Teniendo en cuenta que el 91% de los ciberataques empieza con un email de phishing, es importante tomar cartas en el asunto para minimizar el riesgo de que nuestra compañía sea atacada.
Hace unas horas saltaban las alarmas por un email enviado supuestamente por Bankia a sus clientes. En esta ocasión, los ciberdelincuentes se encargaron de enviar un falso email, imitando el diseño web de Bankia e informando en nombre de la entidad bancaria de la resolución de una incidencia en la cuenta bancaria del usuario y adjuntan un documento Word con información detallada del proceso. Un adjunto con un virus informático que, al abrir el documento, ejecuta el malware en el equipo: el troyano bancario TrickBot, afectando en las últimas horas a cientos de compañías y particulares.
El último phishing, paso a paso.
Ya hemos visto cuáles son los asuntos más usados en el correo electrónico a los que recurren los ciberdelincuentes para hacernos morder el anzuelo. En esta ocasión, el nombre del documento Word adjunto no dista de esta realidad: DocumentoSeguro.doc. La macro del documento utiliza PowerShell (herramienta de Microsoft, incluida por defecto en Windows (a partir de Windows 7) para ejecutar el malware, una técnica habitual que está ganando mucha popularidad en los últimos tiempos, siendo utilizada en algunos de los ataques analizados por PandaLabs protagonizados por ransomware o incluso para infectar Terminales de Punto de Venta.
Si el usuario habilita el uso de macros del documento se ejecutarán dichas macros:
El Word crea un powershell que intentará descargarse una imagen en formato png. EstE realmente es un archivo ejecutable dañino (Trickbot), desde determinados servidores de distribución. Y lo ejecutará en el sistema con el objetivo de robar credenciales para vaciar las cuentas bancarias de sus víctimas.
Observamos el modus operandi
Trickbot es un troyano bancario compuesto por distintos módulos con diversa funcionalidad, aunque el uso más habitual es el robo de credenciales al acceder a determinadas páginas web como plataformas de pago, bancos y sitios de compra y venta de criptomoneda.
Una vez el Trickbot entra en ejecución, creará una carpeta llamada winapp en %APPDATA% donde guardará dos archivos característicos de Trickbot llamados client_id y group_tag para identificar el equipo infectado.
Además, crea una carpeta llamada Modules donde ira guardando todas las DLLs correspondientes a los nuevos módulos que va descargándose.
Para ganar persistencia y asegurar así su ejecución, creará una tarea programada en el equipo, que entrará en ejecución cada 3 minutos o cuando el usuario se loguea en el sistema.
A continuación se resume el funcionamiento de cada uno de los módulos del trickbot.
- ImportDll32: Roba información sobre la navegación del usuario.
- Injectdll32: Se inyecta en los navegadores para robar credenciales.
- Systeminfo32: Obtiene información del sistema.
- Outlook32: Roba datos de Microsoft Outlook
- MailSearch32 :Busca archivos en el sistema.
- wormDLL : Añade capacidades de gusano.
Cada vez que Trickbot carga un nuevo módulo, lo hará a través de svchost.exe como podemos ver a continuación.
Cómo podemos observar, trickbot es un malware muy versátil y que con cada actualización, va añadiendo nuevas capacidades en cada nueva campaña.
Recomendaciones para no convertirte en víctima
Desde Panda Security hemos detectado cientos de ataques, pero ningún cliente ha sido afectado gracias al bloqueo de forma proactiva que realizamos de la amenaza con todas nuestras soluciones. Recomendamos no se activen las macros de un documento Word si no se está seguro que proviene de una fuente confiable. Además, las empresas deben asegurarse de que el software está actualizado, cuenten con una solución de seguridad avanzada como Adaptive Defense 360 y conciencien a su equipo de la importancia del papel de la ciberseguridad en el buen funcionamiento de la empresa.
Panda Security es una empresa especializada en la creación de productos de seguridad para endpoints que son parte del portfolio de soluciones de seguridad IT de WatchGuard. Centrada inicialmente en la creación de software antivirus, la compañía ha ampliado sus objetivos expandiendo su línea de negocio hacia los servicios de ciberseguridad avanzada con tecnologías para la prevención del cibercrimen.
3 comments