Virus por e-mail HSBC

Conocido también como: el virus bancario HSBC
Tipo: Troyano
Propagación: Media
Nivel de peligrosidad: Extremo

Guía para eliminar el virus por e-mail HSBC

¿Qué es el virus por e-mail HSBC?

El virus por e-mail HSBC es otra campaña fraudulenta de spam similar a ADP Invoice, Barclays Secured Message, Sage Invoice y otras tantas. Esta campaña está diseñada para distribuir un virus de tipo troyano llamada TrickBot. Los correos electrónicos aseguran en esencia que un pago de dinero no se tramitado y anima a los usuarios a abrir un documento adjunto MS Word para más información. Se trata de una estafa, una vez se abre, el adjunto descarga e instala silenciosamente software malicioso.

software malicioso HSBC Email Virus

En primer lugar, HSBC es uno de los bancos más grandes del mundo y no tiene nada que ver con campañas de spam. Los ciberdelincuentes se ocultan simplemente tras ese nombre para engañar a usuarios ingenuos a que abran el adjunto. Como se ha mencionado anteriormente, en el correo se dice que el pago no puede tramitarse y se les anima a abrir un documento adjuntos y a seguir una serie de pasos para resolver el problema. Como se indica, es una estafa. Los ciberdelincuentes usan nombres de empresas legítimas y agencias gubernamentales, ya que es más fácil engañar a los usuarios para que abran archivos recibidos de usuarios o empresas con nombres familiares (en este caso, un gran banco). TrickBot es un virus muy peligroso. Este troyano secuestra los navegadores web y modifica los sitios web de banca para que todos los usuarios y contraseñas introducidos se envíen a un servidor remoto controlado por los desarrolladores de TrickBot. Por tanto, los ciberdelincuentes podrían conseguir acceso a cuentas de usuario privadas, como por ejemplo, redes sociales, bancos, etc. Los ciberdelincuentes persiguen generar muchos ingresos, por lo que hay una alta probabilidad de que esos individuos se aprovechen de la información conseguida. Por tanto, la existencia del software malicioso de TrickBot puede dar lugar a graves problemas de privacidad y pérdidas económicas significativas. Si ha abierto recientemente los adjuntos distribuidos en la campaña de spam "HSBC Email Virus", debería analizar el sistema de inmediato con un antivirus o antiespía legítimo y eliminar las amenazas detectadas.

Resumen de la amenaza:
Nombre el virus bancario HSBC
Tipo de amenaza Troyano, virus que sustrae contraseñas, software malicioso bancario, software espía
Síntomas Los troyanos han sido diseñados para infiltrarse en los equipos de las víctimas y permanecer en silencio, de ahí que no se constaten síntomas concretos en la máquina infectada.
Formas de distribución Adjuntos de correo infectados, anuncios maliciosos en línea, ingeniería social, software pirata.
Daño Información bancaria sustraída, contraseñas, suplantación de la identidad, equipo de la víctima añadido a una red de robots.
Eliminación

Para eliminar el virus bancario HSBC, nuestros investigadores de software malicioso recomiendan analizar el equipo con Spyhunter.
▼ Descargar Spyhunter
Su detector gratuito verifica si su equipo está infectado. Para eliminar el software malicioso, tendrá que comprar la versión completa de Spyhunter.

Hay muchos virus de tipo troyano que comparten similitudes con TrickBot (como por ejemplo LokiBot, Emotet, Adwind, y FormBook). Como ocurre con el virus HSBC Email, esos virus se distribuyen también usando campañas de spam por correo. Asimismo, casi todos los troyanos están diseñados para recabar información personal. Sin embargo, algunos propagan otros virus (normalmente ransomware). En cualquier caso, todos representan una amenaza directa a su privacidad y seguridad en navegadores.

¿Cómo se infectó mi equipo con el virus por e-mail HSBC Email?

