La división de inteligencia de amenazas de Check Point ha detectado más de 140 mil equipos infectados por el troyano Trickbot desde noviembre de 2020, muchos de los cuales son clientes de compañías como Amazon, Microsoft, Google y PayPal.
En un comunicado, la firma de ciberseguridad detalló que en total se han documentado 60 organizaciones cuyos compradores han sido víctimas del malware a lo largo de los últimos 14 meses. Las regiones más afectadas, por orden son: Asia-Pacífico, América Latina, Europa, África, América del Norte.
“Los ciberdelincuentes están atacando selectivamente objetivos de alto perfil para robar y comprometer sus datos confidenciales. Además, la infraestructura de este ciberataque puede ser utilizada por varias familias de malware para causar más daño en los equipos infectados”, señala el informe de Check Point Research..
El ataque de Trickbot comienza cuando los ciberdelincuentes envían documentos maliciosos a direcciones elegidas. El usuario descarga y abre el documento. Se ejecuta la primera etapa del malware y se descarga la carga útil principal, esta se ejecuta y establece su persistencia en el equipo infectado.
Los módulos auxiliares de Trickbot pueden ser cargados en el ordenador infectado a petición de los ciberdelincuentes; la funcionalidad de dichos módulos puede variar: puede ser la propagación a través de una red corporativa comprometida, el robo de credenciales corporativas, la obtención de datos de acceso a webs bancarios, entre otras.
Víctimas de alto perfil
El director técnico de Check Point Software para España y Portugal, Eusebio Nieva, explicó en un comunicado que el troyano “ataca a víctimas de alto perfil para robar las credenciales y proporcionar a sus operadores acceso a los portales con datos críticos donde pueden causar aún más daño”.
Agregó que “sabemos que los ciberdelincuentes que están detrás de la infraestructura también tienen mucha experiencia en el desarrollo de malware a alto nivel. La combinación de estos dos factores es lo que permite que Trickbot siga siendo una amenaza peligrosa desde hace más de cinco años.
La firma de ciberseguridad recomienda abrir solo los documentos que se reciben de fuentes de confianza, no habilitar la ejecución en macro dentro de los documentos, asegurarse de tener las últimas actualizaciones del sistema operativo y del antivirus y utilizar contraseñas diferentes en los distintos sitios web.