¿Qué hace el malware Trickbot y cómo puedes mantenerte protegido?

Como ya hemos informado anteriormente, los ciberdelincuentes están utilizando cada vez más la pandemia del coronavirus COVID19 como un desencadenante de sus ataques cibernéticos. Recientemente, Microsoft analizó que el troyano TrickBot es uno de los malware más productivos enviados a los usuarios de Microsoft 365 a través de correo electrónico. Como parte de una reciente campaña, un gran número de correos electrónicos fueron enviados en nombre de una organización benéfica inexistente que supuestamente ofrecía pruebas gratuitas de COVID19 – el archivo adjunto incluía un formulario infectado con el malware TrickBot.

Hornetsecurity explicará la actual campaña maliciosa acerca de COVID19, cómo se comportan los ataques TrickBot así como recomendaciones para proteger tu empresa contra ellos. 

¿Qué es TrickBot?

Trickbot troyano es un programa malicioso modular que fue utilizado originalmente como un troyano bancario online, pero ahora ha evolucionado en una herramienta de ataque cibernético universal utilizado por los ciberdelincuentes. Además de un componente para el fraude bancario online, el inventario incluye módulos para espiar los datos de acceso de navegadores web, programas de correo electrónico y otras aplicaciones.

En la mayoría de los casos, el malware ataca  a través de un archivo adjunto de correo electrónico infectado y se infiltra a través de Emotet. Una vez que se abre el documento, se activa el componente principal del troyano TrickBot: “el cargador”. Esto deshabilita inicialmente los servicios de Windows y la ejecución de procesos de Windows Defender y otros programas antivirus.

En el siguiente paso, TrickBot intenta obtener derechos administrativos para que todos los módulos cargados posteriormente se puedan ejecutar con derechos de administrador, por ejemplo, para leer los datos de acceso almacenados en el servicio de autoridad de seguridad local (LSA).

A continuación, TrickBot espía información sobre el sistema y la red en función del módulo cargado. Todos los datos recogidos se transmiten por el malware a los ciberdelincuentes que ahora pueden analizar si otras acciones valen la pena.

Al mismo tiempo, gracias a los datos de acceso espiados fuera de la LSA (Local Security Authority), TrickBot se extiende automáticamente por toda la red.  

El TrickBot a menudo aparece en una combinación particularmente peligrosa de malware junto a Emotet y Ryuk, que tienen como objetivo cifrar todos los archivos sensibles en el sistema y sólo los liberan de nuevo a cambio de pagos de rescate.

¿Qué está pasando en la actual campaña de Trickbot sobre el coronavirus?

Tanto Microsoft, como el Security Lab de Hornetsecurity han observado que los buzones de Microsoft 365 se están convirtiendo cada vez más en el objetivo de los ataques cibernéticos relacionados con el coronavirus. Un nuevo análisis muestra que TrickBot está demostrando ser particularmente productivo en este contexto: una actual campaña de correo electrónico en nombre de una ficticia organización humanitaria promete pruebas gratuitas de Covid 19. Los destinatarios sólo tendrían que solicitarlos a través de un documento adjunto.

Si se abre el archivo, se ejecuta el malware. La macro espera 20 segundos antes de recargar sus módulos maliciosos para no volverse visible en el análisis del sandbox.

Dependiendo  de cómo de lucrativo sea evaluado el golpe de destino por el análisis de TrickBot, otros componentes maliciosos como Ryuk, se pueden volver a cargar para cifrar datos confidenciales.

¿Por qué los buzones de Microsoft 365 son un destino popular?

El número de usuarios de Microsoft 365 está creciendo rápidamente – debido a la situación actual también se puede suponer que el crecimiento se acelerará una vez más – ya que muchas empresas están equipando a sus empleados para el teletrabajo con los servicios basados en la nube de Microsoft. Sin embargo, Microsoft 365 también se está convirtiendo en un objetivo popular para los ciberdelincuentes debido al creciente número de usuarios. Sólo en 2019, el número de ataques a las cuentas de correo electrónico de los usuarios se cuadruplicó.
El problema es que los usuarios de Microsoft 365 son fáciles de identificar porque los registros MX y los registros de detección automática están disponibles públicamente en la red. Los usuarios deben confiar en los mecanismos de seguridad de Microsoft, pero si un atacante obtiene acceso a una cuenta de Microsoft 365, todos los datos están disponibles para ellos sin restricciones. Si se toma una cuenta de administrador, el atacante puede incluso obtener datos de todos los usuarios de la empresa.

¿Cómo puedes protegerte contra una infección de TrickBot?

El ataque TrickBot descrito no sólo afecta a los buzones de Microsoft 365, sino que se propaga ampliamente a objetivos potencialmente lucrativos y es representativo de una multitud de ataques que actúan de acuerdo a un patrón similar. Ahora surge la pregunta: ¿Cómo puedes protegerte contra estos métodos?

Lo más importante es que los correos electrónicos maliciosos sean interceptados por filtros avanzados de spam y malware. Los correos electrónicos entrantes deben pasar a través de varias etapas de filtro antes de que se reconozcan como seguros y se entreguen al servidor de correo del cliente o de lo contrario los correos electrónicos terminarán en cuarentena.

Además, debe asegurarse que las contraseñas sólo se almacenan en un administrador de contraseñas, porque TrickBot roba las contraseñas que se almacenan directamente en aplicaciones como el navegador web. También se recomienda utilizar la autenticación de dos factores para los servicios que ofrecen esta característica. Porque si las contraseñas son robadas, lo cibercriminales no pueden hacer nada con la información.

Del mismo modo, la restricción de los derechos de acceso en la red minimiza el riesgo de propagación posterior.

Los usuarios de Microsoft 365 también deben ser conscientes de esto: con el fin de reducir la probabilidad de ser el objetivo de este tipo de ataques, tiene sentido proteger las cuentas de Microsoft 365 con una solución de terceros adicional además de los mecanismos de protección de Microsoft. Los proveedores especializados ocultan los registros DNS y MX de Microsoft, lo que hace que los usuarios de Microsoft 365 sean muy difíciles de identificar para los atacantes.

Algunos proveedores permiten el cifrado completo de los datos de buzón de correo, almacenados en la nube,  y ayudan a protegerlos del espionaje. Incluso si los ciberdelicuentes consiguen secuestrar la cuenta con éxito.