Como mencionamos anteriormente, "HSBC Email Virus" distribuye un documento malicioso MS Word. Tras abrir este archivo, se insta a los usuarios habilitar comandos macro (de lo contrario, el contenido no se mostrará adecuadamente); sin embargo, es un truco; al permitir macros, los usuarios permitirán que el documento ejecute comandos que descargarán e instalarán silenciosamente TrickBot. Este método de distribución, sin embargo, tiene un fallo importante: los documentos son capaces de descargar software malicioso solo si el usuario los abre usando un programa MS Word. Por tanto, si el archivo se abre usando cualquier otra app, el software malicioso no se descargará. Asimismo, TrickBot pone su objetivo en el sistema operativo Windows solo; si usan otro sistema, está a salvo.

¿Cómo se evita la instalación de software malicioso?

La falta de conocimiento y un comportamiento imprudente son los ingredientes principales por los que se infecta el equipo. Por tanto, preste especial atención al navegar por internet. Piénseselo dos veces antes de abrir adjuntos en correos. Si ha recibido el e-mail de una cuenta de correo sospechosa o desconocida y el archivo/enlace parece totalmente irrelevante, no lo abra. Las versiones a partir de 2010 de MS Office están desarrolladas para abrir nuevos documentos con modo "vista protegida". Esto evita que se descargue e instale software malicioso. Por tanto, es arriesgado usar versiones antiguas. También recomendamos encarecidamente que tenga un software antivirus o antiespía instalado y en funcionamiento. Si ha abierto ya adjuntos maliciosos como "HSBC Email Virus", le recomendamos ejecutar un análisis con Spyhunter para eliminar automáticamente el software malicioso infiltrado.

Texto mostrado en el mensaje de correo "HSBC Email Virus":

Subject: Important : Troubles processing BACs payment
Good Morning,
We’re having troubles processing your request, we encountered an error processing your BACs payment.
What we need you to do
1. The documents are delivered through secure email via an attached file from HSBC. Please be aware this may be delivered to the spam folder.
2. When you open the document a message will appear saying the document requires phone verification. When you click the Send Code button, a code will be sent to your mobile phone.
3. Key that code in to the Code box on screen and select OK. You will now be able to complete the fields in the document as required.
4. Please note that the signature you upload needs to be a clear, current version of your standard signature which once added to the bank mandate can be used to authorise such account transactions as the paying away of funds.
5. Please ensure when you complete the form, that full names including any middle names are included.
6. When the final signatory has completed and signed the documents they will then be returned to me via secure email.
Yours sincerely
James Holand

Transaction Processing Specialist | Operations BACs, Faster Payments, CDD | Email: James.Holand@hsbc.co.uk

Adjunto malicioso distribuido a través de la campaña de spam "HSBC Email Virus":

adjunto malicioso distribuido a través de la campaña de spam HSBC Email Virus

Segunda variante del virus "HSBC Email Virus":

segunda variante de la campaña de spam HSBC Email Virus

Texto mostrado en este correo:

Subject: Incoming high value CHAPS payments

Good Morning ,

We received 2 high value CHAPS payments requests into the branch today.

Please complete and sign the attached documents and return for processing.
We require this information before we can release the payments to your account.

Thank you,

Olivia Brown BA (Hons) Cert (RBCB)
Business Banking and Wealth Management
HSBC BANK PLC HBEU
18 North Street, Leatherhead, Surrey KT22 7AR. South Region.
___________________________________________________________

Phone 08455928172
Email Olivia.Brown@hsbcemail.net

************************************************************
HSBC Bank plc
Registered Office: 8 Canada Square, London E14 5HQ
Registered in England – Number 14259
Authorised by the Prudential Regulation Authority and regulated by the
Financial Conduct Authority and the Prudential Regulation Authority
************************************************************

This E-mail is confidential

It may also be legally privileged. If you are not the addressee you may not copy, forward, disclose or use any part of it. If you have received this message in error, please delete it and all copies from your system and notify the sender immediately by return E-mail.

Internet communications cannot be guaranteed to be timely secure, error or virus-free. The sender does not accept liability for any errors or omissions.

