El malware Dridex resucita los ataques a las macros de Word
Una pieza de malware, diseñada para robar credenciales de banca online, acaba de resucitar un técnica de ataque con más de una década de historia que puede instalarse en cualquier PC y hacerse con nuestras claves bancarias.
Llamado Dridex, este malware trata de robar los datos en cuanto el usuario se conecta a una cuenta de banca online, mediante la creación de campos HTML que solicitan información adicional, como el número de la seguridad social.
No es una novedad, desde luego. Se trata de un sucesor del ejemplar de malware, llamado Cridex, que también apuntaba al robo de cuentas bancarias. Pero sí es diferente el método de infección que utiliza, ya que se distribuye en forma de macro, dentro de un documento Word que se recibe como spam vía correo.
Este tipo de ataque tiene más de una década, aunque perdió su momento en cuanto Microsoft reforzó sus medidas de seguridad contra ellos. Aparentemente, algunos piratas lo han recuperado.
Aunque la mayoría de los PC actuales deshabilitan las macros que se ejecutan por defecto. En este caso, si se abre el archivo Word se solicita al usuario que habilite las macros y, de hacerlo, Dridex se descarga en el PC sin remisión, ha advertido la firma de seguridad Trend Micro en su blog.
La vuelta a este tipo de técnicas puede deberse a sus ratios de éxito. Si la función macro está activada antes del ataque, éste se desencadena sin ningún otro requisito, lo que facilita en mucho la propagación del malware.
Una vez instalado en el equipo, el malware está programado para entrar en acción cuando observa que el usuario visita una larga lista de bancos, entre los que figuran el Banco de Escocia, Lloyd, Danske Bank, Barclays, Kasikorn Bank o el español Santander.
Los mensajes de spam con Dridex detectados parecen proceder principalmente de Vietnam, India, Taiwán, Corea del Sur y China, mientras que los tres primeros países infectados con él son Australia, Reino Unido y EE.UU.
