El malware bancario Ursnif pone el ojo en España
El malware bancario Ursnif pone el ojo en España
Son muchos los correos fraudulentos que pueden llegarnos al cabo del
día: refiriéndose a falsas facturas, a recibos simulados, instándonos a
descargar los datos necesarios para revisar la factura y la supuesta
cantidad que “debemos”. En las últimas campañas de envíos masivos de
correos hemos detectado distribuciones de ransomware dirigidas a
usuarios de habla hispana, en esta ocasión los sensores de Hispasec han
registrado múltiples correos que incluyen malware bancario dirigido a
usuarios de entidades españolas.
Este será el correo que recibiremos en nuestra bandeja de entrada, nos
avisarán de una cuota a la que por supuesto no estamos suscritos y nos
adjuntan dicha factura para que la paguemos. Evidentemente nada más
lejos de la realidad. Al descomprimir el archivo adjunto nos encontramos
ante un documento de Word.
El documento nada más abrirlo nos alerta de que se han deshabilitado las
macros por seguridad, por lo que ya podemos comenzar a sospechar. Sin
embargo, como suele ser habitual en estos ataques el documento nos avisa
que para poder observar todo el contenido primero necesitará
habilitarlas. Si las habilitas, puedes pasar a estar en un fuerte
aprieto.
Analizamos la macro que contiene el documento:
Pero al estar ofuscada, no podemos obtener gran información. Tras
desofuscar el contenido, podemos apreciar el punto de descarga del
malware en cuestión, el cual utiliza un script de Powershell para
descargarse y ejecutarse.
Una vez ejecutado, encontramos que se descarga un módulo de TOR según
nuestra arquitectura y lo emplea para establecer las comunicaciones
necesarias.
En nuestro departamento antifraude hemos detectado una última tanda de
correos que afecta a diferentes entidades entre las que se encuentran
las siguientes:
* Santander
* Targobank
* BBVA
Como siempre, las recomendaciones a seguir ante este tipo de amenazas es
evitar abrir este tipo de correos maliciosos. Si sospechas de una
factura que no deberías haber recibido, entonces puedes encontrarte ante
una amenaza. Si crees que puede ser cierta la factura, asegúrate antes
llamando al lugar en cuestión para confirmar que sea un e-mail benigno.
Por último, si recibís correos que consideréis falsos, con facturas
falsas, fraude o malware podéis enviárnoslo a report@hispasec.com.
Ver información original al respecto en Fuente:
http://unaaldia.hispasec.com/2017/03/el-malware-bancario-ursnif-pone-el-ojo.html
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Siguenos
en facebook
Los comentarios están cerrados.