Los miembros de MalwareHunterTeam han reportado la existencia de un sitio falso de Office365 que advierte sobre una actualización importante para el navegador web y busca instalar el InfoStealer Trickbot.
El sitio no sólo se ve estéticamente como uno legítimo, sino que casi todos los enlaces visibles en el mismo son funcionales y redirigen al sitio legítimo de Microsoft.
En cuanto una potencial víctima accede al sitio, se esperan unos segundos y luego aparece un pop-up cuyo aspecto depende del navegador utilizado:
Cabe destacar que el mensaje que advierte sobre una actualización disponible menciona posibles fallos que podría causar la versión desactualizada que supuestamente se está utilizando, con el fin de causar la impresión de urgencia y engañar a los usuarios para que descarguen el malware.
Cuando una víctima toca el botón Update, se descarga un archivo con el nombre upd365_58v01.exe el cual al ser ejecutado droppea y ejecuta un archivo de nombre hsyатччыэу.exe en el equipo que a su vez comienza a ejecutar comandos de powershell y sc en CMD para detener servicios de productos de seguridad y desactivar protecciones del sistema.
Una vez TrickBot se encuentra en ejecución, contacta a un servidor de C&C donde comenzará a compartir información sobre la máquina infectada como software instalado, características, servicios, entre otros.
También parece ejecutar su módulo pwgrab64 conocido por buscar información sensible en el equipo como pueden ser credenciales guardadas, historial de navegación e información para el autofill de formularios.
Por el lado de Trend Micro, tanto la URL como el archivo son actualmente detectados por Web Reputation y patrones, respectivamente.
Indicadores de compromiso
Nombre
upd365_58v01.exe
Hash (SHA-256)
fd97342e1968aed9d8f50468d3b7b7868981d9d360b2f049b6706e72d8184e3f
Nombre de detección (Trend Micro)
TrojanSpy.Win32.ICEDID.SMKA
URLs relacionadas con la amenaza
- hxxp://get-office365.live/
- hxxp://get-office365.live/files/upd365_58v01.exe
- hxxp://193.124.176.170:443