Hace tiempo que llevamos siguiendo las
andanzas del troyano bancario Trickbot. Se ha recorrido medio mundo: Australia,
Irlanda, Inglaterra, Alemania, Canadá… y hoy mismo acabamos de detectar una
muestra que ataca a entidades españolas.
Con el paso del tiempo, el rango de
victimas ha ido aumentando, así como el de países afectados hasta finalmente
incluir España dentro de su alcance.
Detalle del ataque
El ataque llega a través de un correo
electrónico que incluye un documento adjunto malicioso.
En el correo se menciona una falsa
querella contra la empresa, intentando lograr que el usuario haga click sobre
el documento.
Al abrir el documento se ejecuta una
macro automáticamente que lanza un comando a través de Powershell. Este comando
se encargará de descargar desde un servidor remoto un binario (el malware
propiamente dicho) que posteriormente será ejecutado por el script. De esta
manera el ordenador de la víctima queda infectado.
La muestra cuenta con una tarea que se
ejecutará constantemente para asegurarse que el troyano bancario siga
ejecutándose sin problemas.
Contamos también con el listado de
infraestructuras remotas utilizadas por el troyano bancario, además de los
módulos y configuración obtenido por este. En total se encuentran afectadas un
total de 76 entidades de todo el mundo, incluyendo españolas. Cabe destacar,
que esta muestra afecta incluso a entidades del sector farmacéutico.
Entre las nuevas entidades españolas
incluidas podemos encontrar:
• Bancofar
• caja-sur
• Kutxabank
• caja-ingenieros
• Ruralvia
El hash
de la muestra:
88bef4abd4db5e07764358ca39fe5bbf257603dbf3f0e4eeec2e8c127cfa7bfd
36b83f1df7c918efcde6ec5a895b4b53ec0307b1b8603a5ba3a3ab63ab7c2265
Como siempre, ante este tipo de
amenazas, se recomienda mantener los antivirus actualizados, así como evitar
abrir e-mails adjuntos de desconocidos. También recordar que si recibís correos
que consideréis falsos, con facturas falsas, fraude o malware podéis
enviárnoslo a report@hispasec.com
Más
información:
- una-al-dia (07/11/2016) El troyano bancario TrickBot azota a Europa http://unaaldia.hispasec.com/2016/11/el-troyano-bancario-trickbot-azota.html
Laboratorio
Hispasec
- Continúan las andanzas de Trickbot http://laboratorio.blogs.hispasec.com/2016/11/continuan-las-andanzas-de-trickbot_29.html
Fuente: Hispasec