Captura de pantalla del adjunto malicioso propagado usando la segunda variante de "HSBC Email Virus":

otro adjunto HSBC Email Virus

Tercera versión del virus "HSBC Email Virus":

ejemplo 3 HSBC Email

Texto mostrado en este correo:

Subject: Account Review

Account Review
Dear Sir/Madam

The account review files has been issued at the request of our customer, please download it from the link below:

hxxps://hsbcdocuments.net/.............

Your documents have been encrypted with the strongest encryption and a unique key, please print and sign the attached document.

Yours faithfully,
Global Payment and Cash Management
HSBC

Captura de pantalla del adjunto propagado usando la tercera versión de "HSBC Email Virus":

adjunto malicioso HSBC Email Virus (ejemplo 3)

Otra versión de la campaña de spam de HSBC email:

un versión del virus por e-mail HSBC

Texto mostrado en este correo:

Good day, Our Ref: WA3AEMIDLGB31.
Find enclosed payment copy made to your company account on behalf of our client to your receiving bank dated 10/04/2019. Kindly confirm payment and client Ref details from attache' swift copy and advice accordingly.
Awaiting your confirmation
Best Regards,
David Wong Funds Transfer Dept., Business Banking, Eastern District, Commercial Banking The Hongkong and Shanghai Banking Corporation Limited (1-1SBC 14/F, Causeway Bay Plaza Two, 463-483 Lockhart Road, Causeway Bay, Hong Kong. Email: customerserviceeOhsbcpcom.hk  web: hxxps://www.hsbc.com.hk

Captura de pantalla del adjunto malicioso de Microsoft Excel ("Paymentreceipt.xlsx"):

adjunto malicioso del virus HSBC Email

Otra versión de la campaña de spam por e-mail "HSBC". Esta versión distribuye el troyano de acceso remoto NanoCore y el adjunto es "swift_274456.iso" que contiene el archivo "swift_274456.exe".

Captura de pantalla del correo engañoso:

campaña de correo HSBC que distribuye el troyano NanoCore

Texto mostrado en este correo:

Greetings.. The attached payment advice is issued at the request of our customer. please kindly confirm your bank swift-code/account body,

we have been trying to send this funds out to you lately but it had always bounced back.

This advice is for your reference only**
Yours faithfully,

Global Payments and Cash Management

HSBC UK

Skype: rick.tev2
This is not an auto-generated email, please TAKE NOTE. Awaiting your urgent reply in order to proceed again.
Security tips

1. Install virus detection software and personal firewall on your computer. This software needs to be updated regularly to ensure you have the latest protection.

2. To prevent viruses or other unwanted problems, do not open attachments from unknown or non-trustworthy sources.

3. If you discover any unusual activity, please contact the remitter of this payment as soon as possible.

Captura de pantalla del adjunto malicioso:

adjunto malicioso en campaña de spam HSBC swift_274456.iso

Resumen de la amenaza:
Nombre swift_274456.iso
Tipo de amenaza Troyano de acceso remoto, virus que sustrae contraseñas, software malicioso bancario, software espía
Detectada como Antiy-AVL (Trojan[Dropper]/Win32.Sysn), McAfee (Artemis!9585B363E418), Microsoft (Trojan:Win32/Sonbokli.A!cl), Tencent (Win32.Trojan.Autoit.Auto), lista completa (VirusTotal)
Carga útil NanoCore RAT
Síntomas Los troyanos están diseñados para introducirse silenciosamente en el equipo de las víctimas y permanecer en silencio, de ahí que no se vean síntomas en el equipo infectado.
Formas de distribución Adjuntos infectados en correos, anuncios maliciosos en internet, ingeniería social, software pirata.
Daño Información bancaria robada, contraseñas, suplantación de la identidad, el equipo de la víctima se añade a una red de robots.
Eliminar

Para eliminar el virus bancario HSBC, nuestros investigadores de software malicioso recomiendan analizar el equipo con Spyhunter.
▼ Descargar Spyhunter
Su detector gratuito verifica si su equipo está infectado. Para eliminar el software malicioso, tendrá que comprar la versión completa de Spyhunter.

