Trickbot es un sucesor más sofisticado del ya conocido malware Dyre/Dyreza, y actualmente está considerado el más activo del sector. Trickbot cuenta con distintos módulos de configuración para robar las credenciales de banca en línea de los usuarios, y espera a que los dispositivos infectados ingresen a algún servidor bancario para copiar dichas credenciales y enviarlas a un servidor remoto, propiedad de los cibercriminales.
S21sec ha registrado 67 campañas de Trickbot en lo que va del 2017, y se calcula que actualmente afecta a más de 400 entidades en todo el mundo.
Cómo funciona
Trickbot sigue el modelo Zeus: la inyección de código malicioso en el navegador cuando se visitan ciertas páginas. Este es el mismo modus operandi que usaba el malware Dyre, además de que se han encontrado similitudes en su código, lo que sugiere que comparten autores.
Cómo prevenir el ataque
Las recomendaciones para los usuarios finales son relativamente sencillas:
- No abrir enlaces de correos electrónicos con remitentes desconocidos.
- Verificar que la URL de las páginas visitadas empiecen con ‘https:’, y que contengan un candado en la barra de direcciones.
- No usar redes wifi abiertas para mandar hacer compras en línea o accesar a la banca electrónica.
