CONVOCATORIA PARA CURSOS

 Programación de Cursos Segurmática para el 2019

Programación de Eventos y talleres Año 2019 Segurmática

El troyano bancario Trickbot llega a España

por

Hace tiempo que llevamos siguiendo las andanzas del troyano bancario Trickbot. Se ha recorrido medio mundo: Australia, Irlanda, Inglaterra, Alemania, Canadá… y hoy mismo acabamos de detectar una muestra que ataca a entidades españolas.

No hacía falta ser Nostradamus, era previsible, de hecho ya lo dijimos hace meses cuando llegó a Europa:

A pesar de no haber golpeado aún a bancos españoles, es posible que tras haber mutado en poco tiempo desde Australia hacia Europa, pueda acabar afectando a entidades españolas.“.

Con el paso del tiempo, el rango de victimas ha ido aumentando, así como el de países afectados hasta finalmente incluir España dentro de su alcance.

Paises con entidades afectadas por Trickbo

2q

El ataque llega a través de un correo electrónico que incluye un documento adjunto como el que podemos ver a continuación:

3q

En el correo se menciona una falsa querella contra la empresa, intentando lograr que el usuario haga click sobre el documento.

Al abrir el documento se ejecuta una macro automáticamente que lanza un comando a través de Powershell. Este comando se encargará de descargar desde un servidor remoto un binario (el malware propiamente dicho) que posteriormente será ejecutado por el script. De esta manera el ordenador de la víctima queda infectado.

Contamos también con el listado de infraestructuras remotas utilizadas por el troyano bancario, además de los módulos y configuración obtenido por este. En total se encuentran afectadas un total de 76 entidades de todo el mundo, incluyendo españolas. Cabe destacar, que esta muestra afecta incluso a entidades del sector farmacéutico

Entre las nuevas entidades españolas incluidas podemos encontrar:

  • Bancofar
  • caja-sur
  • Kutxabank
  • caja-ingenieros
  • Ruralvia

 

El hash de la muestra:

88bef4abd4db5e07764358ca39fe5bbf257603dbf3f0e4eeec2e8c127cfa7bfd
36b83f1df7c918efcde6ec5a895b4b53ec0307b1b8603a5ba3a3ab63ab7c2265
Como siempre, ante este tipo de amenazas, se recomienda mantener los antivirus actualizados, así como evitar abrir e-mails adjuntos de desconocidos. También recordar que si recibís correos que consideréis falsos, con facturas falsas, fraude o malware podéis enviárnoslo a report@hispasec.com.

Más información:

una-al-dia (07/11/2016) El troyano bancario TrickBot azota a Europa

http://unaaldia.hispasec.com/2016/11/el-troyano-bancario-trickbot-azota.html

Laboratorio Hispasec

Continúan las andanzas de Trickbot

http://laboratorio.blogs.hispasec.com/2016/11/continuan-las-andanzas-de-trickbot_29.html

Fernando Díaz

fdiaz@hispasec.com

Filed under Informática by on #

Video de la Semana

 

¿Cómo quitar contraseñas de documentos Word y comprimidos Winrar?