Los ciberdelincuentes recuperan el troyano Dridex y las infecciones por macros

Escrito por Adrián Crespo
Seguridad
0

Si algo ha tenido éxito, ¿por qué no recuperarlo para utilizarlo de nuevo?. Los ciberdelincuentes nos tienen acostumbrados a este tipo de prácticas y ahora han recuperado una vía de infección de equipos que tuvo mucho éxito en el pasado: las macros. Para ello han contado también con la ayuda de un malware que ha tenido mucho éxito: Dridex.

En primer lugar, y haciendo mención a las macros, hay que puntualizar que entre 2001 y 2007 se trataba de una forma de infectar equipos muy utilizada, ya que en aquellos años estas se encontraban activadas por defecto en Microsoft Office. Aunque en versiones posteriores a esos años ya se encontraban deshabilitadas por defecto y era el usuario el que debía activarlas, el uso de versiones anteriores de la suite de ofimática contribuyó a que este tipo de infección se utilizase pero con un éxito menor.

A pesar de seguir deshabilitadas por defecto en las últimas versiones de Microsoft Office, la infección haciendo uso de macros vuelve a estar a la orden del día, recurriendo eso sí a una ingeniería social que cada vez toma una mayor importancia.

Recibos, facturas o compras no autorizadas, cualquier excusa es buena para que el usuario descargue el documento

Para hacer que el ataque sea efectivo ya hemos mencionado con anterioridad la presencia de la ingeniería social. Por este motivo, los ciberdelincuentes recurren a asuntos monetarios con cuentas, servicios de Internet o compras realizadas para llamar la atención del usuario y provocar que este descargue el archivo, en esta ocasión, un documento de Word o Excel que contiene la macro.

Teniendo en cuenta que está desactivadas, en el interior del propio documento el usuario encontrará instrucciones para activarlas y así visualizar el contenido de forma correcta. La única diferencia que notará el usuario es que al activar estas se producirá la descarga de un archivo.

Troyano Dridex, dedicado a robar las credenciales y otros datos introducidos en el equipo

No es la primera vez que hemos hablado de este malware y como la mayoría de las amenazas de los últimos años poseen una finalidad concreta, obtenida la mayoría de las ocasiones de forma remota: los ciberdelincuentes se ayudan de servidores de control para actualizar y controlar la amenaza de forma totalmente remota.

En principio el troyano está destinado a robar las credenciales de acceso a servicios de banca en línea gracias a la función de keylogger, aunque luego se pudo comprobar que no hacía ningún tipo de distinción y almacenaba las credenciales de todos los servicios de los que se hacían uso en el equipo.

Fuente | betanews


Últimos análisis

Valoración RZ
10
Valoración RZ
7
Valoración RZ
9
Valoración RZ
10
Valoración RZ
8
Valoración RZ
10
Valoración RZ
9
Valoración RZ
9
Valoración RZ
10