Los operadores de una de las familias de malware bancario más activas que se conocen como TrickBot han estado modificando algunos de los módulos del troyano a medida que aumentan los ataques globales en preparación para la temporada navideña. Mientras que anteriormente las campañas de TrickBot se habían centrado principalmente en los países de habla occidental e inglesa (aunque también se sabía que el malware apuntaba a otras partes del mundo), ahora el actor de la amenaza se fijó en Japón, y los bancos japoneses se convirtieron en el principal objetivo.
Si bien el malware TrickBot se ha detectado en otras regiones, esta es la primera vez que se ve a TrickBot en bancos japoneses. Entonces, a medida que se acerca la temporada de vacaciones, los investigadores de X-Force instan a los compradores en Japón a tener precaución al realizar compras en sitios de comercio electrónico o visitar plataformas de intercambio de criptomonedas. Si bien la mayoría de las campañas apuntan a la banca en línea (76%), el comercio electrónico (5%), las tarjetas de pago (3%), las cooperativas de crédito (3%) y los intercambios de Bitcoin (3%) también están dirigidos
"Las configuraciones de TrickBot se han cargado con cientos de URL específicas, la mayoría pertenecientes a bancos, pero también se reconocieron algunos objetivos no tradicionales en listas recientes, como tarjetas de combustible, una cadena de hoteles y una empresa de suministros industriales, por nombrar algunos", señalaron los investigadores. dijo.
En las campañas dirigidas a entidades japonesas, TrickBot se entregó a través de spam malicioso distribuido por la botnet Emotet. La mayoría de los ataques involucraron inyecciones web en sitios web bancarios, lo que finalmente condujo a fraude bancario. Una de las tácticas de uso frecuente de TrickBot, extraída del servidor del atacante, consiste en engañar a las víctimas para que compartan datos personales, detalles de la tarjeta de pago y códigos PIN, así como elementos de autorización de transacción.
Los investigadores también han advertido sobre el potencial de los ataques de TrickBot que se convierten en ataques de ransomware Ryuk, ya que "se sabe que una cadena de exterminio que comienza con infecciones de Emotet y TrickBot da como resultado ataques de Ryuk", lo que lleva a infecciones de ransomware generalizadas que pueden paralizar las organizaciones y costar ellos mucho dinero
Durante la última década, los troyanos bancarios se han convertido en una de las herramientas más utilizadas en la escena cibercriminal, evolucionando hacia códigos cada vez más sigilosos y sofisticados. Según el equipo de X-Force, TrickBot encabeza la lista del malware más activo con una tasa de infección del 23%, seguido de troyanos modulares similares Ramnit (20%), Gozi (15%), Qakbot (9%) e IcedID (8%).
https://securityintelligence.com/posts/trickbot-widens-infection-campaigns-in-japan-ahead-of-holiday-season/
