Investigadores de Trend Micro descubrieron una nueva variante del malware bancario “TrickBot”, que viene a través de correos electrónicos no deseados con un documento Word con macro. Una vez que se abre el documento, ejecuta un archivo JavaScript (JS) que descarga el payload. Además verifica la cantidad de procesos en ejecución en la máquina afectada. Aparte de robar información, también elimina archivos ubicados en unidades extraíbles y de red que tienen extensiones particulares, para reemplazar los archivos con una copia de malware.
El correo electrónico pretende ser una notificación de suscripción que involucra a proveedores de publicidad, informando al usuario que solicitó una membresía y que ya fue pagada. Luego describe las tarifas asociadas a la tarjeta de crédito del usuario que se cobrarán en el futuro. Para terminar, solicita al usuario que vea el documento adjunto para ver en detalle la información de pago y suscripción. Siendo este último documento el que contiene el script malicioso.
El archivo indica que se puede visualizar al habilitar la macro, pero donde realmente se oculta el script JS es en el documento en sí y no en la macro, logrando disfrazar el script con el mismo color de fuente que el fondo del documento.
Este nuevo desarrollo muestra cómo los ciberdelincuentes pueden modificar constantemente un malware bancario ya existente para agregar nuevas variables. Los usuarios pueden evitar estos ataques siguiendo las buenas prácticas contra un correo no deseado.
Se recomienda lo siguiente:
https://blog.trendmicro.com/trendlabs-secu... |
Producto | Versión |
---|---|
Microsoft Windows |
7 8 8.1 10 |
Tipo | Indicador |
---|---|
hash | d9fda66b46a73a3ddefdce3c7ea... |
hash | e36380d824811bc28fbc26ea84c... |
hash | 310731c5fce818f867bb0a32a1b... |
hash | a69fd5f2b4db988248212322315... |
hash | 0134c3c684eb26cd2e677c4c5ea... |
url | https://185.159.82.15/holly... |