El troyano bancario Trickbot llega a España

Hace tiempo que llevamos siguiendo las andanzas del troyano bancario
Trickbot. Se ha recorrido medio mundo: Australia, Irlanda, Inglaterra,
Alemania, Canadá… y hoy mismo acabamos de detectar una muestra que ataca
a entidades españolas.

No hacía falta ser Nostradamus, era previsible, de hecho ya lo dijimos
hace meses cuando llegó a Europa:
“A pesar de no haber golpeado aún a bancos españoles, es posible
que tras haber mutado en poco tiempo desde Australia hacia Europa,
pueda acabar afectando a entidades españolas.”.
http://unaaldia.hispasec.com/2016/11/el-troyano-bancario-trickbot-azota.html

Con el paso del tiempo, el rango de victimas ha ido aumentando, así como
el de países afectados hasta finalmente incluir España dentro de su
alcance.

Mapa de países con entidades afectadas por Trickbot:
https://2.bp.blogspot.com/-8vluDa5r3rw/WVtq_7Vx56I/AAAAAAAAJCU/6ycQXou_92c4Pb_Cq4YoQI1fvXp8xyvUQCLcBGAs/s640/mapa_trickbot.png

El ataque llega a través de un correo electrónico que incluye un
documento adjunto como el que podemos ver a continuación:

https://3.bp.blogspot.com/-QdStDofkDR0/WVtii291rjI/AAAAAAAABI0/EhlLr5JdDh84Xq1ZXTd8kSIuUw5LAV6kwCLcBGAs/s640/Screenshot%2Bfrom%2B2017-07-04%2B11-39-57.png

En el correo se menciona una falsa querella contra la empresa,
intentando lograr que el usuario haga click sobre el documento.

Al abrir el documento se ejecuta una macro automáticamente que lanza un
comando a través de Powershell. Este comando se encargará de descargar
desde un servidor remoto un binario (el malware propiamente dicho) que
posteriormente será ejecutado por el script. De esta manera el ordenador
de la víctima queda infectado.

Ejecución de Powershell bajo el documento de Office:
https://1.bp.blogspot.com/-yVCqeWxJmUM/WVtjnriROJI/AAAAAAAABI4/OieVVRWuJF4s0E9AQjY_JM8iONVBdLSdACLcBGAs/s1600/Screenshot%2Bfrom%2B2017-07-04%2B11-44-52.png

La muestra cuenta con una tarea que se ejecutará constantemente para
asegurarse que el troyano bancario siga ejecutándose sin problemas.

Infraestructura remota del troyano:
https://2.bp.blogspot.com/-L0XJL5W8ZHk/WVtksfgi2YI/AAAAAAAABI8/b7JJ4wZj3VkiI8efoZsV4j_4CEa2bmEKwCLcBGAs/s640/Screenshot%2Bfrom%2B2017-07-04%2B11-49-30.png

Contamos también con el listado de infraestructuras remotas utilizadas
por el troyano bancario, además de los módulos y configuración obtenido
por este. En total se encuentran afectadas un total de 76 entidades de
todo el mundo, incluyendo españolas. Cabe destacar, que esta muestra
afecta incluso a entidades del sector farmacéutico.

https://2.bp.blogspot.com/-iYCzqLY2-7Y/WVtmwW9rXkI/AAAAAAAABJE/mN0U58C0eAAhZe0wUXbFbtyZqc_0xDMFACLcBGAs/s1600/Screenshot%2Bfrom%2B2017-07-04%2B11-58-14.png

Inyecciones utilizadas por el troyano bancario
https://3.bp.blogspot.com/-SBwFtyHO4aM/WVtl5FowW0I/AAAAAAAABJA/UHeTSOnRoWwF60fRWNZc1tZ47jvnqrbkQCLcBGAs/s1600/Screenshot%2Bfrom%2B2017-07-04%2B11-54-27.png

Entre las nuevas entidades españolas incluidas podemos encontrar:

* bancofar
* caja-sur
* Kutxabank
* caja-ingenieros
* Ruralvia

El hash de las muestras:
88bef4abd4db5e07764358ca39fe5bbf257603dbf3f0e4eeec2e8c127cfa7bfd
36b83f1df7c918efcde6ec5a895b4b53ec0307b1b8603a5ba3a3ab63ab7c2265

Como siempre, ante este tipo de amenazas, se recomienda mantener los
Antivirus actualizados, así como evitar abrir e-mails adjuntos de
desconocidos.
También recordar que si recibís correos que consideréis falsos, con
facturas falsas, fraude o malware podéis enviárnoslo a
report@hispasec.com.

Opina sobre esta noticia:
http://unaaldia.hispasec.com/2017/07/el-troyano-bancario-trickbot-llega.html#comment-form

Más información:

una-al-dia (07/11/2016) El troyano bancario TrickBot azota a Europa
http://unaaldia.hispasec.com/2016/11/el-troyano-bancario-trickbot-azota.html

Laboratorio Hispasec
Continúan las andanzas de Trickbot
http://laboratorio.blogs.hispasec.com/2016/11/continuan-las-andanzas-de-trickbot_29.html

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *