Las campañas de correo electrónico malicioso dependen de la debilidad del punto de interacción humana con los sistemas y, probablemente, la carga dañina tenga consecuencias serias para las víctimas.
Forcepoint Security Labs informó que el miércoles 7 de junio, alrededor de las 09:00 BST (horario de verano de Gran Bretaña), observó una importante campaña de correo electrónico malicioso proveniente del botnet Necurs, conocido por propagar el ransomware Locky, fraudes de compra-venta de acciones y, el ransomware Jaff.
La campaña consistió en que Necurs distribuyó por primera vez el troyano bancario Trickbot. La campaña de correo electrónico finalizó alrededor de las 18:00 horas del jueves. Forcepoint logró capturar y detener casi 9.6 millones de correos electrónicos relacionados.
Trickbot es una familia de malware relativamente nueva que pudiera ser sucesora de la conocida familia Dyre. Se creó en septiembre del 2016 y en sus inicios atacaba a los bancos de Australia y del Reino Unido, ahora ya suma otros países y bancos.
La nueva campaña contenía la etiqueta de grupo “mac1” y descargaba archivos de configuración que contenían una lista actualizada de las instituciones financieras a las que atacaría. De los 51 URLs específicos listados en el archivo de configuración “dinj” en abril pasado, éste tiene 130 URLs.