Des del SOC de l’empresa S2Grupo ens alerten que el correu avisa sobre un suposat pagament de 4128,31 EUR i adjunta un document maliciós. Aquest adjunt conté codi per a descarregar programari maliciós a través del protocol HTTP des d’uns quants llocs web. El programari maliciós en qüestió és TrickBot, un troià bancari modular, amb capacitats de robatori de credencials.

 Fets:

• Es reben correus amb l’assumpte "Important - Documents segurs", el remitent del qual és "Bankia <no-reply@bankiadocs.com>".
• El correu conté un adjunt amb el nom documentoseguro.doc

• El document executa un codi en powershell que descàrrega programari maliciós de diferents llocs externs.

Recomanacions:

• Bloquejar correus el remitent dels quals siga <no-reply@bankiadocs.com>
• Bloquejar correus amb l’assumpte "Important - Documents segurs"
• Bloquejar correus amb adjunt DocumentoSeguro.doc
• Bloquejar en els servidors DNS el domini dev-domain.co[.]uk y druckerei-schroll[.]de.

• Bloquejar en el tallafoc corporatiu les adreces IP 46.32.253.133, 85.221.243.6, 87.106.34.113.