Dyre o Dyreza, que así es como han llamado los investigadores a este troyano bancario, se trata de una amenaza para los usuarios domésticos y grandes compañías. Este troyano es capaz de saltarse la comunicación SSL entre los clientes y los servidores, permitiendo el «descifrado» de los datos y el robo de los mismos.
Indicamos descifrar entre comillas porque como vais a poder ver en realidad no es necesario descifrar nada, porque no existe tal cifrado en el envío de los datos.
A pesar de que los investigadores aún se encuentran trabajando sobre este nuevo malware y analizando cuál es su funcionamiento, lo que sí se puede decir es que es capaz de cargarse la comunicación segura establecida entre los extremos y permitir la visión de todos los datos que se envían bajo este cifrado.
Hay que advertir que el troyano únicamente funciona en el lado del cliente y nunca se instalará en un servidor, ya que en este caso el mecanismo gracias al cual funciona no podría ejecutarse.
También hay que decir que entre las pruebas que se han realizado, se ha podido ver Dyre es detectado por la amplia mayoría de antivirus, por lo que se recomienda tener actualizado el antivirus. Se trata de un troyano que en un principio está dirigido a los usuarios y servidores que poseen un sistema operativo Windows aunque se desconoce si existe un homólogo para Mac OS o Linux.
El funcionamiento del troyano bancario
Una vez que este ha llegado al equipo del usuario y se ha instalado, este se coloca entre uno de los procesos que deben ser ejecutados en el inicio del sistema operativo. Lo primero que trata es de establecer una serie de conexiones con unas ubicaciones que han sido localizadas en Lituania y Estonia. Una vez que estas se han establecido se mantiene a la espera de que exista tráfico web en el navegador del equipo.
Cuando es detectada la navegación web el troyano se encarga de enrutar esta comunicación y desviarla por las conexiones establecidas, las cuales hacen pensar que en realidad son servidores. Cuando la comunicación pasa por estos servidores y se carga el sitio web que los atacantes tienen configurado en sus servidores, dando al usuario la impresión de que se encuentra en el verdadero sitio web de por ejemplo una entidad bancaria, sobre todo porque HTTPS sigue apareciendo en el navegador.
Campaña contra una serie de entidades bancarias
El caso es que todo parece apuntar a que se trata de una operación contra clientes de bancos europeos, como Citigroup, el Banco Real de Escocia entre otros. Incluso los clientes del Banco de América están afectados.
Se trata de un troyano que se está distribuyendo vía correo electrónico o bien en mensajes en las redes sociales, por lo que se pide extremar las precauciones y mantener el antivirus actualizado.
Fuente | Softpedia