TrickBot es, en este momento, el malware que aparece en el mayor número de correos electrónicos maliciosos y archivos adjuntos relacionados con COVID-19 entregados a las bandejas de entrada de las víctimas potenciales basadas en los datos de Protección contra amenazas avanzadas (ATP) de Office 365 de Microsoft.
«Según los datos ATP de Office 365, Trickbot es la operación de malware más prolífica que utiliza señuelos temáticos COVID-19», según un tweet de la red global de expertos en seguridad de Microsoft.
«La campaña de esta semana utiliza varios cientos de archivos adjuntos únicos de documentos macro-atados en correos electrónicos que se hacen pasar por un mensaje de una prueba COVID-19 gratuita sin fines de lucro».
Las macros utilizadas por la pandilla TrickBot todavía usan un retraso antes de descargar las cargas maliciosas para evadir el análisis y la emulación de sandbox.
Hace aproximadamente una semana, Microsoft dijo que ya había detectado 76 variantes de amenazas utilizando señuelos temáticos COVID-19 desde que comenzaron estos ataques, siendo el malware TrickBot el más activo.
Aproximadamente 60,000 ataques de millones de mensajes dirigidos vienen con archivos adjuntos maliciosos relacionados con COVID-19 o URL por Microsoft, basados en datos recopilados de miles de campañas de phishing por correo electrónico cada semana.
«En un solo día, SmartScreen ve y procesa más de 18,000 URL y direcciones IP maliciosas con el tema COVID-19», dijo Microsoft.
Campañas y actualizaciones con temática de coronavirus
A fines de marzo, la pandilla TrickBot fue descubierta mientras usaba una aplicación maliciosa de Android para evitar la protección de autenticación de dos factores (2FA) utilizada por varios bancos después de robar números de autenticación de transacciones.
Justo a principios de enero, se vio que el troyano TrickBot cambiaba a un nuevo bypass de Windows 10 UAC que le permite ejecutarse con privilegios elevados sin tener que mostrar un aviso de Control de cuenta de usuario en el proceso.
TrickBot se desplegó previamente como parte de una campaña de spam que se hizo pasar por un médico de la Organización Mundial de la Salud (OMS) para aprovechar los temores del público en torno a la pandemia de coronavirus para atacar a los italianos.
Durante febrero, los troyanos TrickBot y Emotet comenzaron a usar cadenas con texto de las noticias de Coronavirus que intentaban eludir las soluciones de seguridad que utilizan el aprendizaje automático y la inteligencia artificial para detectar malware.
Hace dos días, Google anunció que los escáneres de malware incorporados de Gmail bloquearon alrededor de 18 millones de correos electrónicos de phishing y malware utilizando señuelos temáticos COVID-19 en una sola semana.
Malware actualizado regularmente
TrickBot es una variedad de malware desarrollada inicialmente como malware bancario modular y actualizada continuamente por sus autores con nuevos módulos y capacidades desde octubre de 2016, cuando se detectó inicialmente en la naturaleza.
Aunque al principio se usó solo para recolectar y extraer datos confidenciales, TrickBot ahora se ha convertido en un popular cuentagotas de malware que comprometerá aún más los sistemas infectados al entregar otras cargas útiles de malware, por lo general mucho más peligrosas.
TrickBot generalmente se entrega a través de Emotet y se emplea comúnmente como parte de ataques de múltiples etapas para eliminar otras herramientas maliciosas, siendo el ransomware Ryuk uno de los más notables.
Esto normalmente ocurre después de que toda la información potencialmente útil (información del sistema, credenciales, archivos interesantes) ya ha sido robada y entregada a sus operadores.
TrickBot es especialmente peligroso para las empresas, ya que puede propagarse a través de las redes corporativas y, si obtiene acceso de administrador a un controlador de dominio, robará la base de datos de Active Directory para recopilar otras credenciales de red.
fuente: bleepingcomputer.com