Dridex utiliza ahora documentos de Office protegidos con clave para distribuirse

Escrito por Adrián Crespo

Uno de los troyanos bancarios que están de moda se “reinventa” y modifica su forma de distribuirse. Aunque Dridex continúa utilizando el correo electrónico como vía de difusión, ahora se vale de un documento de Microsoft Office que está protegido por contraseña para así distribuir haciendo uso de una macro su instalador. Continúa afectando únicamente a dispositivos con sistema operativo Windows.

Los propietarios una vez más recurren a sitios web legítimos que han sido hackeados para así distribuir estos correos entre los usuarios empleando direcciones que en principio no deberían despertar sospechas entre los usuarios. Anteriormente los propietarios de esta amenaza utilizaban la botnet Necurs para llevar a cabo la distribución de este software. Sin embargo, ahora han dejado de lado por el momento esta vía y se han centrado en el uso de servidores web hackeados. Además de ser gratuitos pueden conseguir acceso a mucha más información que posteriormente pueden vender en el mercado negro.

Pero no solo en la vía de difusión del archivo hay novedades, también en el archivo.

El archivo que descarga el instalador de Dridex está protegido por contraseña

Aunque pueda parecer extraño, el motivo es muy sencillo. Muchos equipos de usuarios y servicios de correo electrónico poseen herramientas que permiten el análisis de este tipo de archivos. Si detectan algún tipo de macro maliciosa, llevan a cabo el bloqueo y su posterior eliminación o puesta en cuarentena. Sin embargo, si se protege con una contraseña, la cual se indica en el propio correo electrónico, el archivo llegará al dispositivo y el usuario llevará a cabo su ejecución.

A partir de aquí podría decirse que se repite la misma historia de siempre. El usuario deberá habilitar las macros para disponer de acceso a toda la información del documento. Sin embargo, una vez activadas se realiza la descarga de un ejecutable que resulta ser el instalador de Dridex.

Los monederos de criptomonedas el principal objetivo

Los expertos en seguridad han concretado que en una primera tentativa está afectando a pequeñas países y que todo parece indicar que en las próximas semanas serán los usuarios de los monederos de criptomonedas los que podrían verse afectados, de ahí que desde diferentes compañías de seguridad hayan solicitado extremar las precauciones y no hacer caso de los documentos de Word que se encuentren en correos cuyo origen sea desconocido, evitando de esta forma posibles infecciones tanto de esta amenaza como de otras que hacen uso de la misma vía de difusión.

Fuente | Softpedia

Últimos análisis

Valoración RZ
7
Valoración RZ
9
Valoración RZ
8
Valoración RZ
8
Valoración RZ
8
Valoración RZ
8
Valoración RZ
10