Blog gratis
Reportar
Editar
¡Crea tu blog!
Compartir
¡Sorpréndeme!
Blog de la Escuela de Educación Secundaria Técnica N 8 de Quilmes
Administrador Prof. Claudio Enrique Alonso Alvite
img
07 de Noviembre, 2014    General

Dridex. ¿Vuelven los virus de macro?

Parecía que se habían acabado, un resquicio del pasado, pero los atacantes buscan nuevas (o antiguas) formas de engañar a los usuarios para lograr su objetivo. En esta ocasión, un virus en forma de documento Word con macros es el encargado de infectar el sistema con un troyano bancario.

Mensaje con adjunto Word infectado.
Fuente: Trend Micro
Seguramente muchos de los usuarios actuales nunca hayan visto ni oído hablar de los virus de macro, y posiblemente de ese desconocimiento se quiere aprovechar este virus. Los virus de macro tuvieron su época dorada hace ya más de 10 años (finales de los 90 y principios de los 2000). Quizás el más recordado de todos sea el famoso "Love Letter". Este tipo de virus se aprovechan de las capacidades del lenguaje de macros de diferentes productos (principalmente Word y Excel) para realizar sus acciones maliciosas, anteriormente tan solo se reproducían e infectaban otros sistemas, pero su carga maliciosa puede ser de cualquier tipo.

El nuevo malware, descubierto por Trend Micro ha sido bautizado como Dridex, al considerarlo como el sucesor del troyano bancario Cridex, ya conocido desde hace unos años. Tanto Cridex y Dridex están destinados al robo de información personal, especialmente datos bancarios, nada nuevo.

Sin embargo, mientras el malware Cridex es directamente uno de los "payloads" asociados al kit de ataque. Dridex, por el contrario, usa spam para distribuir documentos Word que contienen código macro malicioso. Es esa macro la encargada de descargar Dridex en el sistema afectado.

Esa es la novedad de este malware, se emplea un documento Word con macros para realizar la descarga del malware en el sistema del usuario.

La infección

El primer eslabón en la cadena de infección es la recepción de un mensaje de spam. Los correos están supuestamente enviados por empresas legítimas, e incluyen un adjunto que dice ser facturas o documentos contables.

Archivo adjunto con instrucciones para activar las macros.
Fuente: Trend Micro
El documento Word adjunto contiene la macro maliciosa. El usuario debe abrir el archivo y verá un documento en blanco. También existen adjuntos en los que se le indica al usuario que el contenido no será visible hasta que active las macros. Generalmente, por defecto, Word tiene desactivada la ejecución de macros. Por lo que mostrará una indicación para activar dicha función. Una vez más la ingeniería social entra en acción, el usuario desapercibido puede entender que el contenido del archivo no será visible a menos que se active la función de macros. Pero si el usuario activa las macros, se producirá la descarga del malware Dridex (concretamente TSPY_DRIDEX.WQJ).

Una vez se ejecuta, el malware actúa de una forma tradicional, como cualquier otro troyano bancario. Monitoriza la actividad relacionada con una serie de bancos online, principalmente europeos. Algunos de sus bancos objetivos son: Bank of Scotland, Lloyds Bank, Danske Bank, Barclays, Kasikorn Bank o Santander. Una vez el usuario accede a alguno de estos bancos online, procede al robo de información de a través de diferentes métodos, como la grabación de formularios, capturas de pantalla o inyecciones en el sitio.

Más información:

Banking Trojan DRIDEX Uses Macros for Infection

TSPY_DRIDEX.WQJ

una-al-dia (01/05/2000) Alerta: VBS.LoveLetter infecta miles de sistemas

  
Antonio Ropero

Twitter: @aropero
Palabras claves , , , , ,
publicado por alonsoclaudio a las 14:49 · Sin comentarios  ·  Recomendar
 
Más sobre este tema ·  Participar
Comentarios (0) ·  Enviar comentario
Enviar comentario

Nombre:

E-Mail (no será publicado):

Sitio Web (opcional):

Recordar mis datos.
Escriba el código que visualiza en la imagen Escriba el código [Regenerar]:
Formato de texto permitido: <b>Negrita</b>, <i>Cursiva</i>, <u>Subrayado</u>,
<li>· Lista</li>
CALENDARIO
Ver mes anterior Diciembre 2022 Ver mes siguiente
DOLUMAMIJUVISA
123
45678910
11121314151617
18192021222324
25262728293031
BUSCADOR
Blog   Web
TÓPICOS
» General (2606)
NUBE DE TAGS  [?]
SECCIONES
» Inicio
ENLACES
MÁS LEÍDOS
» Analizando el LiveBox 2.1 de Orange
» Cómo espiar WhatsApp
» Cómo usar Metashield protector for Client y por qué utilizarlo
» Detectando tráfico de conexiones HTTP inversas de Meterpreter (Snort)
» Ejecución remota de código arbitrario en OpenSSH
» Ganar dinero con 1.200 Millones de identidades robadas
» Hardware y sus 4 Funcionamientos Basicos y Principales en una Computadora
» Redes de la Deep Web: CJDNS y la Red Hyperboria
» Unidad Central de Procesamiento CPU
» Wassap, la aplicación que permite usar WhatsApp desde la PC
SE COMENTA...
» Cómo espiar WhatsApp
593 Comentarios: Jarlinson mercy, jarlinson mercy, TIFFANY MURRAY, [...] ...
» Qué hacer ante el robo de un teléfono móvil o una tableta
2 Comentarios: best buy security cameras swann, best buy security cameras swann
» Espiando usuarios gracias a la vulnerabilidad en cámaras TRENDnet
1 Comentario: Coin
» Recopilatorio de aplicaciones y sistemas vulnerables para practicar
2 Comentarios: vera rodrigez ...
» SoftPerfect WiFi Guard permite saber quién esta conectado a mi WiFi
2 Comentarios: firdous ...
SOBRE MÍ
FOTO

Prof. Claudio Enrique Alonso Alvite



» Ver perfil

AL MARGEN
Escuela de Educacion Secundaria Tecnica N 8 de Quilmes
(Técnicos en Informática Personal y Profesional)
FULLServices Network | Blogger | Privacidad