Eliminar automáticamente de forma instantánea el virus bancario HSBC: Eliminar las amenazas de forma manual puede acabar siendo un proceso largo y tedioso que precisa de conocimientos informáticos avanzados. Spyhunter es una herramienta profesional para eliminar software malicioso de forma automática y está recomendada para acabar con el virus bancario HSBC. La descarga se iniciará al hacer clic en el siguiente botón:
▼ DESCARGAR Spyhunter Su detector gratuito verifica si su equipo está infectado. Para eliminar el software malicioso, tendrá que comprar la versión completa de Spyhunter. Si decide descargar este programa, quiere decir que usted está conforme con nuestra Política de privacidad y Condiciones de uso.

Menú rápido:

¿Cómo eliminar el software malicioso de forma manual?

Eliminar software malicioso de forma manual es una tarea complicada; normalmente es mejor dejar que un programa antivirus o antiespía lo haga por nosotros de forma automática. Para eliminar este software malicioso, recomendamos que use Spyhunter. Si desea eliminar el software malicioso de forma manual, el primer paso es identificar el nombre del software malicioso que esté intentando eliminar. He aquí un ejemplo de un programa sospechoso que se ejecuta en el equipo del usuario:

ejemplo proceso malicioso ejecutándose en el sistema del usuario

Si ha inspeccionado la lista de programas que se ejecuta en su equipo a través del Administrador de tareas, por ejemplo, y ha visto un programa que parece sospechoso, debería realizar lo siguiente:

eliminar manualmente software malicioso paso 1 Descargue un programa llamado Autoruns. Este programa muestra las aplicaciones que se ejecutan automáticamente, carpetas de registro y del sistema de archivos.

captura de pantalla de la aplicación autoruns

eliminar manualmente software malicioso paso 2Reinicie su equipo en modo seguro:

Usuarios de Windows XP y Windows 7: Inicie su equipo en modo seguro. Haga clic en Inicio, Apagar, Reiniciar y aceptar. Mientras el equipo arranca, pulse la tecla F8 en su teclado varias veces hasta que vea el menú de Opciones avanzadas de Windows, luego seleccione modo seguro con funciones de red de la lista.

Modo seguro con funciones de red

Este vídeo muestra cómo iniciar Windows 7 en "Modo seguro con funciones de red":

Usuarios de Windows 8: Inicie Windows 8 en modo seguro con funciones de red: Diríjase a la pantalla de inicio de Windows 8, escriba "avanzadas", en los resultados de búsqueda, seleccione "Cambiar opciones avanzadas de inicio". En la nueva ventana "Configuración de PC", vaya hasta la sección "Inicio avanzado". Haga clic en el botón "Reiniciar ahora". Su PC se reiniciará ahora con el "Menú de opciones de arranque avanzadas". Haga clic en el botón de "Solucionar problemas", luego haga clic en el botón de "Opciones avanzadas". En la pantalla de opciones avanzadas, haga clic en "Configuración de inicio". Haga clic en el botón "Reiniciar". Su PC se reiniciará mostrando primero la pantalla de Configuración de inicio. Pulse F5 para arrancar en Modo seguro con funciones de red.

Modo seguro en Windows 8 con funciones de red

Este vídeo muestra cómo iniciar Windows 8 en "Modo seguro con funciones de red":

Usuarios de Windows 10: Haga clic en el logo de Windows y seleccione el icono de Inicio/Apagado. En el nuevo menú, haga clic en "Reiniciar" mientras mantiene pulsada la tecla "mayúsculas" en su teclado. En la ventana "seleccione una opción", haga clic en "Solucionar problemas" y luego en "Opciones avanzadas". En el menú de opciones avanzadas, seleccione "Configuración de inicio" y haga clic en el botón "Reiniciar". En la siguiente pantalla, tendrá que pulsar la tecla F5 de su teclado. Luego se reiniciará el sistema operativo en modo seguro con funciones de red.

