El troyano Dyre amenaza a los bancos españoles
Al contrario de muchos de los troyanos comerciales que suelen venderse en foros de cibercriminales, Dyre es un desarrollo propio de un grupo de ciberdelincuentes que no está a la venta y que va sufriendo modificaciones para mejorar sus técnicas.
Dyre es un troyano atípico que destaca entre las amenzas cibernéticas de los últimos tiempos, debido a sus elaboradas técnicas y su éxito robando fondos de cuentas bancarias. Desde mediados del pasado año se han detectado sus campañas de envío de spam y que podía engañar a los navegadores haciéndoles creer que se encontraban en un sitio web seguro cuando en realidad estaba suplantando webs de entidades financieras.
A día de hoy, no hay entidad bancaria que no sea un posible blanco salvo, quizás, aquellas ubicadas en Rusia y algunos países de la órbita exsoviética como Ucrania. Durante las últimas semanas en ESET han estado analizando varias muestras detectadas en correos no deseados que llegaban al laboratorio. Estas muestras se presentaban como correos en inglés en los que se solicita la revisión de facturas u otro tipo de documentos administrativos que pueden ser de interés.
Destaca que los delincuentes detrás de esta campaña no se preocupan en hacer especialmente atractivo el correo, confiando en que la víctima centrará toda su atención en el fichero adjunto. Como en anteriores muestras, el fichero comprimido contiene un archivo ejecutable, aunque en las últimas campañas realizadas por los delincuentes han sustituido los ficheros ejecutables .exe por los .scr para levantar menos sospechas.
Salvo este cambio en la extensión del fichero, la técnica sigue siendo la misma, y es que mientras Windows siga deshabilitando por defecto mostrar las extensiones de los ficheros, la mayoría de usuarios caerán en la trampa de ejecutar un archivo confiando en el icono que este muestra, por ejemplo, un inofensivo PDF.
El fichero no es en realidad el troyano bancario en sí, sino que se trata de un descargador (una vez infecta el sistema, descarga el malware que el delincuente le indique) identificado como Kryptik.DPUG o Waski por ESET. Una vez ha conseguido ejecutarse en el sistema de la víctima, es cuando contacta con el centro de mando y control de los delincuentes y descarga Dyre.
En muestras recibidas se observa cómo se están empezando a propagar correos no deseados con ficheros de Microsoft Word con la extensión .doc adjuntos. Estos ficheros contienen macros, algo que permite descargar e instalar el malware Waski que, a su vez, descargará el código malicioso Dyre en el sistema de la víctima.
Conociendo los precedentes en otras regiones del mundo, era de esperar que Dyre se centrara en bancos españoles alguna vez. Analizando el código del malware ha podido verse como se incluyen las webs de hasta 15 entidades bancarias con presencia en España. Una vez infectado el equipo, la víctima accederá a las webs preparadas por los delincuentes que suplantan a las entidades originales, incluso utilizando el certificado de conexión segura para ganarse la confianza de sus víctimas.
Entre las webs de entidades españolas observadas, en las que Dyre ha intentado suplantar muestras durante esta semana, están ebanking.es.rbcis.com; online.popularbancaprivada.es; www2.targobank.es; conecta.es.rbcis.com; www.volkswagenbank.es; clientes.selfbank.es; barclaysnet.barclays.es o bcaixanet-empresas.bancocaixageral.es.
También debemos tener en cuenta que Dyre no solo se centra en el usuario promedio de banca online, sino que está especializado en atacar a grandes cuentas y obtener grandes cantidades en una sola operación, cantidades que han llegado al millón y medio de dólares.
En cuanto a otros países, si bien Dyre se sigue propagando por sistemas de todo el mundo, esta campaña en concreto tiene como objetivo a usuarios españoles de banca online. También hay elevados índices de detección en Alemania, algo lógico si tenemos en cuenta que algunas de las webs de los bancos que se intentan suplantar son filiales de bancos alemanes.
