jueves, 6 de noviembre de 2014

Dridex. ¿Vuelven los virus de macro?

Parecía que se habían acabado, un resquicio del pasado, pero los atacantes buscan nuevas (o antiguas) formas de engañar a los usuarios para lograr su objetivo. En esta ocasión, un virus en forma de documento Word con macros es el encargado de infectar el sistema con un troyano bancario.

Mensaje con adjunto Word infectado.
Fuente: Trend Micro
Seguramente muchos de los usuarios actuales nunca hayan visto ni oído hablar de los virus de macro, y posiblemente de ese desconocimiento se quiere aprovechar este virus. Los virus de macro tuvieron su época dorada hace ya más de 10 años (finales de los 90 y principios de los 2000). Quizás el más recordado de todos sea el famoso "Love Letter". Este tipo de virus se aprovechan de las capacidades del lenguaje de macros de diferentes productos (principalmente Word y Excel) para realizar sus acciones maliciosas, anteriormente tan solo se reproducían e infectaban otros sistemas, pero su carga maliciosa puede ser de cualquier tipo.

El nuevo malware, descubierto por Trend Micro ha sido bautizado como Dridex, al considerarlo como el sucesor del troyano bancario Cridex, ya conocido desde hace unos años. Tanto Cridex y Dridex están destinados al robo de información personal, especialmente datos bancarios, nada nuevo.

Sin embargo, mientras el malware Cridex es directamente uno de los "payloads" asociados al kit de ataque. Dridex, por el contrario, usa spam para distribuir documentos Word que contienen código macro malicioso. Es esa macro la encargada de descargar Dridex en el sistema afectado.

Esa es la novedad de este malware, se emplea un documento Word con macros para realizar la descarga del malware en el sistema del usuario.

La infección

El primer eslabón en la cadena de infección es la recepción de un mensaje de spam. Los correos están supuestamente enviados por empresas legítimas, e incluyen un adjunto que dice ser facturas o documentos contables.

Archivo adjunto con instrucciones para activar las macros.
Fuente: Trend Micro
El documento Word adjunto contiene la macro maliciosa. El usuario debe abrir el archivo y verá un documento en blanco. También existen adjuntos en los que se le indica al usuario que el contenido no será visible hasta que active las macros. Generalmente, por defecto, Word tiene desactivada la ejecución de macros. Por lo que mostrará una indicación para activar dicha función. Una vez más la ingeniería social entra en acción, el usuario desapercibido puede entender que el contenido del archivo no será visible a menos que se active la función de macros. Pero si el usuario activa las macros, se producirá la descarga del malware Dridex (concretamente TSPY_DRIDEX.WQJ).

Una vez se ejecuta, el malware actúa de una forma tradicional, como cualquier otro troyano bancario. Monitoriza la actividad relacionada con una serie de bancos online, principalmente europeos. Algunos de sus bancos objetivos son: Bank of Scotland, Lloyds Bank, Danske Bank, Barclays, Kasikorn Bank o Santander. Una vez el usuario accede a alguno de estos bancos online, procede al robo de información de a través de diferentes métodos, como la grabación de formularios, capturas de pantalla o inyecciones en el sitio.

Más información:

Banking Trojan DRIDEX Uses Macros for Infection

TSPY_DRIDEX.WQJ

una-al-dia (01/05/2000) Alerta: VBS.LoveLetter infecta miles de sistemas

  
Antonio Ropero

Twitter: @aropero

No hay comentarios:

Publicar un comentario en la entrada