ataque panda security

El 2 de noviembre fuimos testigos de una nueva campaña de spam que distribuía un documento de Word enfocado principalmente a empresas de Reino Unido. El mensaje de correo tenía el asunto “Companies House – new company complaint” y tenía como adjunto un documento de Word llamado “Complaint.doc”. Al abrirlo, esto es lo que los usuarios ven en su pantalla:

panda security

Cómo funciona TrickBot

Si el usuario sigue las instrucciones proporcionadas y habilitan el contenido del documento, se ejecutarán las macros que lleva. Se descargará un fichero llamado dododocdoc.exe y lo guardará en %temp% con el nombre sweezy.exe, ejecutándolo a continuación. El malware se instalará en el ordenador e inyectará una dll en el proceso del sistema svchost.exe. Desde ahí se comunicará con el servidor de comando y control del que recibirá instrucciones.

Esta no ha sido una campaña masiva –de hecho sólo hemos visto unos pocos cientos de mensajes-, y todos nuestros clientes estaban protegidos de forma proactiva sin necesidad de firmas ni actualizaciones. Merece la pena mencionar que al estudiar a las potenciales víctimas, resulta que la mayoría de ellas estaban en el Reino Unido. Hubo 7 casos en España y uno en Bélgica, Irlanda y Tailandia. Todos ellos pertenecían a empresas, ningún usuario doméstico estaba entre los atacados. La campaña fue corta, el primer caso sucedió a las 11:55am y el último a las 13:11pm (CET).

La macro del documento utiliza PowerShell para ejecutar el malware, una técnica habitual que está ganando mucha popularidad en los últimos tiempos, siendo utilizada en algunos de los ataques analizados por PandaLabs protagonizados por ransomware o incluso para infectar Terminales de Punto de Venta.

Desde Panda Security recomendamos que las empresas se aseguren de que el software está actualizado, cuenten con una solución de seguridad avanzada y conciencien a su equipo de la importancia del papel de la ciberseguridad en el buen funcionamiento de la empresa.