En este caso los atacantes han
suplantado la identidad de la conocida empresa Deloitte para distribuir
muestras de TrickBot, una familia de troyanos bancarios que ha estado bastante
activa los últimos meses.
Los correos reportados provienen de un
tal "Adam Bush" Adam.Bush@deloitte-inv.com y utilizan un dominio
fraudulento que incluye el nombre de la marca. El asunto del correo habla de un
calendario de nóminas de la empresa y pretende despertar la curiosidad de la
víctima para descargar y abrir el adjunto incluido.
Correo suplantando la identidad de
Deloitte. Fuente: myonlinesecurity.co.uk
El fichero adjunto, en formato Excel,
contiene una macro maliciosa que descargará el troyano. Desde las versiones de
Office 2010 en adelante, el programa requiere que el usuario habilite de forma
manual la ejecución de macros, por eso se mostrará en la hoja de cálculo un
mensaje como el que vemos a continuación incitando al usuario a activar esta
característica:
La macro descargará el ejecutable
desde http://bcgfl[.]com/sdn.uqw o alternativamente
http://ubeinc[.]com/sdn.uqw. Dos muestras del ya conocido Trickbot.
IOC de la campaña:
Payrollschedule.xls
MD5: a628323455d1f19d1115e1626d1fabce
SHA-1: 552f531d1f8cba28da5fcc376abbc5647f438c69
URL
de descarga del troyano:
http://bcgfl[.]com/sdn.uqw
72.29.67.154
http://ubeinc[.]com/sdn.uqw
72.29.90.19
MD5:
cae0a5bb259d11b80e448c0c68f47f06
SHA1:
7c08e6f55738c52b7869d66a301578667b972f4b
Remitente:
Adam.Bush@deloitte-inv[.]com
5.79.90.23
185.212.130.89
5.79.76.209
95.211.169.218
Dejar claro que Deloitte no ha sido en
ningún momento comprometida y que el dominio fraudulento deloitte-inv.com ha
sido registrado por un tercero que nada tiene que ver con la empresa.
Recomendación
- Se
recomienda no abrir nunca correos con adjuntos no solicitados.
Más información:
- fake Deloitte FW: Payroll schedule delivers Trickbot:https://myonlinesecurity.co.uk/fake-deloitte-fw-payroll-schedule-delivers-trickbot/