Alertas de seguridad

Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.

Nueva campaña de Trickbot utiliza un nuevo método de infección.

  • Publicado: 11/08/2019
  • Importancia: Media

Recursos afectados

Esta nueva campaña de Trickbot contiene comportamientos interesantes respecto a las anteriores campañas identificadas por el CSIRT Financiero. Ya que esta nueva variante del troyano bancario Trickbot realiza un proceso de descarga e infección a partir de un archivo .js (Javascript) el cual la mayoría de su código fuente se encuentra con un sistema de ofuscación avanzado. Sin embargo, se pudo evidenciar el funcionamiento de este código a partir de su comportamiento al momento de ejecutarse en un sistema operativo Windows.

Inicialmente su método de difusión es el mismo respecto a las campañas anteriores. Es decir, se difunde a partir de campañas de malspam. Donde se envían a los usuarios correos con mensajes fraudulentos respecto a compras de productos o servicios no reconocidos por las víctimas. Dentro de estos mensajes se anexan documentos office con macros maliciosos que al momento de ser ejecutados iniciaran con la descarga y ejecución del archivo .JS con código ofuscado.

Posteriormente a la descarga y ejecución de este archivo, el troyano iniciara con la validación de limitaciones del sistema operativo, donde si se detecta que es sistema operativo limitado por accesos o permisos lo tomara como si fuera un sistema virtualizado o de pruebas, donde no continuara con su ejecución. Por otro si detecta que el sistema operativo contiene los permisos necesarios para su ejecución iniciara con el proceso de infección normal de Trickbot. Es decir, iniciara con el proceso de descarga del malware y posteriormente iniciara con el proceso de robado de información y conexión respecto al C&C (servidor de comando y control) del atacante. 

Screenshot_1.png

Etiquetas