lunes, 7 de noviembre de 2016

El troyano bancario TrickBot azota a Europa

TrickBot no es un troyano nuevo, ya lleva un tiempo con nosotros. Y aunque comenzó teniendo como objetivo a bancos australianos, en relativamente poco tiempo, se han hallado evidencias que apuntan a bancos de la Unión Europea, incluyendo bancos irlandeses, británicos y alemanes.  

A pesar de tener diferente código, TrickBot guarda similitudes con Dyreza (también conocido simplemente como Dyre). Otro viejo conocido responsable de decenas de millones de dólares robados, 
 
Fracción extraída del archivo de configuración donde se pueden apreciar algunos de los bancos atacados

Entre los bancos afectados, se encuentran:
  • Ulsterbank 
  • Banco de Escocia 
  • Co-OperativeBank 
  • RBSIdigital 
  • LloydsBank 
  • Barclays Wealth 
  • NationWide 
  • TSB 
  • HSBC 
  • Coutts 
  • Bankleumim 
  • Barclays 
  • TDCommercialBanking 
  • ASB 
  • Suncorpbank 
  • Commbank 
  • St George 
  • Banksa 
  • Banco de Belmourne 
  • BankWest 
  • Westpac 
  • ANZ 
  • PNBank 
  • CitiBank 
  • CIBC 
  • Commerzbank 
  • NAB

Como curiosidades de TrickBot cabe destacar que en vez de usar SHA256, utiliza la CryptoAPI de Microsoft. A diferencia de otros troyanos, no usa comandos desde el bot directamente sino que emplea un programador de tareas (taskscheluder) a través de COM, de esta forma logra una mayor persistencia. 

Volcado de memoria de la fase inicial de TrickBot

Destaca también la utilización de routers comprometidos para mantener la infraestructura el máximo tiempo posible. Tiene un diseño modular que le facilita la realización de sus diversas actividades maliciosas. Por ejemplo, incluye un modulo llamado GetSystemInfo, que se encarga de guardar la información de todo el sistema infectado para enviarla remotamente. Otro módulo reseñable es InjectDLL que se inyecta en los navegadores para observar que paginas se visitan.

A pesar de no haber golpeado aún a bancos españoles, es posible que tras haber mutado en poco tiempo desde Australia hacia Europa, pueda acabar afectando a entidades españolas.

Como siempre, ante este tipo de amenazas, se recomienda mantener los Antivirus actualizados, así como evitar abrir e-mails adjuntos de desconocidos.

Más información:

una-al-dia (05/11/2015) Malware Dyre continúa actualizándose
http://unaaldia.hispasec.com/2015/11/malware-dyre-continua-actualizandose.html


Fernando Díaz
fdiaz@hispasec.com


Etiquetas: , ,

1 comentario:

  1. Marc8 de noviembre de 2016, 9:20

    TSB es de Banco Sabadell, con lo que en términos de propiedad, sí es un banco español.

    ResponderEliminar

Suscribirse a: Enviar comentarios (Atom)
Hispasec Sistemas | Copyright ©1998-2017