TrickBot
no es un troyano nuevo, ya lleva un tiempo con nosotros. Y aunque comenzó
teniendo como objetivo a bancos australianos, en relativamente poco tiempo, se
han hallado evidencias que apuntan a bancos de la Unión Europea ,
incluyendo bancos irlandeses, británicos y alemanes.
A pesar de tener diferente código, TrickBot guarda similitudes con Dyreza (también conocido simplemente como Dyre). Otro viejo conocido responsable de decenas de millones de dólares robados.
Entre
los bancos afectados, se encuentran:
- Ulsterbank
- Banco de Escocia
- Co-OperativeBank
- RBSIdigital
- LloydsBank
- Barclays Wealth
- NationWide
- TSB
- HSBC
- Coutts
- Bankleumim
- Barclays
- TDCommercialBanking
- ASB
- Suncorpbank
- Commbank
- St George
- Banksa
- Banco de Belmourne
- BankWest
- Westpac
- ANZ
- PNBank
- CitiBank
- CIBC
- Commerzbank
- NAB
Detalle del ataque
- Como curiosidades de TrickBot cabe destacar que en vez de
usar SHA256, utiliza
- Destaca también la utilización de routers comprometidos para mantener la infraestructura el máximo tiempo posible. Tiene un diseño modular que le facilita la realización de sus diversas actividades maliciosas. Por ejemplo, incluye un modulo llamado GetSystemInfo, que se encarga de guardar la información de todo el sistema infectado para enviarla remotamente. Otro módulo reseñable es InjectDLL que se inyecta en los navegadores para observar que paginas se visitan.
- A pesar de no haber golpeado aún a bancos españoles, es posible que tras haber mutado en poco tiempo desde Australia hacia Europa, pueda acabar afectando a entidades españolas.
- Como siempre, ante este tipo de amenazas, se recomienda mantener los Antivirus actualizados, así como evitar abrir e-mails adjuntos de desconocidos.
- una-al-dia (05/11/2015) Malware Dyre continúa actualizándose http://unaaldia.hispasec.com/2015/11/malware-dyre-continua-actualizandose.html
