Parecía
que se habían acabado, un resquicio del pasado, pero los atacantes buscan
nuevas (o antiguas) formas de engañar a los usuarios para lograr su objetivo.
En esta ocasión, un virus en forma de documento Word con macros es el encargado
de infectar el sistema con un troyano bancario.
Seguramente muchos de los
usuarios actuales nunca hayan visto ni oído hablar de los virus de macro, y
posiblemente de ese desconocimiento se quiere aprovechar este virus. Los virus
de macro tuvieron su época dorada hace ya más de 10 años (finales de los 90 y
principios de los 2000).
Quizás el más recordado de todos sea el famoso "Love Letter". Este tipo de virus se aprovechan de las capacidades
del lenguaje de macros de diferentes productos (principalmente Word y Excel)
para realizar sus acciones maliciosas, anteriormente tan solo se reproducían e
infectaban otros sistemas, pero su carga maliciosa puede ser de cualquier tipo.
El nuevo
malware,
descubierto por Trend Micro ha sido bautizado como Dridex, al considerarlo como el sucesor del
troyano bancario Cridex, ya conocido desde hace unos años. Tanto Cridex y
Dridex están destinados al robo de información personal, especialmente datos
bancarios, nada nuevo.
Sin embargo, mientras el malware
Cridex es directamente uno de los "payloads"
asociados al kit de ataque. Dridex, por el contrario, usa spam para distribuir
documentos Word que contienen código macro malicioso. Es esa macro la encargada
de descargar Dridex en el sistema afectado.
Esa es la novedad de este
malware, se emplea un documento Word con macros para realizar la descarga del
malware en el sistema del usuario.
La infección
El primer eslabón en la cadena de
infección es la recepción de un mensaje de spam. Los correos están
supuestamente enviados por empresas legítimas, e incluyen un adjunto que dice
ser facturas o documentos contables.
 |
Archivo adjunto con instrucciones para activar las macros.
Fuente: Trend Micro |
El documento Word adjunto
contiene la macro maliciosa. El usuario debe abrir el archivo y verá un documento
en blanco. También existen adjuntos en los que se le indica al usuario que el
contenido no será visible hasta que active las macros. Generalmente, por
defecto, Word tiene desactivada la ejecución de macros. Por lo que mostrará una
indicación para activar dicha función. Una vez más la ingeniería social entra
en acción, el usuario desapercibido puede entender que el contenido del archivo
no será visible a menos que se active la función de macros. Pero si el usuario
activa las macros, se producirá la descarga del malware Dridex (concretamente TSPY_DRIDEX.WQJ).
Una vez se ejecuta, el malware
actúa de una forma tradicional, como cualquier otro troyano bancario.
Monitoriza la actividad relacionada con una serie de bancos online, principalmente
europeos. Algunos de sus bancos objetivos son: Bank of Scotland, Lloyds Bank,
Danske Bank, Barclays, Kasikorn Bank o Santander. Una vez el usuario accede a
alguno de estos bancos online, procede al robo de información de a través de
diferentes métodos, como la grabación de formularios, capturas de pantalla o
inyecciones en el sitio.
Más información:
Banking Trojan DRIDEX Uses Macros for Infection
TSPY_DRIDEX.WQJ
una-al-dia (01/05/2000) Alerta:
VBS.LoveLetter infecta miles de sistemas
Antonio Ropero
