Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
07/11/2014
El malware Dridex ressuscita els atacs a les macros de Word
Una peça de programari maliciós, dissenyada per a robar credencials de banca en línia, acaba de ressuscitar un tècnica d’atac amb més d’una dècada d’història que pot instal·lar-se en qualsevol PC i aconseguir les nostres claus bancàries.
Denominat Dridex, este programari maliciós tracta de robar les dades en el moment que l’usuari es connecta a un compte de banca en línia, per mitjà de la creació de camps HTML que sol·liciten informació addicional, com ara el número de la Seguretat Social.
No és una novetat, per descomptat. Es tracta d’un successor de l’exemplar de programari maliciós denominat Cridex, que també apuntava al robatori de comptes bancaris. Però sí que és diferent el mètode d’infecció que utilitza, ja que es distribuïx en forma de macro, dins d’un document Word que es rep com a correu brossa, via correu electrònic.
Este tipus d’atac té més d’una dècada, encara que va perdre el seu moment quan Microsoft va reforçar-hi les mesures de seguretat. Aparentment, alguns pirates l'han recuperat.
Encara que la majoria dels PC actuals deshabiliten les macros que s’executen per defecte. En este cas, si s’obri el fitxer Word se sol·licita a l’usuari que habilite les macros i, si ho fa, Dridex es descarrega en el PC sense remissió, ha advertit la firma de seguretat Trend Micro en el seu blog.
La tornada a este tipus de tècniques es pot deure a les seues ràtios d’èxit. Si la funció macro està activada abans de l’atac, este es desencadena sense cap altre requisit, la qual cosa facilita molt la propagació del programari maliciós.
Una vegada instal·lat en l’equip, el programari maliciós està programat per a entrar en acció quan observa que l’usuari visita una llarga llista de bancs, entre els quals figuren el Banc d’Escòcia, Lloyd, Danske Bank, Barclays, Kasikorn Bank o l’espanyol Santander.
Els missatges de correu brossa amb Dridex detectats, pareix que procedixen principalment de Vietnam, Índia, Taiwan, Corea del Sud i la Xina, mentres que els tres primers països infectats amb este són Austràlia, el Regne Unit i els EUA.