Seguridad

Cómo funciona Trickbot, la nueva campaña de spam contra empresas

Cuidado con Trickbot, el nuevo ataque spam para las empresas

Desde Panda Security advierten acerca del peligro de una nueva campaña de spam llamada Trickbot y que se sirve de un documento de Word para inyectar malware en los equipos de las empresas. Te contamos cómo funciona y qué medidas tomar contra él.

Vivimos en tiempos peligrosos y volátiles para la ciberseguridad de las empresas, especialmente de las pymes. Los trabajadores se descargan un nuevo malware cada cuatro segundos, las amenazas móviles se multiplican y los hackers perfeccionan sus técnicas para infectar equipos, secuestrar dispositivos y robar datos personales a través de ciberataques y virus cada vez más sofisticados.

Menos de la mitad de las empresas se ven preparadas para afrontar un ciberataque con éxito

Hoy queremos hablarte de una nueva ciberamenaza denominada Trickbot, una campaña de spam reconocida el día 2 de este mes de noviembre y basada en la distribución de un documento de Word enfocado principalmente a empresas de Reino Unido. El mensaje de correo tenía el asunto “Companies House – new company complaint” y llevaba como archivo adjunto un documento de Word llamado “Complaint.doc”. Al abrirlo, los usuarios ven esto en sus pantallas.

Esto es lo que los usuarios ven en pantalla al ser atacados por Trickbot

¿Cómo actúa la campaña de spam TrickBot?

Si sigues las instrucciones proporcionadas por Trickbot y habilitas el contenido del documento, se ejecutarán las macros que lleva. A continuación, se descargará un fichero llamado dododocdoc.exe y lo guardará en %temp% con el nombre sweezy.exe, ejecutándolo a continuación.

El malware se instalará en el equipo infectado e inyectará una DLL -biblioteca de enlace dinámico- en el proceso del sistema svchost.exe. Desde ahí se comunicará con el servidor de comando y control del que recibirá instrucciones.

Las contraseñas que debes evitar si no quieres tener problemas

Por ahora solamente han sido atacados unos cientos de usuarios, la gran mayoría de ellos protegidos de forma proactiva sin necesidad de firmas ni actualizaciones. Además de la mayoría de casos localizados en Reino Unido, se detectaron 7 casos en España y uno en Bélgica, Irlanda y Tailandia, respectivamente. Todos ellos pertenecían a empresas y por el momento, ningún usuario doméstico se hallaba entre los atacados. La campaña fue corta, el primer caso sucedió a las 11:55am y el último a las 13:11pm (CET).

La macro del documento se sirve de PowerShell para ejecutar el malware, una técnica infecciosa habitual que está ganando mucha popularidad en los últimos meses, siendo empleada en diversos ataques analizados por PandaLabs protagonizados por ransomware o incluso para infectar Terminales de Punto de Venta.

Desde Panda Security recomiendan que las compañías se cercioren de que el software está actualizado, cuenten con una solución de seguridad avanzada y conciencien a su equipo de la importancia de la formación en ciberseguridad en el buen funcionamiento de la compañía.

Vía | Panda Security

Sobre el autor de este artículo

Andrea Núñez-Torrón Stock

Licenciada en Periodismo y creadora de la revista Literaturbia. Entusiasta del cine, la tecnología, el arte y la literatura.