Seguridad | Noticias | 05 FEB 2016

El 'malware' bancario Dridex dirige a la instalación de un antivirus

Los usuarios que hayan sufrido el engaño de abrir mensajes maliciosos contenidos en documentos Word que hayan sido distribuidos online por el troyano maligno Dridex pueden tener una (agradable) sorpresa: el malware lleva a la instalación de un programa antivirus.
seguridad_troyano_bancario
Redacción

Esto sucede a causa de que alguna persona –probablemente un hacker blanco o algún miembro de Anonymous— ha conseguido acceder a los servidores que los cibercriminales utilizan para distribuir el troyano Dridex y lo ha reemplazado por una instalación del antivirus gratuito Avira.

 

Dridex es uno de los tres troyanos que utiliza con mayor frecuencia  a los usuarios  de operaciones de banca online como víctimas. El pasado año, las autoridades competentes norteamericanas y británicas unieron esfuerzos para acabar con la amenaza y descubrieron que detrás de este troyano se encontraba un ciudadano moldavo como sospechoso de haber perpetrado la mayoría de ataques. Los esfuerzos policiales causaron daños mínimos en la infraestructura y actividades de Dridex, ya que sus fechorías retornaron con mayor fuerza desde entonces añadiendo nuevos engaños a su conjunto de herramientas. Dicho troyano actúa inyectando código malicioso desde las websites bancarias abiertas en los ordenadores afectados.

 

Los ataques de Dridex suelen tener un punto inicial a través de mensajes de email con documentos Word adjuntos que contienen código malicioso. Dichos documentos suelen contener a su vez macros incrustados que, si se ejecutan, conectan con un servidor que descarga una instalación de Dridex. Hace poco tiempo, investigadores de malware del antivirus Avira observaron que algunos servidores de distribución de Dridex dirigían a un instalador de antivirus en lugar de dirigirla al troyano.

 

Esto vino a significar que, algunas de las víctimas a les que les direccionaban a Avira, fueron afortunadas ya que, en lugar de tener sus ordenadores infectados recibían una copia digital firmada por la empresa desarrolladora del antivirus. En cualquier caso, la instalación del antivirus Avira no es un proceso automático o silencioso, por lo que los usuarios tenían que instalar la aplicación de forma manual si querían tenerla en funcionamiento.

 

“Desconocemos quién es el responsable de estos cambios en las instalaciones y por qué, pero tenemos nuestras teorías;  lo que sí podemos afirmar es que no es algo que hayamos realizado nosotros”, ha señalado Moritz Kroll, experto de Avira. Y es que, en el pasado, la instalación del antivirus Avira había sido realizada gratuitamente por un grupo de hackers que controlaban los servidores que distribuían los sistemas de ransomware Tesla y CryptoLocker.



Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios