Trickbot infectó más de 140,000 equipos de clientes de empresas como Amazon, Microsoft, Google y más

Check Point Research descubrió nuevos detalles de la ejecución de Trickbot. Este conocido troyano bancario, roba y compromete los datos de víctimas de alto perfil. Check Point Research ha contabilizado más de 140.000 equipos infectados por Trickbot desde noviembre de 2020, muchos de los cuales son clientes de conocidas compañías, como Amazon, Microsoft, Google y PayPal. En total, se han documentado 60 corporaciones cuyos compradores han sido víctimas de este troyano a lo largo de los últimos 14 meses.

Los ciberdelincuentes están atacando selectivamente objetivos de alto perfil para robar y comprometer sus datos confidenciales. Además, la infraestructura de este ciberataque puede ser utilizada por varias familias de malware para causar más daño en los equipos infectados. Check Point Research recomienda a los ciudadanos que solo abran documentos de fuentes de confianza, ya que los autores de Trickbot están aprovechando las técnicas de anti-análisis (que impiden o dificultan que el malware sea analizado) y anti-desfusión (dificultar la lectura de un código) para permanecer dentro de las unidades. El porcentaje de organizaciones afectadas por este troyano en cada región son:

Trickbot

Puntos clave de la ejecución de Trickbot

  • El troyano es muy selectivo a la hora de elegir sus objetivos.
  • Los diversos métodos implementados en los módulos -incluyendo anti-análisis y la anti-desfusión demuestran la gran experiencia técnica de los ciberdelincuentes.
  • La infraestructura de Trickbot puede ser utilizada por otras familias de malware para causar más daño en los equipos infectados.
  • Este ataque es sofisticado y versátil con más de 20 módulos que pueden descargarse y ejecutarse bajo demanda.

Cómo funciona Trickbot

  • Los ciberdelincuentes reciben una base de datos de correos electrónicos robados y envían documentos maliciosos a las direcciones elegidas.
  • El usuario descarga y abre dicho documento, permitiendo su ejecución en el proceso.
  • Se ejecuta la primera etapa del malware y se descarga la carga útil principal.
  • La carga útil principal del troyano se ejecuta y establece su persistencia en el equipo infectado.
  • Los módulos auxiliares de Trickbot pueden ser cargados en el ordenador infectado a petición de los ciberdelincuentes; la funcionalidad de dichos módulos puede variar: puede ser la propagación a través de una red corporativa comprometida, el robo de credenciales corporativas, la obtención de datos de acceso a webs bancarios, etc.

«Las estadísticas de Trickbot han sido sorprendentes. Hemos documentado más de 140.000 ataques dirigidos a los clientes de algunas de las mayores y más reputadas empresas del mundo. Seguimos observando que los ciberdelincuentes tienen la habilidad de abordar el desarrollo de malware desde un nivel muy bajo y prestar atención a los pequeños detalles. Trickbot ataca a víctimas de alto perfil para robar las credenciales y proporcionar a sus operadores acceso a los portales con datos sensibles donde pueden causar aún más daño. Al mismo tiempo, sabemos que los ciberdelincuentes que están detrás de la infraestructura también tienen mucha experiencia en el desarrollo de malware a alto nivel. La combinación de estos dos factores es lo que permite que Trickbot siga siendo una amenaza peligrosa desde hace más de 5 años. Recomiendo encarecidamente a los usuarios que sólo abran documentos de fuentes fiables y que utilicen diferentes contraseñas en distintos sitios web», destaca Eusebio Nieva, director técnico de Check Point Software para España y Portugal.

Consejos de seguridad

  1. Abrir sólo los documentos que se reciben de fuentes de confianza. No se debe habilitar la ejecución en macro dentro de los documentos.
  2. Hay que asegurarse de tener las últimas actualizaciones del sistema operativo y del antivirus.
  3. En los distintos sitios web, utilizar contraseñas diferentes.

Listado de empresas afectadas:

  1. Amazon
  2. AmericanExpress
  3. AmeriTrade
  4. AOL
  5. Associated Banc-Corp
  6. BancorpSouth
  7. Bank of Montreal
  8. Barclays Bank Delaware
  9. Blockchain.com
  10. Canadian Imperial Bank of Commerce
  11. Capital One
  12. Card Center Direct
  13. Centennial Bank
  14. Chase
  15. Citi
  16. Citibank
  17. Citizens Financial Group
  18. Coamerica
  19. Columbia Bank
  20. Desjardins Group
  21. E-Trade
  22. Fidelity
  23. Fifth Third
  24. FundsXpress
  25. Google
  26. GoToMyCard
  27. HawaiiUSA Federal Credit Union
  28. Huntington Bancshares
  29. Huntington Bank
  30. Interactive Brokers
  31. JPMorgan Chase
  32. KeyBank
  33. LexisNexis
  34. M&T Bank
  35. Microsoft
  36. Navy Federal
  37. Paypal
  38. PNC Bank
  39. RBC Bank
  40. Robinhood
  41. Royal Bank of Canada
  42. Schwab
  43. Scotiabank Canada
  44. SunTrust Bank
  45. Synchrony
  46. Synovus
  47. T. Rowe Price
  48. TD Bank
  49. TD Commercial Banking
  50. TIAA
  51. Truist Financial
  52. U.S. Bancorp
  53. UnionBank
  54. USAA
  55. Vanguard
  56. Wells Fargo
  57. Yahoo
  58. ZoomInfo