• Saltar al contenido principal
  • Saltar a la barra lateral principal
  • Saltar al pie de página

Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Usted está aquí: Inicio / Malware / Variantes de ZLoader afectan a entidades españolas

Variantes de ZLoader afectan a entidades españolas

24 agosto, 2017 Por Hispasec Deja un comentario

En ocasiones anteriores hemos podido observar cómo, a través de distintos correos electrónicos, los atacantes intentaban provocar que nos descargaramos archivos para infectar nuestros dispositivos. Las últimas tendencias, apuntaban a que sería el ransomware lo que más suscitaria el interés de los atacantes. Sin embargo, en esta ocasión nos encontramos ante un troyano bancario.

Recibimos un correo con el típico modus operandi de la factura pendiente. Esta incluye un documento de de Microsoft Office. Concretamente para esta oleada han predominado los documentos XLS.
Una vez abierto, nos encontramos con un contenido similar al que veremos a continuación:

Captura de pantalla del documento malicioso
El documento nos solicita habilitar el contenido. Lo que pretenden es que la victima habilite las macros para, mientras ojea el documento, se ejecute código malicioso. 

Captura del codigo Powershell ejecutado

Este código, ofuscado para evitar que sea sencillo de analizar, se encarga de realizar descargas de distintos sitios web. En caso de que uno de los dos sitios web no responda hará uso del siguiente para continuar con su ataque. 
hxxp://forminore.co/game-for-windows/keys.exe
hxxp://forstraus.co/dfhguserhivesbvhio-84u84jdfkvkdf/utilite.exe
Estos dos archivos .exe corresponden a un Terdot/ZLoader, un troyano bancario que roba datos de los clientes de las entidades incluidas en su configuración. Quedan almacenados en el directorio %APPDATA% del usuario, lugar donde rara vez mira el usuario común. 

Algunos de los webinjects del troyano bancario.

La configuración del troyano cuenta con inyecciones de código para distintas entidades españolas, entre ellas:
  • Santander España
  • BMN
  • Abanca 
  • Ruralvia
  • *.de (Entidades alemanas)
En el escaneo inicial, únicamente 8 motores antivirus detectaban la amenaza. Un par de días después, más de 40 motores lo detectaban. 
Detecciones del troyano en VirusTotal.
La recomendación estrella en este tipo de ocasiones, a parte de contar con una base de datos de virus actualizada, es evitar habilitar las macros en documentos de este tipo. Si no estamos seguros de la procedencia del archivo, es preferible no abrirlo. Si procede de alguien conocido, siempre puedes asegurarte preguntando para evitar este tipo de infecciones. 
Fernando Díaz
fdiaz@hispasec.com
@entdark_

Compártelo:

  • Twitter
  • Facebook
  • LinkedIn
  • Reddit
  • Telegram
  • WhatsApp

Publicaciones relacionadas

Publicado en: Malware

Interacciones con los lectores

Deja una respuesta Cancelar la respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Barra lateral principal

Buscador

Email Newsletter

Suscríbase y reciba Una al Día en su correo.

UADCAST

Populares de UAD

  • Ciberataque a Cellebrite, publicados 4Tb de datos de la compañía
  • Slack reinicia todas las contraseñas tras un bug que exponía los hashes de las contraseñas de algunos usuarios
  • Descubierta nueva vulnerabilidad en las cámaras IP de la conocida marca DAHUA
  • Chema Alonso entrevista a Richard Stallman - Parte II
  • Reacción ante ciberataques... en vacaciones

Entradas recientes

  • Slack reinicia todas las contraseñas tras un bug que exponía los hashes de las contraseñas de algunos usuarios
  • Ciberataque a Cellebrite, publicados 4Tb de datos de la compañía
  • Reacción ante ciberataques… en vacaciones
  • Routers comerciales de Cisco afectados por varias vulnerabilidades.
  • Descubierta nueva vulnerabilidad en las cámaras IP de la conocida marca DAHUA
  • Los ataques de ransomware conocidos apenas supondrían una sexta parte del total
  • SAMBA puede poner en riesgo miles de instalaciones si no son actualizadas a tiempo.
  • Correo electrónico
  • Facebook
  • LinkedIn
  • RSS
  • Twitter

Footer

Una al Día

Una Al Día nació a raíz de un inocente comentario en un canal IRC hace casi 19 años. A través de los archivos, un lector curioso puede ver cómo ha cambiado (o no) la seguridad de la información desde entonces.

Entradas recientes

  • Slack reinicia todas las contraseñas tras un bug que exponía los hashes de las contraseñas de algunos usuarios
  • Ciberataque a Cellebrite, publicados 4Tb de datos de la compañía
  • Reacción ante ciberataques… en vacaciones
  • Routers comerciales de Cisco afectados por varias vulnerabilidades.
  • Descubierta nueva vulnerabilidad en las cámaras IP de la conocida marca DAHUA

Etiquetas

0-day Android Apple Chrome Ciberataque cve D-Link Facebook Google iOS leak linux malware Microsoft Mozilla OpenSSL Oracle OS X Phishing PHP ransomware rce vulnerabilidad vulnerabilidades Windows WordPress

Copyright © 2022 · Hispasec