Modo seguro en Windows 10 con funciones de red

Este vídeo muestra cómo iniciar Windows 10 en "Modo seguro con funciones de red":

eliminar manualmente software malicioso paso 3 Extraiga el archivo descargado y ejecute el archivo Autoruns.exe.

descomprimir autoruns.zip y ejecutar autoruns.exe

eliminar manualmente el software malicioso paso 4En la aplicación Autoruns, haga clic en Opciones (Options) arriba y desmarque Ocultar ubicaciones vacías ("Hide empty locations") y Ocultar entradas de Windows ("Hide Windows Entries"). Seguidamente, haga clic en el icono Actualizar (Refresh).

Haga clic en Opciones (Options) arriba y desmarque Ocultar ubicaciones vacías (

eliminar manualmente software malicioso paso 5Revise la lista que proporciona la aplicación Autoruns y encuentre el archivo malicioso que desea eliminar.

Debería anotar la ruta completa y el nombre. Sepa que algunos programas maliciosos enmascaran sus nombres de proceso con nombres de procesos fiables de Windows. En este punto, es muy importante no eliminar archivos del sistema. Una vez que haya encontrado el programa sospechoso que desee eliminar, haga clic derecho sobre su nombre y seleccione Eliminar (Delete).

busque el archivo malicioso que desee eliminar

Tras eliminar el software malicioso a través de la aplicación Autoruns (así nos aseguramos de que el software malicioso deje de ejecutarse automáticamente en el sistema la próxima vez que se inicie), tendría que buscar por el nombre del software malicioso en su equipo. No olvide mostrar la lista de archivos y carpetas ocultas antes de continuar. Si encuentra el archivo del software malicioso, asegúrese de eliminarlo.

buscar archivos maliciosos en su equipo

Reiniciar su equipo en modo normal Esta guía debería ayudarle a eliminar cualquier software malicioso de su equipo. Hay que destacar que se requieren conocimientos informáticos avanzados para eliminar amenazas de forma manual. Se recomienda confiar la eliminación de software malicioso a los programas antivirus o antimalware. Esta guía podría no ser efectiva si nos encontramos ante una infección avanzada de software malicioso. Como de costumbre, lo ideal es prevenir la infección en vez de probar a eliminar el software malicioso luego. Para mantener seguro su equipo, asegúrese de instalar las últimas actualizaciones del sistema operativo y usar software antivirus.

Para estar seguros de que su equipo está libre de infecciones de software malicioso, lo mejor es analizarlo con Spyhunter.

Acerca del autor:

Tomas Meskauskas

Me apasiona todo lo relacionado con seguridad informática y tecnología. Me avala una experiencia de más de 10 años trabajando para varias empresas de reparación de problemas técnicos y seguridad on-line. Como editor y autor de PCrisk, llevo trabajando desde 2010. Sígueme en Twitter y LinkedIn para no perderte nada sobre las últimas amenazas de seguridad en internet. Leer más sobre el autor.

El portal de seguridad PCrisk ha sido creado conjuntamente por varios investigadores de seguridad con el propósito de formar e informar a los usuarios sobre las últimas amenazas detectadas en internet. Podrá leer más información sobre los autores e investigadores que trabajan en PCrisk en nuestra página de Contacto.

Nuestras guías de desinfección de software malicioso son gratuitas. No obstante, si desea colaborar, puede realizar una donación.

Guías de desinfección en otros idiomas
Código QR
el virus bancario HSBC Código QR
Un código QR (código de respuesta rápida) es un código que puede ser escaneado usando dispositivos y que almacena direcciones web y otra información. Este código puede ser escaneado usando una cámara en un smartphone o tablet. Escanee este código QR para acceder fácilmente a la guía de desinfección de el virus bancario HSBC desde su dispositivo móvil.
Nuestra recomendación:

Despídase ya de el virus bancario HSBC:

▼ ELIMINAR AHORA con Spyhunter

Plataforma: Windows

Valoración de Spyhunter por parte del editor:
¡Excelente!

[Volver al principio]

Su detector gratuito verifica si su equipo está infectado. Para eliminar el software malicioso, tendrá que comprar la versión completa de Spyhunter.