miércoles, 15 de marzo de 2017

El malware bancario Ursnif pone el ojo en España

Son muchos los correos fraudulentos que pueden llegarnos al cabo del día: refiriéndose a falsas facturas, a recibos simulados, instándonos a descargar los datos necesarios para revisar la factura y la supuesta cantidad que "debemos". En las últimas campañas de envíos masivos de correos hemos detectado distribuciones de ransomware dirigidas a usuarios de habla hispana, sin embargo en esta ocasión los sensores de Hispasec han registrado múltiples correos que incluyen malware bancario dirigido a usuarios de entidades españolas. 


Este será el correo que recibiremos en nuestra bandeja de entrada, nos avisarán de una cuota a la que por supuesto no estamos suscritos y nos adjuntan dicha factura para que la paguemos. Evidentemente nada más lejos de la realidad. Al descomprimir el archivo adjunto nos encontramos ante un documento de Word.



El documento nada más abrirlo nos alerta de que se han deshabilitado las macros por seguridad, por lo que ya podemos comenzar a sospechar. Sin embargo, como suele ser habitual en estos ataques el documento nos avisa que para poder observar todo el contenido primero necesitará habilitarlas. Si las habilitas, puedes pasar a estar en un fuerte aprieto.

Analizamos la macro que contiene el documento:


Pero al estar ofuscada, no podemos obtener gran información. Tras desofuscar el contenido, podemos apreciar el punto de descarga del malware en cuestión, el cual utiliza un script de Powershell para descargarse y ejecutarse.



Una vez ejecutado, encontramos que se descarga un módulo de TOR según nuestra arquitectura y lo emplea para establecer las comunicaciones necesarias.

En nuestro departamento antifraude hemos detectado una última tanda de correos que afecta a diferentes entidades entre las que se encuentran las siguientes:
  • Santander
  • Targobank
  • BBVA

Como siempre, las recomendaciones a seguir ante este tipo de amenazas es evitar abrir este tipo de correos maliciosos. Si sospechas de una factura que no deberías haber recibido, entonces puedes encontrarte ante una amenaza. Si crees que puede ser cierta la factura, asegúrate antes llamando al lugar en cuestión para confirmar que sea un e-mail benigno.

Por último, si recibís correos que consideréis falsos, con facturas falsas, fraude o malware podéis enviárnoslo a report@hispasec.com.


Fernando Díaz
fdiaz@hispasec.com
Etiquetas: , ,

1 comentario:

Suscribirse a: Enviar comentarios (Atom)
Hispasec Sistemas | Copyright ©1998-2017