-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}
Nueva campaña de spam distribuye ficheros '.msi' para ejecutar código malicioso
- Publicado: 24/04/2019
- Importancia: Media
- Recursos afectados
El malware es distribuido mediante phishing por vía email, donde los actores se
hacen pasar por una entidad financiera legítima, adjuntando un fichero .zip
llamado 'jesus'.
El fichero .zip contiene un fichero .msi camuflado como Adobe Acrobat Reader
DC que, al ser abierto, descarga ficheros del servidor Amazonaws, para luego
ser redirigido a una web legítima de Adobe. Estos ficheros ejecutan código
malicioso de tipo JavaScrip, VBScript y Powershell.
Uno de los ficheros que ejecuta código JavaScript, se ha reconocido como el
troyano Trojan.PS1.MSAIHA.A, que es capaz de reiniciar las máquinas
infectadas, comprobar rutas de directorios y descargar ficheros maliciosos de
Dropbox.
El objetivo de esta campaña se centra en el sector financiero, principalmente de
Portugal y Brasil.