Seguridad TI

TrickBot: Nueva amenaza afecta a las criptomonedas usando un troyano bancario

Forcepoint Security Labs descubrió una campaña de Trickbot que aparentemente está atacando a las criptomonedas, conocidas también como criptodivisas. Trickbot es un troyano bancario que se conoce por atacar a las instituciones bancarias.

Recientemente observamos que Trickbot estaba afectando a Paypal y ampliando la lista de instituciones objetivo para incluir a las que operan en los países nórdicos.

La campaña de hoy utiliza al Canadian Imperial Bank of Commerce (CIBC) en su estrategia de ingeniería social. A continuación se muestra una captura de pantalla del correo electrónico:

 

El documento anexo aparenta ser un documento del CIBC, y contiene un programa que descarga macros, el cual finalmente baja y ejecuta la variante de Trickbot.

 

Al momento de redactar este documento, nuestro sistema había capturado 8,600 correos electrónicos relacionados; el Reino Unido, Canadá y Francia fueron los tres principales objetivos, aunque la mayoría de los destinatarios tienen el dominio de alto nivel (TLD) “.com”.

La variante de Trickbot que se descarga tiene la etiqueta de grupo “kas2”. Los archivos de configuración desencriptados contienen una lista de los objetivos que ya se observaron en las campañas anteriores con una excepción: se ha añadido coinbase.com a los sitios monitoreados para detectar inyecciones web. Particularmente, se agregó el archivo de configuración “sinj” (inyección estática).

Coinbase es un sitio de criptomonedas que realiza cambios de Litecoin, Bitcoin, Ethereum y otros recursos digitales. Al ser Coinbase un objetivo, las divisas no tradicionales ahora también están en riesgo de ser robadas a las víctimas potenciales del troyano bancario Trickbot.

 DECLARACIÓN DE PROTECCIÓN

 

Los clientes de Forcepoint están protegidos contra esta amenaza a través de Forcepoint Cloud Security, el cual incluye el Advanced Classification Engine (ACE) como parte de los productos de seguridad para el correo electrónico, la web y NGFW (Next Generation Firewall). ACE (también conocido como Triton ACE) ofrece analítica sin firma para identificar la intención maliciosa, incluyendo las técnicas de evasión para ocultar el malware.

 

Se cuenta con protección en las siguientes etapas de un ataque:

Etapa 2 (señuelo): Los correos electrónicos maliciosos asociados a este ataque se identifican y bloquean.
Etapa 5 (Archivo Dropper): Se evita que las variantes de Trickbot se descarguen.
Etapa 6 (Call Home): Los intentos de Trickbot de contactar a su servidor C&C son bloqueados.

CONCLUSIÓN

 

Hace apenas un año, reportamos el interés potencial de los creadores de amenazas en atacar a las criptomonedas a través de actualizaciones de código del Troyano bancario Dridex. Ahora estamos viendo desarrollos similares en Trickbot; de hecho, los responsables están añadiendo un sitio para el cambio de divisas digitales a la lista de objetos. Forcepoint Security Labs seguirá monitoreando esta amenaza.

Deja un comentario

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>