Dridex. ¿Vuelven los virus de macro? (información ya adelantada por nosotros en 30-10-2014)

Parecía que se habían acabado, un resquicio del pasado, pero los

atacantes buscan nuevas (o antiguas) formas de engañar a los usuarios
para lograr su objetivo. En esta ocasión, un virus en forma de documento
Word con macros es el encargado de infectar el sistema con un troyano
bancario.

Seguramente muchos de los usuarios actuales nunca hayan visto ni oído
hablar de los virus de macro, y posiblemente de ese desconocimiento se
quiere aprovechar este virus. Los virus de macro tuvieron su época
dorada hace ya más de 10 años (finales de los 90 y principios de los
2000). Quizás el más recordado de todos sea el famoso “Love Letter”.
Este tipo de virus se aprovechan de las capacidades del lenguaje de
macros de diferentes productos (principalmente Word y Excel) para
realizar sus acciones maliciosas, anteriormente tan solo se reproducían
e infectaban otros sistemas, pero su carga maliciosa puede ser de
cualquier tipo.

El nuevo malware, descubierto por Trend Micro ha sido bautizado como
Dridex, al considerarlo como el sucesor del troyano bancario Cridex, ya
conocido desde hace unos años. Tanto Cridex y Dridex están destinados al
robo de información personal, especialmente datos bancarios, nada nuevo.

Sin embargo, mientras el malware Cridex es directamente uno de los
“payloads” asociados al kit de ataque. Dridex, por el contrario, usa
spam para distribuir documentos Word que contienen código macro
malicioso. Es esa macro la encargada de descargar Dridex en el sistema
afectado.

Esa es la novedad de este malware, se emplea un documento Word con
macros para realizar la descarga del malware en el sistema del usuario.

La infección

El primer eslabón en la cadena de infección es la recepción de un
mensaje de spam. Los correos están supuestamente enviados por empresas
legítimas, e incluyen un adjunto que dice ser facturas o documentos
contables.

El documento Word adjunto contiene la macro maliciosa. El usuario debe
abrir el archivo y verá un documento en blanco. También existen adjuntos
en los que se le indica al usuario que el contenido no será visible
hasta que active las macros. Generalmente, por defecto, Word tiene
desactivada la ejecución de macros. Por lo que mostrará una indicación
para activar dicha función. Una vez más la ingeniería social entra en
acción, el usuario desapercibido puede entender que el contenido del
archivo no será visible a menos que se active la función de macros. Pero
si el usuario activa las macros, se producirá la descarga del malware
Dridex (concretamente TSPY_DRIDEX.WQJ).

Una vez se ejecuta, el malware actúa de una forma tradicional, como
cualquier otro troyano bancario. Monitoriza la actividad relacionada con
una serie de bancos online, principalmente europeos. Algunos de sus
bancos objetivos son: Bank of Scotland, Lloyds Bank, Danske Bank,
Barclays, Kasikorn Bank o Santander. Una vez el usuario accede a alguno
de estos bancos online, procede al robo de información a través de
diferentes métodos, como la grabación de formularios, capturas de
pantalla o inyecciones en el sitio.

NOTA IMPORTANTE:

________________

Ya hace pocos días alertabamos de este virus en la siguiente Noticia del blog:

https://blog.satinfo.es/2014/vuelven-los-virus-de-macro/

Consideramos que conviene saber que, de otras fuentes, tambien llega hoy la noticia de la llegada de dicho virus, segun Fuente:
http://unaaldia.hispasec.com/2014/11/dridex-vuelven-los-virus-de-macro.html#comments

saludos

ms, 8-11-2014