Inicio » Actualidad » Trickbot utiliza el botnet Necurs para propagarse (desde Forcepoint)

Trickbot utiliza el botnet Necurs para propagarse (desde Forcepoint)


Desde el blog de Forcepoint Security Labs: Trickbot utiliza el botnet Necurs para propagarse y añade a países nórdicos a sus víctimas

Forcepoint Security Labs™ observó una importante campaña de correo electrónico malicioso proveniente del botnet Necurs, el cual es conocido por propagar el ransomware Locky, fraudes de compra-venta de acciones y, más recientemente, el ransomware Jaff.

Sin embargo, en esta ocasión se ha observado a Necurs distribuir por primera vez el troyano bancario Trickbot. Nuestro sistema logró capturar y detener casi 9.6 millones de correos electrónicos relacionados. La siguiente es una captura de pantalla de uno de estos correos:

Además, a continuación se muestran los detalles de esta campaña:

SUBJECT ATTACHMENT ACTIVITY PERIOD (BST)
{two digits}_Invoice_{four digits} {three digits}_{four digits}.pdf 09:00 – 15:00
{eight digits}.pdf {eight digits}.pdf 11:00 – 13:00
{blank subject} SCAN_{four digits}.doc 13:00 – 18:00

Para los dos primeros asuntos de los correos electrónicos, la cadena de infección es idéntica a lo que hemos documentado para Jaff, un documento PDF anexo que contiene un archivo compuesto de varios documentos con un programa macro que descarga el troyano Trickbot.

Por otro lado, los correos con la línea del asunto en blanco contenían un documento con archivos que albergaba un programa de descarga macro en lugar de un PDF.

Trickbot sigue ampliando sus objetivos

Trickbot es una familia de malware relativamente nueva que se cree es sucesora de la conocida familia Dyre. Surgió en septiembre del año pasado, y en un inicio atacaba a los bancos de Australia y del Reino Unido. Desde entonces ha sumado a la lista de sus objetivos a otros países y bancos.

La nueva campaña contenía la etiqueta de grupo “mac1”, y descargaba archivos de configuración que contenían una lista actualizada de las instituciones financieras a las que atacaría. De los 51 URLs específicos listados en el archivo de configuración “dinj” en abril pasado, ahora éste tiene 130 URLs. Entre estas actualizaciones se encuentran 16 bancos franceses que fueron antepuestos en el archivo de configuración. A continuación, una captura de pantalla de un archivo de configuración desencriptado que muestra esta actualización:

Además, ahora el archivo de configuración incluye también varios URLs de PayPal:

Otro archivo de configuración (“sinj”) se ha ampliado de forma similar: donde antes se listaban 109 URLs, la actualización contiene hoy 333 URLs. Esta configuración incluye sitios web de cuarenta y cuatro instituciones financieras de Suecia, Noruega, Finlandia y Dinamarca.

Aviso de Protección

Los clientes de Forcepoint™ ahora están protegidos contra esta amenaza a través Forcepoint Cloud Security, que incluye el Advanced Classification Engine (ACE) como parte de los productos de seguridad para el correo electrónico, la web y NGFW. ACE (también conocido como Triton ACE) ofrece análisis  sin firmas para identificar las intenciones maliciosas, incluyendo las técnicas de evasión para encubrir al malware.

Se brinda protección en las siguientes fases del ataque:

Fase 2 (Señuelo): Se identifican y bloquean los correos electrónicos maliciosos asociados con este ataque.
Fase 5 (Archivo Dropper): Se evita que variantes de Trickbot se descarguen.
Fase 6 (Call Home): Se bloquean los intentos de Trickbot de establecer contacto con su servidor C&C.

Conclusión

El uso que hace Trickbot del botnet Necurs para propagarse, en combinación con el aumento de los países e instituciones financieras objetivo, es un claro intento por incrementar sus operaciones globales. Las campañas de correo electrónico malicioso como éstas dependen de la debilidad del punto de interacción humana con los sistemas, y, en este caso, es probable que la carga dañina final tenga consecuencias serias para quienes sean presa de ella.

Prevemos que Trickbot seguirá ampliando sus objetivos y que Forcepoint Security Labs™ continuará monitoreando el desarrollo de esta amenaza.

IMS – FORCEPOINT

Fernando Gutiérrez

Tel: 3124588440

www.imsmarketing.com

Anuncios

¿Cuál es su comentario de este artículo?

Por favor, inicia sesión con uno de estos métodos para publicar tu comentario:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s