El malware TrickBot se está propagando activamente a través de campañas de spear-phishing y se dirige a varias entidades con sede en América del Norte. Según las advertencias recientes de varias agencias federales, un grupo de amenazas avanzadas está utilizando correos electrónicos de phishing para atraer a las víctimas e infectarlas con TrickBot.
¿Lo que está sucediendo?
El CISA y el FBI descubrieron los ataques en curso aprovechando TrickBot que ahora se ha convertido en un malware de múltiples etapas altamente modular.
- El grupo está utilizando un esquema de phishing por infracción de tráfico para descargar el malware en la máquina de la víctima.
- El atacante envía correos electrónicos de phishing que redirigen al destinatario a un sitio web alojado en un servidor malicioso, pidiendo a las víctimas que hagan clic en una foto de prueba de su infracción de tráfico.
- Los investigadores de seguridad informaron que los atacantes pueden usar TrickBot para difundir otras amenazas también. Algunos de ellos se identifican como descargadores de Ryuk, Conti y Emotet.
Actividades recientes de TrickBot
Desde enero , el troyano ha estado activo y se ha extendido a múltiples agencias alrededor del mundo.
- Desde el intento de eliminación en octubre por Microsoft, ESET, Symantec y varias otras agencias, los operadores de TrickBot han estado actualizando continuamente su malware, mientras lo utilizan para nuevas campañas de ataques de phishing y malware de forma regular.
- Recientemente, TrickBot reemplazó a Emotet para convertirse en la nueva principal amenaza global, según Global Threat Index de Checkpoint .
Conclusión
A pesar del intento de derribo, el troyano volvió más fuerte con nuevos trucos y tácticas bajo la manga. Por lo tanto, es importante que las organizaciones mejoren su postura de seguridad al pasar por la mitigación y las recomendaciones de la alerta.