TrickBot resurge atacando a clientes de Amazon, PayPal y otras grandes marcas
- Endpoint
El troyano se ha dirigido a clientes de las algunas principales empresas para obtener credenciales de una amplia gama de aplicaciones, con miras a realizar futuros ciberataques. la variante que se está utilizando ha agregado nuevos módulos, y técnicas de ofuscación.
|
Recomendados: Lee IT Digital Security (Febrero de 2022) para PC y Mac Leer Nuevas reglas de seguridad para aplicaciones web y API Leer |
Los ciberatacantes están apuntando a 60 compañías diferentes de alto perfil con el malware TrickBot, advierten los investigadores de Check Point Research (CPR). El objetivo es atacar a los clientes de esas compañías, que están siendo seleccionadas para su victimización, la mayoría en Estados Unidos. Entre las marcas atacadas figuran Amazon, American Express, JPMorgan Chase, Microsoft, Navy Federal Credit Union, PayPal, RBC, Yahoo y otras.
"Trickbot ataca a víctimas de alto perfil para robar las credenciales y proporcionar a sus operadores acceso a los portales con datos confidenciales donde pueden causar un mayor daño", señalan los investigadores en su informe. En el frente técnico, la variante que se está utilizando en la campaña ha agregado nuevos módulos, y nuevos enfoques de ofuscación y antianálisis.
El malware TrickBot fue originalmente un troyano bancario, pero ha evolucionado para convertirse en un amplio ladrón de credenciales y una amenaza de acceso inicial, a menudo responsable de buscar binarios de segunda etapa como el ransomware. Desde la eliminación de su infraestructura por parte de las fuerzas del orden en octubre de 2020, la amenaza se ha recuperado, ahora con más de 20 módulos diferentes que se pueden descargar y ejecutar bajo pedido. Por lo general, se propaga a través de correos electrónicos, aunque la última campaña agrega autopropagación a través de la vulnerabilidad EternalRomance.
"Tales módulos permiten la ejecución de todo tipo de actividades maliciosas y representan un gran peligro para los clientes de las 60 compañías financieras y tecnológicas de alto perfil", advierten los investigadores de CPR. "Vemos que el malware es muy selectivo en la forma en que elige sus objetivos".
También se ha visto trabajando en conjunto con Emotet, que sufrió su propio derribo en enero de 2021. CPR en su propia telemetría encontró que TrickBot ha regostrado más de 140.000 infecciones exitosas desde su derribo y ha vuelto a ocupar el primer lugar en las listas de prevalencia de malware.
