Una variante del ZLoader, diseñado para infectar las páginas web de bancos y organizaciones financieras, afecta a distintas entidades españolas robando los datos de sus clientes.
La forma en la que actúa este troyano bancario es mediante un correo electrónico dónde se nos informa de una factura pendiente que incluye un documento de Microsoft Office. Concretamente para esta oleada han predominado los documentos XLS.
Una vez abierto, nos encontramos con un documento que nos solicita habilitar el contenido. Lo que pretenden es que la víctima habilite las macros para, mientras ojea el documento, se ejecute código malicioso.
Este código, ofuscado para evitar que sea sencillo de analizar, se encarga de realizar descargas de distintos sitios web robando datos de los clientes de las entidades incluidas en su configuración.
Se recomienda evitar habilitar las macros en documentos de este tipo y si no estamos seguros de la procedencia del archivo, es preferible no abrirlo. Si procede de alguien conocido, la mejor opción es preguntar y asegurarte para evitar este tipo de infecciones. Asimismo, se recomienda contar con una base de datos de virus actualizada.
HISPASEC (25/08/2017)
