El malware bancario Trickbot apareció por primera vez en 2016, una amenaza que conseguía robar contraseñas bancarias y que ha evolucionado bastante gracias al hecho de que puede personalizarse mucho.
Ahora han sido investigadores de Trend Micro y de Fortinet los que han descubierto lo que hace la última versión: robar contraseñas usando Excel.
La víctima recibe un documento de excel por email, por ejemplo, haciéndole creer que es importante porque tiene relación con su trabajo, hacienda, o cualquier otro asunto llamativo. Al abrir el documento aparece un mensaje diciendo que fue creado en una versión anterior y que para habilitar el contenido hay que pulsar un botón, momento en el cual se ejecuta una macro y un código VBS malicioso inicia el proceso de descarga de malware.
Después de algunos pasos se ejecuta PowerShell para descargar un archivo desde una dirección de Microsoft Office Excel falsa, un archivo llamado pointer.exe que aparece como pointes.exe una vez instalado. Al igual que las versiones anteriores del malware, se instala de forma persistente en el Programador de tareas del sistema para que pueda ejecutarse automáticamente cuando la máquina está funcionando.
El malware se ejecuta de forma silenciosa y descarga un nuevo módulo: pwgrab32, diseñado para obtener información de las contraseñas del sistema de la víctima. Este módulo puede obtener contraseñas de Filezilla, Microsoft Outlook y WinSCP, dando acceso a mucha más información. Trickbot también roba información de los navegadores web, incluidos los nombres de usuario y contraseñas, Internet, cookies, historial de navegación, autocompletado y publicaciones HTTP. Todos estos pueden ser explotados para permitir que el atacante logre datos adicionales, y funciona en los navegadores Google Chrome, Mozilla Firefox, Internet Explorer y Microsoft Edge.
Aunque los más atentos nunca dejarían ejecutar tantos pasos para que el malware hiciera todas estas acciones, hay mucha gente que, en su inocencia, aprietan el primer botón que encuentran, motivo por el cual es nuestra responsabilidad avisar de las amenazas que siguen multiplicándose por la red.
☛ El artículo completo original de Juan Diego Polo lo puedes ver aquí
No hay comentarios.:
Publicar un comentario