El troyano Dridex infecta ordenadores a través de emails con archivos adjuntos. Una vez descargados, añade el equipo a un ‘botnet’ y roba las contraseñas de banca ‘online’ almacenadas.

 

Gran Bretaña, Suiza, Alemania y otros países europeos están en alerta por una campaña de ataques del troyano bancario Dridex, según ha confirmado a Teknautas las firmas de seguridad GoNet Fraud Prevention & Intelligence e Hispasec Sistemas. Ambas han investigado varios ataques recientes a clientes de al menos tres entidades bancarias en España, aunque han preferido no revelar el nombre de las compañías.

 

La campaña se inició en enero y está usando nuevas versiones de Dridex, que ha sido mejorado con complejos métodos para evitar ser detectado cuando infecta los ordenadores: “Se hace pasar por procesos legítimos de Windows”, explica Fernando Díaz, de Hispasec. Además, en vez de instalarse en el disco duro, como la mayoría, se esconde en la memoria, donde los antivirus no pueden “verle”.

 

Este nivel de complejidad y refinadas técnicas de engaño son los que hacen que Dridex sea admirado incluso por quienes lo combaten. Lo más preciado es su motor de exploración avanzada, capaz de detectar el banco en el que opera su víctima y, sea el que sea, navegar automáticamente por la web de esa entidad hasta realizar de manera autónoma una transferencia.

 

dridex-campaign

 

Cómo funciona

 

Dridex es un troyano de élite desde el principio, desde que se manda en campañas de correo electrónico no solicitado que distan mucho de ser el típico spam. Los mensajes llevan nombres y apellidos correctos y se mandan desde proveedores legítimos que son abusados, lo que significa que no serán marcados como spam. El virus viaja en una factura adjunta en formato Word que pide que se activen las Macros para verla. O en un .zip que lleva un Javascript dentro.

 

Si se abren estos ficheros, el código malicioso entra en el ordenador y se pasea como Pedro por su casa, mirando qué programas tenemos instalados. Abre una comunicación con los remitentes y les informa de si está en un ordenador particular o de una empresa. Si está en una empresa, le mandarán programas para espionaje y robo industrial. Si está en un ordenador particular, le instalan Dridex.

 

El ordenador infectado pasa a formar parte de una botnet, con miles o millones de ordenadores bajo el control de los delincuentes, que pueden incluso instalarles ransomware. Según investigadores suizos, las nuevas muestras de Dridex detectadas “están usando diferentes botnets, cada una con su propia configuración dirigida a atacar un país concreto o un grupo de países”.

 

Si tenemos las contraseñas del banco memorizadas en el navegador, Dridex las roba. Si no, espera hasta que tecleamos la dirección web de nuestro banco. Entonces, nos muestra una simulación de la web en el navegador y, cuando escribimos las credenciales para entrar, creyendo que estamos en el portal del banco, las graba. Este es el punto de no retorno.

 

infection_chain

 

“Es muy difícil para un usuario común detectar algo raro en el comportamiento de su banca a distancia, la ‘experiencia de usuario’ conseguida por el malware es completamente creible”, asegura Fernando Carrazón, COO de GoNet FPI, para quien lo que hace más peligroso a Dridex es “la total apariencia de legitimidad, pasando desapercibido a los ojos del usuario, y las técnicas de engaño simulando transferencias erróneas”.

 

Cuando Dridex tiene nuestras credenciales, ya no nos necesita, es todo automático: mira cuánto dinero hay en la cuenta, calcula un tanto por cierto y realiza una transferencia por este monto a la cuenta de una “mula”. Carrazón destaca “la velocidad a la que Dridex realiza las operaciones, completamente integradas en los portales de banca a distancia por las inyecciones de código que realiza su motor”.

 

Además explican desde GoNet, en esta campaña los delincuentes están yendo muy rápido, realizando los robos “en un único día, desmantelando y empezando de nuevo en otro lado”. No se conocen de momento cifras de afectados, de dinero robado ni entidades afectadas, sólo los avisos tempranos de investigadores en toda Europa.

 

Las mejores medidas preventivas para no caer en las garras de estos virus son “desconfiar de correos electrónicos con remitentes desconocidos y obviamente, no ejecutar los adjuntos”, resume Fernando Carrazón. No ejecutar Macros aunque nos lo pidan es también recomendable. Asimismo, usar antivirus pero no fiarse ciegamente, porque a veces no detectan estos troyanos.

 

Fuente: http://www.elconfidencial.com

Add your review

Su dirección de correo no se hará público. Los campos requeridos están marcados *