Sigue la alerta por el troyano bancario Dyre

0

Desde hace semanas, hemos ido informando de una de las amenazas que más ha destacado durante los últimos meses por sus elaboradas técnicas y su éxito robando fondos de cuentas bancarias. Se trata del troyano bancario Dyre, que sigue afectando a muchos usuarios que reciben correos engañosos y cuyo fin es robar las credenciales de acceso a las cuentas del usuario con webs que suplantan a entidades financieras. Ahora, de la mano del laboratorio del desarrollador ESET, tenemos una radiografía muy ajustada de esta dañina amenaza que parece se está centrando ahora en entidades españolas por lo que convienen extremar las precauciones.

DyerWolfAttackSteps

Dyre, historia de una amenaza

Las primeras noticias de este troyano son de mediados de 2014. Ya en junio de 2014, investigadores del desarrollador ESET alertaban de la existencia de un nuevo troyano bancario que se propagaba en campañas de envío de spam y que podía engañar a los navegadores (y en consecuencia, a los usuarios) haciéndoles creer que se encontraban en un sitio web seguro cuando en realidad estaba suplantando webs de entidades financieras.

dyre1

Al contrario de muchos de los troyanos que suelen venderse en foros de cibercriminales, Dyre es un desarrollo propio de un grupo de ciberdelincuentes que no está a la venta y que va sufriendo modificaciones para mejorar sus técnicas.

A lo largo de estos meses, Dyre ha ido apuntando a varios objetivos en sucesivas campañas. Primero se centraron en bancos de Estados Unidos; luego comenzaban a tener como objetivos a bancos en Reino Unido y a día de hoy, no hay entidad bancaria que no sea un posible blanco salvo.

Además de tener a los bancos en el punto de mira, en septiembre del año pasado Dyre apuntaba a Salesforce, una de las soluciones para gestión de ventas o CRM más utilizados. Este software, encargado de almacenar y organizar la información de los clientes, era utilizado por cien mil organizaciones en el momento del ataque y tiene millones de suscriptores.

Apuntando a los bancos españoles

Durante las últimas semanas, el laboratorio de compañías de ciberseguridad como ESET han estado analizando muestras detectadas en correos no deseados en inglés en los que nos solicitan que revisemos facturas u otro tipo de documentos administrativos que pueden ser de nuestro interés.

Resulta llamativo el hecho de que los delincuentes detrás de esta campaña no se preocupan en hacer especialmente atractivo el correo, confiando en que la víctima centrará toda su atención en el archivo adjunto. Como en muestras analizadas anteriormente, el archivo comprimido contiene un ejecutable, aunque en las últimas campañas realizadas por los delincuentes han sustituido los ficheros ejecutables .exe por los .scr para levantar menos sospechas.

Salvo este cambio en la extensión del fichero, la técnica sigue siendo la misma, y es que mientras Windows siga deshabilitando por defecto mostrar las extensiones de los ficheros, la mayoría de usuarios caerán en la trampa de ejecutar un archivo confiando en el icono que este muestra. Como se puede ver, el código malicioso se camufla como si fuera un inofensivo PDF.

dyre2

Echando un vistazo rápido a los detalles del fichero vemos como el archivo es realmente un fichero .scr, extensión usada normalmente para identificar a los ficheros que utiliza Windows como protectores de pantalla. Si prestamos atención a las fechas que aparecen, veremos que la última modificación de este fichero fue realizada el 14 de julio, fecha reciente y que demuestra la constante actualización de las muestras para intentar evadir las detecciones de los antivirus.

dyre3

Este archivo no es en realidad el troyano bancario en sí, sino que se trata de un descargador (una vez infecta el sistema, descarga el malware que el delincuente le indique) identificado como Kryptik.DPUG o Waski por ESET. Una vez ha conseguido ejecutarse en el sistema de la víctima, es cuando contacta con el centro de mando y control de los delincuentes y descarga Dyre.

dyre4

No obstante, en muestras recibidas por ESET se están empezando a propagar correos no deseados con archivos Word con la extensión .doc que contienen macros y que permiten descargar e instalar el malware Waski que, a su vez, descargará el código malicioso Dyre en el sistema de la víctima.

Situación actual de Dyre en España

Conociendo los precedentes en otras regiones del mundo, era de esperar que Dyre se centrara en bancos españoles alguna vez. Analizando el código del malware se puede ver como se incluyen las webs de hasta 15 entidades bancarias con presencia en España. Una vez infectado el equipo, la víctima accederá a las webs preparadas por los delincuentes que suplantan a las entidades originales, incluso utilizando el certificado de conexión segura para ganarse la confianza de sus víctimas.

Las webs de entidades españolas que se ha visto que Dyre intenta suplantar son las siguientes:

ebanking.es.rbcis.com

online.popularbancaprivada.es

www2.targobank.es

conecta.es.rbcis.com

www.volkswagenbank.es

nbnet.novobanco.es

clientes.selfbank.es

www.eurocredito.es

bancoonline.openbank.es

caixadirecta.colonya.es

www.oney.es

bcaixanet-empresas.bancocaixageral.es

clientes.uci.es

barclaysnet.barclays.es

www.novobanco.es

Con respecto al nivel de propagación de esta amenaza en España, nos encontramos ante un caso que afecta especialmente a nuestro país con más de un 14% del total de amenazas detectadas por el sistema Live Grid de ESET en los últimos días, los códigos maliciosos que tienen como finalidad descargar el troyano bancario Dyre se sitúan actualmente en una de las amenazas más importantes para usuarios españoles.

dyre6

En cuanto a otros países, si bien Dyre se sigue propagando por sistemas de todo el mundo, esta campaña en concreto tiene como objetivo a usuarios españoles de banca online. También vemos elevados índices de detección en Alemania, algo lógico si tenemos en cuenta que algunas de las webs de los bancos que se intentan suplantar son filiales de bancos alemanes.

El futuro de Dyre

Parece claro que mientras esta amenaza siga evolucionando y reportando importantes beneficios a sus creadores, veremos más oleadas. Además, Dyre no solo se centra en el usuario promedio de banca online, sino que está especializado en atacar a grandes cuentas y obtener grandes cantidades en una sola operación, cantidades que han llegado al millón y medio de dólares.

About Author

Periodista especializado con más de 18 años de experiencia en tecnología. He sido director de publicaciones como Macworld (dedicada al mundo Apple) o TechStyle (dedicada a electrónica de consumo) y después he trabajado con TICbeat.com como responsable de desarrollo de producto. Actualmente trabajo como Chief Content Officer en GlobbTV.

Leave A Reply