Los operadores de las diversas campañas de malware se mantienen en constante cambio, ya sea por añadir nuevos módulos a sus ciberarmas, implementar técnicas de evasión de controles de seguridad o bien aprovechar situaciones políticas, económicas o sociales para engañar a sus víctimas. Tal es el caso de la reciente campaña de phishing descubierta por Abuse.ch donde se observó que los operadores detrás de TrickBot, aprovecharon el movimiento social generado en Estados Unidos para enviar correos de phishing con el supuesto objetivo de realizar una votación anónima sobre “Black Lives Matter”, donde se suplantaba la identidad de “Country Administration”. Estos correos contenían un archivo Word malicioso adjunto, donde se invitaba a la victima a habilitar la edición y el contenido del documento. Dicha acción provocaría la ejecución de una macro embebida, la cual descargaría y ejecutaría la DLL maliciosa con el troyano TrickBot.

TrickBot es un troyano bancario observado en el 2016, y desde entonces ha estado muy activo. En fechas recientes se ha caracterizado por estar en constante evolución y ser modular. Ha ampliado gradualmente sus funciones para incluir la recopilación de credenciales de los correos electrónicos, navegadores y aplicaciones de red instaladas de la víctima, así como para actuar como un vehículo de entrega para otro malware. A principios de este mes demostró su evolución, al agregar una nueva puerta trasera sigilosa que los investigadores llamaron “BazarBackdoor” al arsenal de TrickBot; y en enero, los investigadores descubrieron que sus operadores estaban usando “PowerTrick”, una puerta trasera que ayudó al malware a realizar el reconocimiento de instituciones financieras específicas y también a buscar otras puertas traseras.

Finalmente, es importante recordar que los operadores detrás de este tipo de ciber amenazas comúnmente se vuelven más activos durante los momentos importantes de la historia, disturbios políticos y sociales. Este tipo de comportamiento ha sido observado por SCILABS durante la actual pandemia del COVID-19, así que no es sorpresa que este tipo de movimientos sean aprovechados por los ciber actores. Debido a esto se recomienda tomar precauciones al recibir cualquier correo con tintes políticos, sociales y económicos, ya que se podrían convertirse en víctimas de algún tipo de malware.

Referencias:
https://threatpost.com/black-lives-matter-emails-trickbot-malware/156497/
https://www.bleepingcomputer.com/news/security/fake-black-lives-matter-voting-campaign-spreads-trickbot-malware/