Alertas de seguridad

Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.

Web falsa de Office 365 descarga del troyano Trickbot

  • Publicado: 24/07/2019
  • Importancia: Media

Recursos afectados

TrickBot se trata de un troyano bancario modular variante de Dyre, con el que comparte parte del código, desde su aparición en octubre de 2016 ha mostrado una continua evolución en sus técnicas de infección.


Cuando un usuario accede a la web maliciosa, tras unos segundos aparece un pop-up avisando de la falsa actualización del navegador, cuando se ejecuta la supuesta actualización se produce a la descarga del troyano Trickbot en un archivo ejecutable llamado upd365_58v01.exe. (ver indicadores de compromiso). Una vez ejecutado el archivo, el troyano se inyectará en un proceso svchost.exe pasando desapercibido para el Administrador de tareas de Windows. Ya instalado, TrickBot roba las credenciales de uso de sesión, los datos de autocompletado y del historial de navegación, y se conecta a un servidor C2 para enviar la información sobre el equipo infectado y los servicios en ejecución.

Etiquetas