Utilizan correos bancarios para distribuir el malware Dyre

Escrito por Adrián Crespo
Seguridad
0

El correo electrónico se consolida como vía más importante para difundir estafas y contenido malware. En esta ocasión, utilizan correos bancarios (acceso a cuentas, deudas, facturas pendientes, …) para llamar la atención de los usuarios y así conseguir que estos accedan a una página web mediante un enlace ubicado en el cuerpo del mensaje. La finalidad de esta dirección es instalar el virus Dyre en el equipo del usuario.

La botnet Cutwail es la encargada de distribuir estos mensajes spam que ya se cuentan por más de 7.000 en menos de dos días. Antes de instalar el virus que anteriormente hemos indicado se realiza la descarga de otro malware: Upatre. Hay que recordar que este programa malicioso se encargaba de instalar otras aplicaciones maliciosas, sirviendo como puente entre el servidor de los ciberdelincuentes y el equipo del usuarios que se quiere infectar.

Los correos electrónicos que se utilizan para esta finalidad están relacionados con temas de servicios de banca, como por ejemplo notificaciones falsas sobre accesos no autorizados a la cuenta, movimientos sospechosos, recibos que no se han pagado o posibles compras que se han realizado haciendo uso de una tarjeta de crédito del usuario. La finalidad  de esto es muy clara: llamar la atención del usuario y provocar que acceda al enlace contenido en el cuerpo del correo electrónico.

La dirección URL lleva al usuario a una página web que a priori pertenece a la entidad bancaria de la que el usuario es cliente.

Comprobar posibles vulnerabilidades en el navegador web utilizado

Dyre distribución usuario utilizando el correo electronico

La finalidad de esta página web a la que el usuario accede no es otra que la de comprobar la existencia de vulnerabilidades en el navegador utilizado por el usuario, permitiendo en ese caso la ejecución de código Javascript que permita la descarga en primer lugar del malware Upatre. Una vez que este se ha instalado de forma correcta en el equipo comienza a comunicarse recurriendo a conexiones cifradas con el servidor remoto propiedad de los ciberdelincuentes y desde donde se realizará la descarga del virus Dyre.

Aunque ya hemos hablado varias veces de este archivo malicioso, la finalidad es permanecer en segundo plano en el sistema y realizar la captura de las pulsaciones de teclado para así conseguir las contraseñas de acceso a servicios bancarios u otros como redes sociales o servicios de mensajería.

Fuente | Softpedia