El troyano bancario Zloader ha vuelto a las noticias en España por haber sido utilizado en una campaña de infección de equipos para robar cuentas de clientes de bancos como Santander España, BMN, Abanca o Ruralvia, utilizando para ello documentos Excel enviados por correo electrónico.
La técnica de infección no es nueva, pero por ello no deja de seguir siendo válida, y como han analizado en Una al día, todo comienza con la llegada de un documento Excel que pretende ser una factura enviada a la víctima.
Figura 2: Fichero de Excel con macros maliciosas que simula ser una factura |
El documento exige que se habiliten las macros en Excel, algo que una vez hecho abre muchas posibilidades al documento. En el blog de ElevenPaths se publicó en el año 2015 un artículo en el que ya veíamos cómo este tipo de malware de macro estaba poniéndose otra vez en primera línea, gracias a la sencillez de crearlo.
Figura 3: Malware de macro distribuido como factura en 2015 |
El código de la macro, ofuscado como en el caso de Zloader, o simplemente camuflado como hemos visto en otras ocasiones, lleva a conectarse a un backend que hace de C&C o de dropper, como en este caso, ejecutando el código malicioso en %APPDATA%. Ahí, se puede acceder a los WebInjects, es decir, al fichero de configuración de Zloader que le dice qué debe inyectar en cada página bancaria.
Figura 4: Fichero de configuración de Zloader con los WebInjects |
A día de hoy, los equipos de seguridad de las instituciones bancarias han frenando la campaña y las muestras utilizadas están firmadas por todas o casi todas las casas de antimalware, así que si tienes un motor con protección en tiempo real activado debería detectarlos.
Figura 5: Detección de la muestra analizada por Una al día |
No obstante, a pesar de que pasan los años, este tipo de ataques permanecen así que más vale que tengas cuidado tú personalmente con estas campañas de ficheros con macros peligrosas - y avises a tus compañeros de empresa -.
Saludos Malignos!
No hay comentarios:
Publicar un comentario