La situación por la que atravesamos desde hace ya varias semanas no ha pasado desapercibida para los delincuentes, ya que estos tardaron poco en modificar las campañas que tenían en marcha para crear otras nuevas aprovechando esta temática. Sin embargo, entre todas las familias de malware, hay una que ha destacado por el uso intensivo que está haciendo del coronavirus en los correos que utiliza para propagarse. Esta amenaza no es otra que Trickbot, quien ya dio bastante de que hablar en los meses anteriores a la declaración de la pandemia, especialmente por su vinculación al malware Emotet.
Cientos de documentos maliciosos
Según revelaron en un tweet reciente investigadores de Microsoft, Trickbot sería el malware que más se estaría aprovechando de la temática del Covid-19. Solo en la última semana se habrían detectado cientos de documentos maliciosos siendo adjuntados a correos electrónicos enviados a los usuarios. Una de las temáticas más usadas ha sido la de supuestas pruebas gratuitas para detectar el coronavirus.
La cantidad de mensajes y direcciones IP relacionadas con este tipo de amenazas sería del orden de varios miles al día, lo que nos hace una idea de la magnitud de estas campañas que están siendo lanzadas por los delincuentes. De hecho, Google comunicó hace unos días que solo durante la semana pasada detectó más de 18 millones de correos electrónicos diarios con mensajes maliciosos relacionados con el Covid-19.
Técnicas usadas por Trickbot
Pese a ser un malware con varios años de desarrollo a sus espaldas, aTrickbot se le conoce especialmente desde que empezó a formar parte de la triada Emotet-Trickbot-Ryuk. Mientras que el troyano bancario Emotet evolucionó hasta convertirse en un loader o descargador de malware, Trickbot ha mantenido buena parte de su finalidad inicial, que consiste en robar información de aquellos sistemas a los que infecta, añadiendo funcionalidades como la capacidad de lanzar ataques de fuerza bruta a través de RDP y aplicaciones móviles maliciosas que le permiten saltarse el doble factor de autenticación usado por las entidades bancarias.
Estas actualizaciones constantes realizadas de forma periódica lo ha convertido en un malware modular que se adapta constantemente a las necesidades de sus creadores e intenta maximizar el alcance de sus campañas de propagación usando temáticas actuales. Además de robar información confidencial, Trickbot también ha incluido la posibilidad de descargar más malware en los sistemas que infecta, siendo el ransomware Ryuk una de estas amenazas. Además, los delincuentes detrás de Trickbot siguen intentando esquivar la detección y análisis de esta amenaza mediante técnicas como el retraso a la hora de descargar el payload para evadir sandbox y otros sistemas de emulación.
Este tipo de ataques son especialmente peligrosos en entornos corporativos, ya que no solo comprometen la seguridad de la red, sino que también roban información confidencial y, muchas veces, terminan cifrando los datos almacenados en los sistemas infectados, pidiendo un rescate para recuperarlos.
Conclusión
No cabe duda de que los delincuentes están usando la crisis sanitaria actual en su propio beneficio, y entre todos ellos, los responsables de Trickbot (y, por ende, Emotet y Ryuk) son de los que más partido están sacando. En nuestras manos queda adoptar las medidas de seguridad adecuadas para ser capaces de detectar y eliminar tanto estas como otras amenazas.