Campaña de malspam distribuyendo trickbot
- Publicado: 27/06/2019
- Importancia: Media
- Recursos afectados
Trickbot es un malware financiero descubierto a mediados del 2017, en el transcurrir del tiempo ha cambiado su método para propagarse en los dispositivos. En esta última semana la técnica de propagación que ha utilizado es a través de malSpam, en el cual adjunta un archivo. Zip que trae comprimido un PDF llamado Receipt.pdf.exe.
En un análisis realizado por el CSIRT Financiero al hash 8eed8ee91f0b0365c686cfc0986c49ab29e991824f2ecc1cb7440752e9bd8560 el cual está relacionado con el archivo. Zip de nombre Receipt.zip, se logra observar que 12/63 AV lo catalogan como malicioso.
Además, en un análisis más detallado se logra observar que en el momento de descargar el archivo se ejecuta como un segundo proceso realizando conexiones con la URL http://www.download[.]windowsupdate[.]com/msdownload/update/v3/static/trustedr/en/authrootstl[.]cab, el dominio ident.me y la dirección IP 103.207169[.]78
En el CSIRT Financiero se realizó el análisis a la URL http://www.download[.]windowsupdate[.]com/msdownload/update/v3/static/trustedr/en/authrootstl[.]cab en donde se encontró que realiza una descarga del archivo authrootslt.cab el cual es catalogado como un troyano el cual cuenta con características como registrar pulsaciones de teclas, supervisar el tráfico de red e incluso enviar correos electrónicos no deseados (Spam) desde la dirección IP del dispositivo infectado.