Forcepoint Security Labs descubrió una campaña de Trickbot que aparentemente está atacando a las criptomonedas, conocidas también como criptodivisas. Trickbot es un troyano bancario que se conoce por atacar a las instituciones bancarias.
Recientemente se observó que Trickbot estaba afectando a Paypal y ampliando la lista de instituciones objetivo para incluir a las que operan en los países nórdicos. La campaña de hoy utiliza al Canadian Imperial Bank of Commerce (CIBC) en su estrategia de ingeniería social. A continuación se muestra una captura de pantalla del correo electrónico:
El documento anexo aparenta ser un documento del CIBC, y contiene un programa que descarga macros, el cual finalmente baja y ejecuta la variante de Trickbot.
Al momento de redactar este documento, el sistema había capturado 8,600 correos electrónicos relacionados; el Reino Unido, Canadá y Francia fueron los tres principales objetivos, aunque la mayoría de los destinatarios tienen el dominio de alto nivel (TLD) “.com”.
La variante de Trickbot que se descarga tiene la etiqueta de grupo “kas2”. Los archivos de configuración desencriptados contienen una lista de los objetivos que ya se observaron en las campañas anteriores con una excepción: se ha añadido coinbase.com a los sitios monitoreados para detectar inyecciones web. Particularmente, se agregó el archivo de configuración “sinj” (inyección estática).
Coinbase es un sitio de criptomonedas que realiza cambios de Litecoin, Bitcoin, Ethereum y otros recursos digitales. Al ser Coinbase un objetivo, las divisas no tradicionales ahora también están en riesgo de ser robadas a las víctimas potenciales del troyano bancario Trickbot.
Los usuarios de Forcepoint están protegidos contra esta amenaza a través de Forcepoint Cloud Security, el cual incluye el Advanced Classification Engine (ACE) como parte de los productos de seguridad para el correo electrónico, la web y NGFW (Next Generation Firewall).
Deja un comentario