En ocasiones anteriores hemos podido
observar cómo, a través de distintos correos electrónicos, los atacantes
intentaban provocar que nos descargaramos archivos para infectar nuestros
dispositivos. Las últimas tendencias, apuntaban a que sería el ransomware lo
que más suscitaria el interés de los atacantes. Sin embargo, en esta ocasión
nos encontramos ante un troyano bancario.
Recibimos un correo con el típico
modus operandi de la factura pendiente. Esta incluye un documento de de
Microsoft Office. Concretamente para esta oleada han predominado los documentos
XLS.
El documento nos solicita habilitar el
contenido. Lo que pretenden es que la victima habilite las macros para,
mientras ojea el documento, se ejecute código malicioso.
Ese código, ofuscado para evitar que
sea sencillo de analizar, se encarga de realizar descargas de distintos sitios
web. En caso de que uno de los dos sitios web no responda hará uso del
siguiente para continuar con su ataque.
hxxp://forminore.co/game-for-windows/keys.exe
hxxp://forstraus.co/dfhguserhivesbvhio-84u84jdfkvkdf/utilite.exe
Estos dos archivos .exe corresponden a
un Terdot/ZLoader, un troyano bancario que roba datos de los clientes de las
entidades incluidas en su configuración. Quedan almacenados en el directorio
%APPDATA% del usuario, lugar donde rara vez mira el usuario común.
Algunos de los webinjects del troyano
bancario.
La configuración del troyano cuenta
con inyecciones de código para distintas entidades españolas, entre ellas:
- Santander España
- BMN
- Abanca
- Ruralvia
- *.de (Entidades alemanas)
En el escaneo inicial, únicamente 8
motores antivirus detectaban la amenaza. Un par de días después, más de 40
motores lo detectaban.
Recomendación
La recomendación estrella en este tipo
de ocasiones, a parte de contar con una base de datos de virus actualizada, es
evitar habilitar las macros en documentos de este tipo. Si no estamos seguros
de la procedencia del archivo, es preferible no abrirlo. Si procede de alguien
conocido, siempre puedes asegurarte preguntando para evitar este tipo de
infecciones.
Fuente: Hispasec.com