Trickbot es nombre de uno de los virus informáticos que, en menor cantidad de tiempo, se convirtió en uno de los más agresivos del planeta.
Check Point Research (CPR), la división de Inteligencia de Amenazas de Check Point Software Technologies Ltd., descubrió nuevos detalles sobre su funcionamiento.
Este conocido troyano bancario, roba y compromete los datos de víctimas de alto perfil. Más precisamente, desde noviembre de 2020, este virus infectó a más de 140.000 computadoras.
Muchos de esos dispositivos fueron de clientes de reconocidas compañías, como Amazon, Microsoft, Google y PayPal.
Más cifras
En total, se documentaron 60 corporaciones cuyos compradores fueron víctimas de este troyano a lo largo de los últimos 14 meses.
Según CPR, los ciberdelincuentes atacan selectivamente objetivos de alto perfil para robar y comprometer sus datos confidenciales.
se trata de uno de los virus más agresivos
Además, la infraestructura de este ciberataque puede ser utilizada por varias familias de malware para causar más daño en los equipos infectados.
Por tal motivo, CPR recomienda a los ciudadanos que solo abran documentos de fuentes de confianza.
Los autores de Trickbot aprovechan las técnicas de anti-análisis (que impiden o dificultan que el malware sea analizado) y anti-desfusión (dificultar la lectura de un código) para permanecer dentro de las unidades.
Puntos clave de la ejecución de Trickbot
- El troyano es muy selectivo a la hora de elegir sus objetivos
- Los diversos métodos implementados en los módulos (incluyendo anti-análisis y la anti-desfusión) demuestran la gran experiencia técnica de los ciberdelincuentes
- La infraestructura de Trickbot puede ser utilizada por otras familias de malware para causar más daño en los equipos infectados
- Este ataque es sofisticado y versátil con más de 20 módulos que pueden descargarse y ejecutarse bajo demanda
Cómo funciona Trickbot
Los ciberdelincuentes reciben una base de datos de correos electrónicos robados y envían documentos maliciosos a las direcciones elegidas.
El usuario descarga y abre dicho documento, permitiendo su ejecución en el proceso. Después se ejecuta la primera etapa del malware y se descarga la carga útil principal.
La carga útil principal del troyano se ejecuta y establece su persistencia en el equipo infectado.
Los módulos auxiliares de Trickbot pueden ser cargados en el ordenador infectado a petición de los ciberdelincuentes.
Más detalles
La funcionalidad de dichos módulos puede variar: puede ser la propagación a través de una red corporativa comprometida, el robo de credenciales corporativas, la obtención de datos de acceso a webs bancarios, etc.
"Las estadísticas de Trickbot han sido sorprendentes. Hemos documentado más de 140.000 ataques dirigidos a los clientes de algunas de las empresas más importantes del mundo", menciona Alejandro Botter, gerente de ingeniería de Check Point para el sur de Latinoamérica.
También agrega, que "Seguimos observando que los autores de Trickbot tienen la habilidad de abordar el desarrollo de malware desde muy bajo-nivel y prestan atención a los pequeños detalles".
Consejos de seguridad
- Abrir sólo los documentos que se reciben de fuentes de confianza
- No se debe habilitar la ejecución en macro dentro de los documentos
- Hay que asegurarse de tener las últimas actualizaciones del sistema operativo y del antivirus
- En los distintos sitios web, utilizar contraseñas diferentes
Trickbot ataca a víctimas de alto perfil para robar las credenciales y proporcionar a los atacantes el acceso a portales con datos confidenciales donde pueden causar aún más daño.
Los delincuentes a la orden del día, ya infectaron más de 140.000 mil equipos
Ciberdelincuentes experimentados
Al mismo tiempo, CPR divulgó que los ciberdelincuentes detrás de la infraestructura de Trickbot poseen también mucha experiencia en el desarrollo de malware de alto-nivel.
La combinación de estos dos factores es lo que permite que Trickbot siga siendo una amenaza peligrosa desde hace más de 5 años.
"Desde Check Point recomendamos fuertemente que solo abran documentos de fuentes confiables, usen diferentes contraseñas en diferentes sitios web y activen un doble factor de autenticación siempre que sea posible", resaltó Alejandro Botter, gerente de ingeniería de Check Point para Latam Sur.