Campaña masiva de correos phishing suplantando a Bankia
Se ha detectado un envío masivo de correos, suplantando la imagen de Bankia, para propagar malware a través de un archivo adjunto.
Riesgo: Crítico
Desde el SOC de la empresa S2Grupo nos alertan que el correo avisa sobre un supuesto pago de 4128,31 EUR y adjunta un documento malicioso. Este adjunto contiene código para descargar malware a través del protocolo HTTP desde varios sitios web. El malware en cuestión es TrickBot, un troyano bancario modular, con capacidades de robo de credenciales
Hechos:
- Se reciben correos con el asunto "Importante - Documentos seguros", cuyo remitente es "Bankia <no-reply@bankiadocs.com>".
- El correo contiene un adjunto con el nombre DocumentoSeguro.doc
- El documento ejecuta un código en powershell que descarga malware de diferentes sitios externos.
Referencias sobre este malware:
Sistemas Afectados: None
Referencias: None
Solución:Recomendaciones:
- Bloquear correos cuyo remitente sea <no-reply@bankiadocs.com>
- Bloquear correos con el asunto "Importante - Documentos seguros"
- Bloquear correos con adjunto DocumentoSeguro.doc
- Bloquear en los servidores DNS el dominio dev-domain.co[.]uk y druckerei-schroll[.]de.
- Bloquear en el firewall corporativo las direcciones IP 46.32.253.133, 85.221.243.6, 87.106.34.113.
Notas: None