En esta ocasión, los
ciberdelincuentes se encargaron de enviar un falso email, imitando el diseño
web de Bankia e informando en nombre de la entidad bancaria de la resolución de
una incidencia en la cuenta bancaria del usuario y adjuntan un documento Word
con información detallada del proceso. Un adjunto con un virus informático que,
al abrir el documento, ejecuta el malware en el equipo: el troyano bancario
TrickBot, afectando en las últimas hora a cientos de compañías y particulares.
El último phishing,
paso a paso.
Ya hemos visto cuáles
son los asuntos más usados en el correo electrónico a los que recurren los
ciberdelincuentes para hacernos morder el anzuelo. En esta ocasión, el nombre
del documento Word adjunto no dista de esta realidad: DocumentoSeguro.doc. La
macro del documento utiliza PowerShell (herramienta de Microsoft, incluida por
defecto en Windows (a partir de Windows 7)
para ejecutar el malware, una técnica habitual que está ganando mucha
popularidad en los últimos tiempos, siendo utilizada en algunos de los ataques
analizados por PandaLabs protagonizados por ransomware o incluso para infectar
Terminales de Punto de Venta.
Si el usuario
habilita el uso de macros del documento
se ejecutarán dichas macros:
El Word crea un
powershell que intentará descargarse una imagen en formato png. EstE realmente
es un archivo ejecutable dañino (Trickbot), desde determinados servidores de
distribución. Y lo ejecutará en el sistema con el objetivo de robar
credenciales para vaciar las cuentas bancarias de sus víctimas.
Observamos el modus
operandi
Trickbot es un
troyano bancario compuesto por distintos módulos con diversa funcionalidad,
aunque el uso más habitual es el robo de credenciales al acceder a determinadas
páginas web como plataformas de pago, bancos y sitios de compra y venta de
criptomoneda.
Una vez el Trickbot
entra en ejecución, creará una carpeta llamada winapp en %APPDATA% donde guardará dos archivos
característicos de Trickbot llamados client_id y group_tag para identificar el
equipo infectado.
Además, crea una
carpeta llamada Modules donde ira guardando todas las DLLs correspondientes a
los nuevos módulos que va descargándose.
Para ganar
persistencia y asegurar así su ejecución, creará una tarea programada en el
equipo, que entrará en ejecución cada 3 minutos o cuando el usuario se loguea
en el sistema.
A continuación se
resume el funcionamiento de cada uno de los módulos del trickbot.
·
ImportDll32:
Roba información sobre la navegación del usuario.
·
Injectdll32:
Se inyecta en los navegadores para robar credenciales.
·
Systeminfo32:
Obtiene información del sistema.
·
Outlook32:
Roba datos de Microsoft Outlook
·
MailSearch32
:Busca archivos en el sistema.
·
wormDLL
: Añade capacidades de gusano.
Cada vez que Trickbot
carga un nuevo módulo, lo hará a través de svchost.exe como podemos ver a
continuación.
Cómo podemos
observar, trickbot es un malware muy versátil y que con cada actualización, va
añadiendo nuevas capacidades en cada nueva campaña.
Recomendación
Desde Panda Security
hemos detectado cientos de ataques, pero ningún cliente ha sido afectado
gracias al bloqueo de forma proactiva que realizamos de la amenaza con todas nuestras
soluciones. Recomendamos no se activen las macros de un documento Word si no se
está seguro que proviene de una fuente confiable. Además, las empresas deben asegurarse de que el
software está actualizado, cuenten con una solución de seguridad avanzada como
Adaptive Defense 360 y conciencien a su equipo de la importancia del papel de
la ciberseguridad en el buen funcionamiento de la empresa.
Fuente: Panda