El Malware Bankshot, apareció por primera vez en el año 2017, este fue diseñado para permanecer persistentemente en las redes de las victimas, siendo capaz de buscar host relacionados a la Red Financiera SWIFT.
Esta nueva campaña fue descubierta por el equipo de investigación de McAfee, y de acuerdo a sus investigaciones la infección ocurrió entre el 2 y el 3 de Marzo. Los atacantes tenían como objetivo el gobierno de Turquía ya que le ataque no se vio en otros países.
Distribución
El malware logró ingresar a las redes financieras mediante una campaña de phishing. los correos tenian un adjunto llamado agreement.docx el cual se muestra a continuación.
Pero el documento venia con un código embebido que explotaba la vulnerabilidad CVE-2018-4878, la cual corresponde a una vulnerabilidad que afecta a las versiones de Adobe Flash Player anteriores a la versión 28.0.0.16, descargando y ejecutando archivos comprimidos desde el sitio falcan.oi.
Adjunto información relevante para poder detectar el malware mediante hash
Hashes 650b7d25f4ed87490f8467eb48e0443fb244a8c4 65e7d2338735ec04fd9692d020298e5a7953fd8d 166e8c643a4db0df6ffd6e3ab536b3de9edc9fb7 a2e966edee45b30bb6bb5c978e55833eec169098 Dominios 530hr[dot]com/data/common.php 028xmz[dot]com/include/common.php 168wangpi[dot]com/include/charset.php Falcancoin[dot]io