Dridex, el troyano bancario que se distribuye en documentos de Word

2

 

Hace unos días en la mesa redonda sobre malware celebrada en Globb Security, los expertos debatían acerca de las nuevas amenazas y vectores de ataque: vuelven a los orígenes. Durante un tiempo, los envíos de archivos de Word manipulados no «estuvieron de moda» entre los atacantes, pero todo vuelve, también en el mundo de la ciberseguridad.

Uno de los últimos ataques en rescatar este viejo hábito ha sido una campaña de spam que ha estado distribuyendo el troyano Dridex en un archivo adjunto de Microsoft Word. Éste simulaba ser una factura, según las investigaciones del laboratorio de seguridad de G DATA.

La extensión .doc del archivo adjunto en realidad sólo pretende confundir a las víctimas, ya que se trata de un documento MHTML, un formato web soportado por Microsoft Word. El archivo (que para la víctima supuestamente es una factura), solicita tener habilitadas las macros de Microsoft Office para poder leerse correctamente.

Las macros son utilizadas para automatizar procesos y tareas que pasan a realizarse de forma secuencial en un solo clic. Algunas macros representan un riesgo para la seguridad, ya que pueden ser usadas para introducir comandos maliciosos en un archivo e infectar con malware los sistemas. Por eso están deshabilitados por defecto en Microsoft Office.

 

Una vez activadas las macros, se desencadena la segunda fase del ataque: el malware conecta con la web pastebin.com para descargar desde allí el código malicioso o payload. En este caso, el troyano bancario Dridex.

Pastebin es una aplicación web que permite a sus usuarios compartir pequeños textos, generalmente ejemplos de código fuente. Los atacantes han elegido esta página por su legitimidad y porque resulta poco probable que las soluciones de seguridad la incluyan en una posible lista negra.

virus troyano dridex

Empresas pequeñas y medianas, objetivo de Dridex

El troyano Dridex permite a los atacantes espiar las transacciones bancarias de sus víctimas y el robo de datos personales. Pero no sólo eso, también permite instalar nuevo malware y el envío de spam. El objetivo principal de esta campaña son las empresas pequeñas y medianas.

 

G DATA advierte de que usuarios nunca deberían abrir los archivos adjuntos que reciben en correos electrónicos procedentes de remitentes desconocidos y deberían sospechar de aquellas facturas inesperadas que responde a servicios desconocidos o no contratados. Antes de abrir los adjuntos, preguntarse si se ha hecho algún tipo de pedido online, si el correo contiene errores ortográficos o gramaticales, si incluye nuestra información personal…

Y como norma general, en caso de duda: mejor no lo abras.

About Author

Periodista especializada en tecnología y ciberseguridad. Presentadora del programa sobre seguridad informática y tecnología Mundo Hacker. @monivalle

2 comentarios

  1. Pingback: Avira Free Antivirus, ¿El verdadero Botnet Dridex de las Operaciones Bancarias? « Tecnoinnovador

Leave A Reply