El grupo criminal Hidden Cobra ataca nuevamente al mundo financiero.

El grupo cibercriminal Hidden Cobra continua con un objetivo claro que son el sector industrial y financiero. Con esta nueva campaña agresiva, el grupo logro implantar un malware que se llama BankShot en el  sistema financiero de Turquía.

El Malware Bankshot, apareció por primera vez en el año  2017, este fue diseñado para permanecer persistentemente en las redes de las victimas, siendo capaz de buscar host relacionados a la Red Financiera SWIFT.

Esta nueva campaña fue descubierta por el equipo de investigación de McAfee, y de acuerdo a sus investigaciones la infección ocurrió entre el 2 y el 3 de Marzo. Los atacantes tenían como objetivo el gobierno de Turquía ya que le ataque no se vio en otros países.

Distribución


El malware logró ingresar a las redes financieras mediante una campaña de phishing. los correos tenian un adjunto llamado agreement.docx el cual se muestra a continuación.


Pero el documento venia con un código embebido que explotaba la vulnerabilidad CVE-2018-4878, la cual corresponde a una vulnerabilidad que afecta a las versiones de Adobe Flash Player anteriores a la versión 28.0.0.16, descargando y ejecutando archivos comprimidos desde el sitio falcan.oi.

Adjunto información relevante para poder detectar el malware mediante hash

Hashes
650b7d25f4ed87490f8467eb48e0443fb244a8c4
65e7d2338735ec04fd9692d020298e5a7953fd8d
166e8c643a4db0df6ffd6e3ab536b3de9edc9fb7
a2e966edee45b30bb6bb5c978e55833eec169098

Dominios
530hr[dot]com/data/common.php
028xmz[dot]com/include/common.php
168wangpi[dot]com/include/charset.php
Falcancoin[dot]io