Seguridad

¡Alerta! Un ataque de phishing se hace pasar por email de Bankia

¡Alerta! Un ataque de phishing se hace pasar por email de Bankia

Hace unas horas salía a la palestra un nuevo ataque infeccioso de phishing. En esta ocasión, el engaño se perpetraba a través de un falso email que se hacía pasar por la entidad Bankia. Te contamos todas las características de este ciberataque.

Desde Panda Security alertan de que 9 de cada 10 ciberataques comienzan con un email de phishing, por lo que es importante saber cómo detectarlos y no facilitar datos personales a los delicuentes que se encuentran tras su anzuelo.

Cada mes se crean 1,4 millones de páginas web dedicadas al ‘phishing’

Solamente hace unas horas se llevó a cabo una acción de esta clase que se hacía pasar por Bankia, como si la entidad informase al usuario de la resolución de una incidencia en la cuenta bancaria del usuario. El falso email incluía un documento Word con información detallada en torno al proceso. A continuación te mostramos el pantallazo del correo electrónico en cuestión.

¡Alerta! Un ataque de phishing se hace pasar por email de Bankia

El archivo adjunto del email se encuentra infectado con malware y al abrirlo, dicho código malicioso se ejecuta en el equipo. El virus no es otro que el troyano bancario TrickBot, conocido por su elevada versatilidad y que añade nuevas capacidades en cada nueva campaña. En las últimas horas, valiéndose del falso correo electrónico de Bankia, ha afectado a cientos de compañías y particulares.

Cómo se ejecuta este peligroso malware

Desde Panda Security explican el funcionamiento del troyano que subyace tras este ciberataque de phishing. El nombre del documento Word adjunto responde al tipo de asuntos frecuentes de estas amenazas: DocumentoSeguro.doc. La macro del documento emplea PowerShell,una herramienta de Microsoft, incluida por defecto en Windows a partir de Windows 7 para ejecutar el malware. Esta técnica ha ganado adeptos en los últimos tiempos, usándose para ransomware e infección de Terminales de Punto de Venta.

El uso mas frecuente de Trickbot es el robo de credenciales al acceder a determinadas páginas web como plataformas de pago, bancos y sitios de compra y venta de criptomoneda.

El modus operandi es el siguiente: Word crea un powershell que se descarga una imagen en formato png, que realmente se trata del archivo ejecutable dañino del malware. Cuando entra en ejecución, Trickbot genera una carpeta llamada winapp en %APPDATA% donde guardará dos archivos característicos de Trickbot denominados client_id y group_tag para identificar el equipo infectado. También crea la carpeta Modules para guardar todas las DLLs de los nuevos módulos que va descargándose. Además, creará una tarea programada en el equipo, que entrará en ejecución cada 3 minutos o cuando el usuario haga logging en el sistema.

Así funciona cada uno de los módulos del malware Trickbot

  • ImportDll32: Roba información sobre la navegación del usuario.
  • Injectdll32: Se inyecta en los navegadores para robar credenciales.
  • Systeminfo32: Obtiene información del sistema.
  • Outlook32: Roba datos de Microsoft Outlook
  • MailSearch32: Busca archivos en el sistema.
  • wormDLL: Añade capacidades de gusano.

Fuente | Panda Security

Sobre el autor de este artículo

Andrea Núñez-Torrón Stock

Licenciada en Periodismo y creadora de la revista Literaturbia. Entusiasta del cine, la tecnología, el arte y la literatura.