Los bancos llevan siendo uno de los principales objetivos de los hackers desde hace mucho tiempo y a pesar de la seguridad con la que cuentan, siempre encuentran algún agujero por el que colar su software malicioso y tratar de conseguir sus objetivos. Ahora, la empresa de seguridad FireEye, acaba de descubrir una nueva oleada de ataques a numerosos bancos.

Según los expertos de la compañía estadounidense, un grupo desconocido de hackers está enviando correos electrónicos de phising a los empleados de numerosos bancos. Se trata de mensajes de correos que resultan difíciles identificar como phising ya que son escritos de manera personal para tratar temas técnicos con el personal del banco.

Todos ellos llevan adjunto un fichero Excel que cuando se trata de abrir o descargar pide al usuario que para ver su contenido debe habilitar el soporte para macros. Si el usuario procede a activar las macros, entonces los atacantes mostrarán algunos datos en el fichero Excel para evitar sospechas pero al mismo tiempo la macro ejecutará internamente un código VBScript que realizará la descarga de tres archivos.

Por un lado se descargará un fichero BAT que se ejecutará cada tres minutos gracias a una tarea programada, el software Mimikatz y un script de PowerShell. El fichero BAT se encargará de recopilar toda la información del ordenador infectado como las credenciales del usuario que ha iniciado sesión en él, el nombre del host, datos de configuración de la red, cuentas de usuario y de administradores, dominio, procesos en ejecución, etc.

Mimikatz es un software que va a tratar de hurgar en la memoria de Windows para intentar conseguir las contraseñas utilizadas en el equipo y finalmente el script de PowerShell es el que se encarga de enviar la información robada a  un servidor remoto mediante peticiones DNS para no destapar las alarmas.

Este tipo de ataques se están produciendo durante los últimos meses en un gran número de bancos de Oriente Medio, como el banco Nacional de Qatar o el Investbank de los Emiratos Árabes, pero hay sospechas de que este grupo de ciberdelincuentes sea el mismo que podría estar detrás de los ataques al banco de Bangladesh y otros de Holanda, Nepal o Sri Lanka.

http://www.adslzone.net/2016/05/23/descubren-numerosos-ataques-bancos-mediante-fichero-excel/