Importancia: Media
- Recursos afectados
Los investigadores de IBM X-Force han detectado el malware en tres campañas
diferentes desde el 27 de enero de 2019. En estas campañas se dirigen a las
víctimas con correos electrónicos que simulan ser de grandes firmas de
servicios de contabilidad, impuestos y nóminas, incluidos ADP y Paychex. Estos
correos falsifican el campo "desde:" y utilizan typosquatting para mejorar la
apariencia de los correos electrónicos para parecerse a los de las empresas
que intentan suplantar.
Para reforzar la ilusión de legitimidad, las firmas de cada uno de los correos
electrónicos imitan las firmas típicas de esos negocios suplantados.
En realidad los mensajes llevaban archivos adjuntos malintencionados que
indicaban ser archivos de impuestos o registros de facturación pero en realidad
se tratan de archivos Excel que descargan el troyano TrickBot a través de una
macro incrustada y ofuscada. Aunque a priori no parece que el equipo esté
infectado, se está realizando comunicación entre los equipos infectados y los
servidores C&C.
Trickbot utiliza dos técnicas de robo de credenciales: inyección dinámica y
ataques de redirección.
Las inyecciones dinámicas se obtienen en tiempo real desde el servidor C&C
en lugar de escribirlas directamente en un archivo de configuración. Los
ataques de redirección engañan al usuario con una página controlada por el
atacante, por ejemplo una réplica de la página de inicio del banco,engañándolos para que revelen sus credenciales y otros elementos de
autenticación.
Además de robo de credenciales bancarios, TrickBot ahora puede robar
credenciales de protocolo de escritorio remoto (RDP), credenciales de VNC y
credenciales del software PuTTY.