TrickBot, el troyano bancario que apunta hacia las criptodivisas

TrickBot es un conocido troyano bancario que hasta ahora tenía como sus principales víctimas a las instituciones financieras tradicionales. Ahora expertos de Forcepoint han descubierto que TrickBot está apuntando hacia las criptodivisas, la más popular Bitcoin, después de detectar un ataque que se ha iniciado con un email procedente del Canadian Imperial Bank of Commerce (CIBC) con un mensaje personal que está en un adjunto de Microsoft Word.

También puedes leer... Informe global sobre Seguridad de la Información 2016-2017 Evolución de los ataques con exploits GDPR: todas sus claves Riesgos de IoT en las empresas Desarrollo de estrategias de ciberseguridad nacional

Al usuario se le pide que se conecte a Internet para ver el email de forma segura, un email que tiene varios enlaces que parecen apuntar CIBC.com, el dominio del banco. Claro que cuando se pincha el usuario es dirigido hacia un .ml (Mali).

El documento adjunto al email contiene un descargador de macros, que es la razón por la que el usuario tiene que estar conectado a Internet. Este downloader conecta con el servidor de comando y control (C&C) para descargar el malware Trickbot.

Una vez instalado, Trickbot descarga un conjunto de módulos que utiliza para lanzar sus ataques. En la versión detectada por Forcepoint la configuración de archivos es idéntica a las versiones previas del malware con una excepción: se ha añadido Coinbase, una aplicación que te permite negociar con bitcoin, ethereum y litecoin. De forma que lo que parece es que los ciberdelincuentes están buscando la manera de acceder a los llamados Crypto Wallers para robar su contenido.