TrickBot regresa con un nuevo ataque que comprometió 250 millones de direcciones de correo electrónico
El malware TrickBot, que a principios de este año trabajó en conjunto con el ransomware Ryuk para extraer millones de dólares para los hackers, está de vuelta con un nuevo ataque que puede haber comprometido hasta 250 millones de cuentas de correo electrónico.
En un informe de Deep Instinct , la compañía de ciberseguridad reveló una nueva variante de TrickBot que se asocia con un módulo de distribución y infección maliciosa basado en correo electrónico denominado TrickBooster.
El nuevo ataque comienza igual que en los métodos anteriores, con TrickBot infiltrándose en la computadora de la víctima. El malware luego obliga a la máquina a descargar TrickBooster, que informa a un servidor dedicado de comando y control con listas de direcciones de correo electrónico y credenciales de inicio de sesión recopiladas desde la bandeja de entrada, salida y la libreta de direcciones de la víctima. Posteriormente, el servidor TrickBooster le indica a la máquina infectada que envíe una infección maliciosa y correos electrónicos no deseados, con los correos electrónicos eliminados de la bandeja de salida y la carpeta de basura para que permanezcan ocultos a la víctima.
En la investigación de Deep Instinct de TrickBooster y su infraestructura de red asociada, la empresa de ciberseguridad descubrió una base de datos que contenía 250 millones de cuentas de correo electrónico que fueron capturadas por los operadores de TrickBot. Las direcciones probablemente también fueron dirigidas con los correos electrónicos maliciosos.
El volcado de correo electrónico recuperado incluye aproximadamente 26 millones de direcciones en Gmail, 19 millones en Yahoo, 11 millones en Hotmail, 7 millones en AOL, 3.5 millones en MSN y 2 millones en Yahoo Reino Unido. Las cuentas comprometidas también involucraron a muchos departamentos y agencias gubernamentales en el Estados Unidos, incluidos, entre otros, el Departamento de Justicia, el Departamento de Seguridad Nacional, el Departamento de Estado, la Administración de la Seguridad Social, el Servicio de Impuestos Internos, la Administración Federal de Aviación y la Administración Nacional de Aeronáutica y del Espacio. Otros afectados incluyen organizaciones gubernamentales y universidades en el Reino Unido y Canadá.
Deep Instinct Spot comprobó algunos miles de cuentas de correo electrónico comprometidas contra violaciones de seguridad registradas previamente, y encontró que la base de datos es un nuevo lote de direcciones que no se ha visto ni reportado anteriormente.
El descubrimiento de TrickBooster "destaca el éxito y la sofisticación de TrickBot", según Deep Instinct, mientras que el modelo fue descrito como "una poderosa adición al vasto arsenal de TrickBot" de los métodos de ataque.
Deep Instinct dijo que continúa su investigación y análisis en TrickBooster, y que está en el proceso de informar los detalles del nuevo ataque TrickBot a las autoridades.