iRobot aplica grandes descuentos a sus robots aspiradores estrella por el Black Friday
TrickBot, nueva campaña de spam masivo contra empresas
8 noviembre, 2016Si se siguen las instrucciones y se habilita el documento, se ejecutan las macros que lleva. Se descarga un fichero llamado dododocdoc.exe, que se guarda en %temp% con el nombre sweezy.exe y se ejecuta a continuación. El malware se instala en el ordenador e inyecta una dll en el proceso del sistema svchost.exe, y desde ahí se comunica con el servidor de comando y control del que recibirá instrucciones.
Esta no ha sido una campaña masiva; de hecho, sólo se han visto unos pocos cientos de mensajes, y todos los clientes de Panda Security estaban protegidos de forma proactiva, sin necesidad de firmas ni actualizaciones. Merece la pena mencionar que, al estudiar a las potenciales víctimas, resulta que la mayoría de ellas estaban en el Reino Unido. Hubo siete casos en España y uno en Bélgica, Irlanda y Tailandia. Todos ellos pertenecían a empresas, ningún usuario doméstico estaba entre los atacados. La campaña fue corta, el primer caso sucedió a las 11:55 am y el último a las 13:11 pm (CET).
La macro del documento utiliza PowerShell para ejecutar el malware, una técnica habitual que está ganando mucha popularidad en los últimos tiempos, y se ha utilizado en algunos de los ataques analizados por PandaLabs protagonizados por ransomware o incluso para infectar Terminales de Punto de Venta.
Desde Panda Security recomiendan que las empresas se aseguren de que el software está actualizado, cuenten con una solución de seguridad avanzada y conciencien a su equipo de la importancia del papel de la ciberseguridad en el buen funcionamiento de la empresa.
* Para más información: www.pandasecurity.com