¿Caerías en su trampa? Ocho y media de la mañana. El icono de tu correo se ilumina. ¿Un mensaje de Hacienda? ¿Los últimos presupuestos? ¿Un control de actividad? De cualquier modo, un mensaje que te interesa, relacionado con tu trabajo y con un Excel adjunto. Lo descargas y lo abres. Al hacerlo, Excel te informa que ha sido creado en una versión anterior e, instintivamente, pulsas Aceptar. GAME OVER.
¿Qué es Trickbot?
Este malware bancario es ampliamente conocido pues comenzó su andadura en 2016. Se caracterizaba por imitar las ventanas de los bancos online y robar información personal. Poco a poco, dada maleabilidad y personalización ha ido protagonizando diferentes campañas de infección: por ejemplo, el verano de 2017 se reportó una creciente actividad de este malware que se focalizaba en ataques contra procesadores de pago y CRMs.
Con su última actualización, se ejecuta además sobre los navegadores Google Chrome, Mozilla Firefox, Internet Explorer y Microsoft Edge, robando nombres de usuario y contraseñas, Internet, cookies, historial de navegación, autocompletado y publicaciones HTTP.
¿Cómo funciona?
Aunque en Junio de 2017 estuvo activamente llevando a cabo ataques en CRMs y Procesadores de Pago, ahora ha empleado una nueva campaña de malspam para su distribución. La víctima recibe un documento de Excel o Word por correo electrónico. Utilizando ingeniería social, se intenta que el receptor crea que es un documento importante en relación a cuentas, el desempeño de su trabajo o, en general, algo-que-debe-abrir-y-no-es-potencialmente-peligroso.
Si el atacante consigue que el mensaje se abra, el documento mostrará el siguiente mensaje: «Este documento ha sido creado en una versión anterior de Microsoft Office Excel. Para ver el contenido, por favor pulse sobre Habilitar Edición». Una comunicación aparentemente inocente que, con las prisas, la mayoría de incautos no suele leer. Si pulsamos sobre «Habilitar edición», el daño está hecho: comenzará a ejecutarse una macro que contiene un código malicioso en Visual Basic – el que inicia la descarga del malware.
¿Qué información pueden robarme?
Entre otros, estos son algunos de los datos más sensibles que puede robarte Trickbot:
- Contraseñas de Filezilla
- Contraseñas de Microsoft Outlook
- Contraseñas de WinSCP
- Contraseñas y usuarios guardados en tu navegador
- Cookies almacenadas en tu navegador
- Todo tu historial de navegación
- Publicaciones HTTP
¿Está tu empresa protegida?
Además de los sistemas de protección, el factor humano es la clave para evitar esta serie de ataques: ¿están tu infraestructura y tu personal preparados para hacer frente a las amenazas de seguridad?