La semana pasada nos hicimos eco de esta vulnerabilidad que afectaba a todos los sistemas operativos de los de Redmond, exceptuando la versión 2003 de Windows Server. Ante la falta de un parche de seguridad que solucione el problema, los ciberdelincuentes han comenzado a distribuir un fichero Power Point para instalar en virus Dyre en la mayor cantidad de equipos.
Tal y como ya explicamos, la vulnerabilidad afecta a los sistemas operativos pero es gracias a un módulo contenido en todas las aplicaciones de Microsoft Office el que permite que este fallo de seguridad pueda llegar a ser explotado. CVE-2014-4114, que así es como se ha catalogado esta vulnerabilidad, podría ser explotada utilizando el módulo OLE de la suite ofimática de la compañía de Redmond. Quizás os pueda interesar cómo funciona Power over Ethernet y clases de POE.
De momento no existe una fecha exacta en la que la actualización esté disponible, abriéndose una gran oportunidad para los hackers, sobre todo para conseguir instalar malware en los equipos.
La estrategia a seguir es clara: recurrir a los correos spam y a un fichero PPT para explotar la vulnerabilidad.
Dyre se descarga mediante la ejecución de una macro contenida en un PPT
Hablando sobre el virus en cuestión, parece que este ha tomado mucha relevancia entre los ciberdelincuentes. Y es que han sido bastantes los que han optado a lo largo de este por utilizar este para infectar equipos. A diferencia de otras ocasiones, cuyo servidor se localizaba en países de Europa del Este en esta ocasión el servidor de almacenamiento y control del malware está ubicado en Francia.
Con respecto a la finalidad sigue siendo la misma que en versiones anteriores, robar los datos bancarios de los equipos infectados y espiar la navegación del usuario. La diferencia con ocasiones anteriores es que esta vez se acerca y mucho a los usuarios españoles, ya que se encuentra afectando a todos los usuarios de países europeos, por lo que no sería descartable que durante los próximos días apareciesen casos de usuarios españoles afectados.
Hay que destacar que el robo de credenciales era realizado haciendo uso de páginas web falsas de entidades bancarias, evitando comunicaciones SSL y desviando la navegación del usuario a páginas muy similares con la finalidad de que este introduzca las credenciales y así proceder al robo de estas.