Una campaña de phishing pidiendo el voto anónimo sobre Black Lives Matter está distribuyendo el malware Trickbot.
¿Qué es Trickbot?
Trickbot es un troyano bancario que ha ido evolucionando con el tiempo para ejecutar varias acciones maliciosas.
Estas acciones incluyen la distribución lateral del malware por una red, robar las credenciales guardadas en los navegadores, robar las bases de datos de los servicios de Active Directory, robar cookies y claves SSH, robar credenciales de acceso a RDP, VNC y PuTTY, entre otras muchas cosas.
Trickbot también se asocia con grupos de ransomware, como Ryuk, para conseguir y dar acceso a una red y distribuir ransomware a través de ella.
Los atacantes utilizan normalmente eventos actuales como gancho para engañar a la gente y que abra sus correos maliciosos.
La campaña #BlackLivesMatter
Este es el caso de una nueva campaña descubierta por abuse.ch que pretende hacerse pasar por la administración de la provincia o país, pidiendo a los recipientes que voten anónimamente sobre Black Lives Matter. El correo, tiene un mensaje que dice: “Deja un comentario anónimo sobre Black Lives Matter”, y luego insta al usuario a rellenar y devolver un documento doc adjunto llamado ‘e-vote_form_3438.doc’.
Cuando una victima abre el documento de Word, se le presentará un mensaje en el propio documento que les pedirá hacer clic en ‘Activar edición’ y ‘Activar contenido’, para ver los contenidos de forma correcta. Una vez hacen clic en esos botones, el documento de Word ejecuta macros que descargan una DLL maliciosa al PC y lo ejecuta.
Esta DLL es el troyano Trickbot que, cuando se ejecuta, se descarga módulos adicionales al ordenador infectado para robar ficheros, contraseñas, claves de seguridad, distribuirse lateralmente por la red, y permitir a otros actores instalar ransomware.
Por estas razones, el troyano Trickbot puede ser una infección devastadora seas una empresa o un usuario de a pie.
Es importante recordar que los desarrolladores de malware y los distribuidores incrementan su actividad durante momentos significativos en la historia y disturbios políticos. El incremento de casos de phishing y ciberataques relacionados con el COVID-19 ha sido, y aún es, muy grande pero en mayor o menor medida se suelen intentar utilizar todo tipo de ganchos de cierta relevancia.
Hay que ser extremadamente cautelosos con cualquier email que se recibe, incluidos aquellos que son con motivaciones sociales o políticas, ya que pueden contener malware. Nunca te fies de correos que te llegan de manera no solicitada y, si traen adjuntos, evita abrirlos.