Dridex ataca de nuevo: un troyano ladrón de cuentas corrientes
En Word o en .zip, a Dridex le da igual. Es uno de los troyanos más sofisticados de los últimos tiempos y el formato en el que llegue a la bandeja de entrada de la víctima no es su mayor problema. Como la mayoría de malwares similares, llega en listas de distribución por email, en un adjunto que pide permiso para instalar una macro o en un archivo comprimido que en realidad es un programa en Javascript.
En el punto de mira de Dridex no se encuentran los bancos, sino sus clientes: todos aquellos que guardan las claves en las cookies del navegador, ya sea en Chrome o Firefox. De nada sirve si el usuario es precavido, ya que el malware intenta hacerse con ellas simulando una página web similar a la del banco de confianza para así confundir a la víctima, o dicho de otra forma: lo que habitualmente se conoce como phising.
El combo perfecto tiene lugar cuando Dridex infecta un equipo de una empresa. No solo puede hacer todo lo anterior con los ordenadores conectados a esa red sino que, además, los atacantes enviarán otro tipo de programas relacionados con espionaje y robo industrial.
Dridex convierte al ordenador infectado en un zombi a merced de los hackers. El troyano, una vez que accede a la oficina en línea de la víctima, realiza una transferencia a otra cuenta prácticamente de forma automática. Según algunos investigadores suizos, el malware es un tanto diferente a sus hermanos ya que se están detectando casos “usando diferentes botnets, cada una con su propia configuración dirigida a atacar un país concreto o un grupo de países”.
En España, clientes de al menos tres entidades bancarias diferentes ya se han visto afectados. En el resto de Europa, el malware está activo aunque no se conocen cifras de afectados ni de cantidades sustraídas, de momento.
No estaba muerto, estaba de parranda
El troyano llevaba inactivo algo más de un año. En Europa, las últimas noticias que tuvimos se remontan al verano del año pasado. A finales del 2015 había robado ya más de 40 millones de euros en EEUU y Europa. Finalmente, el FBI consiguió detener a una banda que operaba desde Europa del Este y que se hacía llamar Evil Corp, un guiño a la compañía contra la que luchan Elliot Alderson y Darlene en la serie Mr. Robot.
Sin embargo, Dridex ha vuelto a ser reactivado. También ha sido mejorado, ya que ahora se instala en la memoria del ordenador en vez de en el disco duro. Es por eso que esta nueva versión es más complicada de detectar y eliminar. ¿Qué hay que hacer entonces? El primer paso es confiar solo en direcciones de correo conocidas y desconfiar de los archivos adjuntos.