Alrededor de las 09:00 BST (horario de verano de Gran Bretaña) del miércoles 7 de junio, Forcepoint Security Labs observó una campaña de correo electrónico malicioso proveniente del botnet Necurs, el cual es conocido por propagar el ransomware Locky, fraudes de compra-venta de acciones y, más recientemente, el ransomware Jaff.
Sin embargo, en esta ocasión se ha observado a Necurs distribuir por primera vez el troyano bancario Trickbot. La campaña de correo electrónico finalizó alrededor de las 18:00 horas de ayer, y el sistema logró capturar y detener casi 9.6 millones de correos electrónicos relacionados.
Para los dos primeros asuntos de los correos electrónicos, la cadena de infección es idéntica a lo que se ha documentado para Jaff, un documento PDF anexo que contiene un archivo compuesto de varios documentos con un programa macro que descarga el troyano Trickbot.
Trickbot es una familia de malware relativamente nueva que se cree es sucesora de la conocida familia Dyre. Surgió en septiembre del año pasado, y en un inicio atacaba a los bancos de Australia y del Reino Unido. Desde entonces ha sumado a la lista de sus objetivos a otros países y bancos.
La nueva campaña lanzada ayer contenía la etiqueta de grupo “mac1”, y descargaba archivos de configuración que contenían una lista actualizada de las instituciones financieras a las que atacaría. De los 51 URLs específicos listados en el archivo de configuración “dinj” en abril pasado, ahora éste tiene 130 URLs. Entre estas actualizaciones se encuentran 16 bancos franceses que fueron antepuestos en el archivo de configuración.
El uso que hace Trickbot del botnet Necurs para propagarse, en combinación con el aumento de los países e instituciones financieras objetivo, es un claro intento por incrementar sus operaciones globales.
Deja un comentario