Los operadores detrás del malware malicioso TrickBot han reaparecido con nuevos trucos destinados a aumentar su posición mediante la expansión de sus canales de distribución, lo que eventualmente conducirá al despliegue de ransomware como Conti.
Se descubrió que el actor de amenazas, apodado ITG23 y Wizard Spider, estaba colaborando con otras bandas de ciberdelincuencia conocidas como Hive0105, Hive0106 (también conocida como TA551 o Shathak) y Hive0107, lo que contribuye al creciente número de campañas en las que confían los atacantes. entregar malware patentado, según un informe de IBM X-Force.
«Estos y otros ciberdelincuentes están infectando las redes corporativas con malware secuestrando hilos de correo electrónico, utilizando formularios de respuesta de clientes falsos y personal de ingeniería social con un centro de llamadas falso conocido como BazarCall», dijeron los investigadores Ole Villadsen y Charlotte Hammond.
Desde que TrickBot apareció en el campo de las amenazas en 2016, ha evolucionado de un caballo de Troya bancario a una solución modular contra el crimen basada en Windows, al mismo tiempo que sobresale en su resiliencia y demuestra su capacidad para mantener y actualizar su conjunto de herramientas e infraestructura a pesar de muchos esfuerzos por ley. autoridades. y grupos de la industria para eliminar esto. Además de TrickBot, el grupo Wizard Spider fue responsable del desarrollo de BazarLoader y la puerta trasera llamada Anchor.
Si bien los ataques a principios de este año se basaron en campañas de correo electrónico que entregaban documentos de Excel y un truco del centro de llamadas «BazaCall» para entregar malware a los usuarios corporativos, las intrusiones recientes que comenzaron alrededor de junio de 2021 estuvieron marcadas por una asociación con dos afiliados de delitos cibernéticos para expandir la infraestructura de distribución. utilizando hilos de correo electrónico secuestrados y consultas web fraudulentas en los sitios web de los clientes para implementar cargas útiles de Cobalt Strike.
«Este movimiento no solo aumentó la cantidad de intentos de entrega, sino que también diversificó los métodos de entrega para infectar a más víctimas potenciales que nunca», dijeron los investigadores.
Una cadena infecciosa observada por IBM a finales de agosto de 2021 afirma que Hive0107 ha adoptado una nueva táctica que consiste en enviar mensajes de correo electrónico a empresas objetivo informándoles que sus sitios web están realizando ataques de denegación de servicio distribuido (DDoS) en sus servidores. e insta a los destinatarios a hacer clic en el enlace para obtener más pruebas. En su lugar, al hacer clic en el enlace se descargará un archivo ZIP que contiene un descargador de JavaScript (JS) malicioso, que a su vez contacta con la URL remota para descargar el malware BazarLoader y descartar Cobalt Strike y TrickBot.
«ITG23 también se ha adaptado a la economía del ransomware mediante la creación de Conti ransomware-as-a-service (RaaS) y el uso de sus datos BazarLoader y Trickbot para obtener soporte para ataques de ransomware», concluyeron los investigadores. «Este último desarrollo demuestra la fuerza de sus conexiones dentro del ecosistema del cibercrimen y su capacidad para usar estas relaciones para expandir la cantidad de organizaciones infectadas con su malware».
