Campaña masiva de correos phishing suplantando a Bankia
Actualmente se está distribuyendo de forma masiva una campaña de correos maliciosos que suplantan a la entidad bancaria Bankia.
Resumen: Se ha detectado un envío masivo de correos, suplantando la imagen de Bankia, para propagar malware a través de un archivo adjunto.
Riesgo: Crítico
Descripción:
Desde el SOC de la empresa S2Grupo nos alertan que el correo avisa sobre un supuesto pago de 4128,31 EUR y adjunta un documento malicioso. Este adjunto contiene código para descargar malware a través del protocolo HTTP desde varios sitios web. El malware en cuestión es TrickBot, un troyano bancario modular, con capacidades de robo de credenciales
Hechos:
- Se reciben correos con el asunto “Importante – Documentos seguros”, cuyo remitente es “Bankia <[email protected]>”.
- El correo contiene un adjunto con el nombre DocumentoSeguro.doc
- El documento ejecuta un código en powershell que descarga malware de diferentes sitios externos.
Referencias sobre este malware:
Solución:
Recomendaciones:
- Bloquear correos cuyo remitente sea <[email protected]>
- Bloquear correos con el asunto “Importante – Documentos seguros”
- Bloquear correos con adjunto DocumentoSeguro.doc
- Bloquear en los servidores DNS el dominio dev-domain.co[.]uk y druckerei-schroll[.]de.
- Bloquear en el firewall corporativo las direcciones IP 46.32.253.133, 85.221.243.6, 87.106.34.113.
