Los investigadores de seguridad de Cybereason arrojan nueva luz sobre el funcionamiento de TrickBot.
Los grupos de amenazas TrickBot y Shathak unen fuerzas
Según los últimos hallazgos, los actores de amenazas detrás del troyano TrickBot, conocido como Wizard Spider, actualmente están trabajando junto con el TA551 (Shathak) grupo de amenazas para distribuir malware TrickBot y BazarBackdoor, que luego se utilizan para implementar Conti ransomware en sistemas comprometidos. Los actores de amenazas han estado utilizando los cargadores de malware para implementar Conti desde marzo 2021.
Cybereason advierte a las organizaciones sobre el spam malicioso distribuido por los actores de amenazas de Shathak, en forma de archivos de almacenamiento protegidos con contraseña adjuntos a correos electrónicos de phishing. Los archivos contienen documentos maliciosos con macros que descargan y ejecutan TrickBot o BazarBackdoor.. Los actores de la amenaza realizan otras actividades, incluido el reconocimiento, robo de credenciales, y exfiltración de datos, antes de iniciar las operaciones maliciosas.
“La macro suelta un lenguaje de marcado de hipertexto de Microsoft (HTML) aplicaciones (HTA) archivo en el sistema de archivos y luego ejecuta el archivo usando la utilidad de Windows mshta.exe. Los actores maliciosos usan mshta.exe para ejecutar archivos HTA maliciosos y eludir las soluciones de control de aplicaciones que no tienen en cuenta el uso malicioso de la utilidad de Windows.,” según el informe.
La carga útil final del operativo malicioso es Conti ransomware. Se han utilizado campañas similares anteriores para ofrecer Ryuk.
Cabe destacar que las versiones recientes de TrickBot incluyen capacidades de carga de malware. TrickBot es conocido desde hace mucho tiempo por apoyar varias campañas de ataque llevadas a cabo por diferentes grupos de amenazas.. Tanto los delincuentes comunes como los actores del Estado-nación han utilizado la puerta trasera.
“TrickBot ha jugado un papel importante en muchas campañas de ataque realizadas por diferentes actores de amenazas, de los ciberdelincuentes comunes a los actores del estado-nación. Estas campañas a menudo han implicado el despliegue de ransomware como el ransomware Ryuk.," el informe célebre.
Conti es un actor de alto nivel de ransomware de habla rusa que se especializa en operaciones de doble extorsión en las que el cifrado y la exfiltración de datos ocurren simultáneamente.. Una de las últimas actualizaciones del ransomware incluyó la capacidad de destruir copias de seguridad de datos.. https://sensorestechforum.com/conti-ransomware-destroying-data-backups/