Hace varios años la utilización de documentos de Microsoft Word infectados con malware era algo bastante habitual. Tras la aparición de otros métodos más efectivos este quedó en el olvido. Sin embargo, los ciberdelincuentes están recuperando esta vía de distribución de virus informáticos y un ejemplo de ello es la última campaña que está distribuyendo el troyano Dridex.
Tal y como es habitual en estos casos, la llegada se produce sin que el usuario sea consciente y utilizando las macros. Esto en un principio era un problema para el usuario ya que se encontraban habilitadas por defecto y el código introducido se ejecutaba nada más abrir el documento. Sin embargo, en las últimas versiones de la suite de ofimática esto ha cambiado y las macros permanecen desactivadas a no ser que sea el propio usuario el que las active de forma manual.
Cuando se abre un documento y este posee macros aparece un mensaje indicando que se han desactivado algunas funciones, dando la opción de activarlas, algo que sería un error en este caso concreto.
Se han detectado dos tipos de oleadas, ambas con el adjunto correspondiente que sirve para descargar el troyano Dridex. Sin embargo, en uno de los correos solo se incluye el adjunto sin ningún tipo de contenido en el cuerpo del mensaje.
En lo referido al otro mensaje de correo, se intenta convencer al usuario de que se adjunta un documento con información bancaria.
El archivo de Microsoft Word no está vacío
En el segundo de los correos se indica al usuario que la visualización del documento puede ser errónea y que sería necesario activar la ejecución de macros. Todo esto tiene sentido cuando se abre el correo y el usuario observa el contenido de la imagen anterior, viendo caracteres raros y que no tienen ningún sentido. Pensando que la visualización mejoraría, el usuario opta por la activación de estas, momento en el que se produce la descarga del troyano Dridex.
Con respecto al troyano no se trata de una variante de las anteriores ya existentes, sino que se reutiliza una que posee bastante antigüedad pero con las mismas funciones, es decir, robar las credenciales de los usuarios y monitorizar su actividad a la hora de utilizar los navegadores de Internet, mostrando interés a la hora de recopilar los datos de las tarjetas de crédito.
Debido a la antigüedad del malware no debería ser un problema para la mayoría de las herramientas de seguridad realizar su detección y posterior eliminación.
Fuente | Softpedia