Los ejemplos de diferentes familias de troyanos bancarios son constantes y no es difícil que, entre las miles de muestras que se analizan a diario en nuestros laboratorios, se encuentren muchos ejemplos de este tipo de malware. Sin embargo, cada cierto tiempo aparece algún ejemplo que supone un punto de inflexión en la evolución de este tipo de amenazas.
Ya lo vimos hace años con el troyano Zeus y las numerosas variantes que se generaron cuando sus creadores liberaron el código fuente. En la actualidad, el troyano bancario Dridex (también conocido como Cridex o Bugat) es una de las amenazas que más actividad ha tenido en los últimos meses y que, a su vez, ha ido adaptándose con el tiempo para resultar más eficaz.
Repasando el funcionamiento de Dridex
El funcionamiento de Dridex puede parecer sencillo a primera vista pero representa la evolución de troyanos bancarios anteriores como Zeus o GameOver Zeus. Los atacantes normalmente utilizan ficheros ofimáticos adjuntos a correos que pueden estar dirigidos a usuarios de todo tipo pero también a entidades financieras con un perfil alto.
Precisamente, Dridex es uno de los ejemplos de malware que más ha estado utilizando el resurgimiento de un vector de ataque que se popularizó a finales de la década de los 90 del siglo pasado. Estamos hablando del uso de macros maliciosas en documentos de Microsoft Office, algo que considerábamos más que superado desde hace años pero que se ha demostrado estar aún vigente a día de hoy.
Una vez el usuario abre el fichero ofimático en forma de archivo de Word o Excel, se le solicita que permita la ejecución de macros para ver su contenido. Si el usuario accede, entonces el malware ejecuta su código malicioso, infecta el sistema y lo incluye dentro de una botnet controlada por los atacantes.
A partir de este momento, los controladores de la botnet podrán robar información (especialmente credenciales bancarias) de los sistemas infectados y además podrán enviar comandos a las máquinas bajo su control.
Nueva campaña de propagación
Debido a su peligrosidad y elevada propagación, cada vez que se observa un incremento en su actividad se suele alertar a los usuarios para que eviten abrir este tipo de mensajes y denuncien cualquier actividad sospechosa en sus cuentas bancarias. Así lo ha hecho la Agencia Nacional contra el Crimen de Reino Unido, emitiendo un comunicado donde alertaba de la peligrosidad de Dridex y de los millones de euros que ya ha conseguido robar a usuarios de todo el mundo.
Si echamos la vista atrás, la campaña anterior de Dridex que más repercusión tuvo fue la que observamos durante los meses de abril y mayo de este año. En este mismo blog analizamos un caso en el cual los usuarios recibían un correo electrónico que se hacía pasar por Amazon y adjuntaba un fichero Word con macros maliciosas que terminaban descargando este troyano.
Desde mediados de agosto hemos visto un ligero repunte de las infecciones provocadas por Dridex, repunte que se ha mantenido también en septiembre y lo que llevamos de octubre. Aún es pronto para ver si estamos a las puertas de una campaña de propagación tan elevada como la que vimos meses atrás pero hay indicios suficientes para pensarlo. De momento, sus objetivos parecen estar centrados en los mismos países que en casos anteriores, principalmente en Reino Unido y Estados Unidos pero sin descartar otros países como Alemania, Australia o Japón.
Actuaciones policiales contra los responsables de Dridex
Debido a la proliferación de esta amenaza y al impacto económico que supone para sus víctimas (siendo alguna de ellas importantes entidades financieras), las autoridades de varios países han unido esfuerzos para intentar desmantelar la red criminal responsable de la propagación de Cridex.
Estas acciones se están realizando en dos partes. La primera consiste en redirigir el tráfico de los sistemas infectados y mantenerlos alejados de los centros de mando y control de Cridex, evitando que se siga enviando información confidencial a los criminales. En un futuro es posible que se pueda informar a estos sistemas infectados de las instrucciones a seguir para eliminar el troyano de sus equipos, tal y como ha sucedido en operaciones similares anteriores.
La otra parte consiste en detener a los responsables de Cridex y llevarlos ante la justicia. A principios de semana se conocía la operación llevada a cabo para detener a un ciudadano moldavo de 30 años acusado por fiscales en los EEUU de varios delitos, entre los que se incluyen conspiración criminal, fraude bancario y acceso no autorizado a equipos informáticos, entre otros. Es pronto aún para saber si este detenido es la mente detrás de Cridex o tiene más socios pero es un buen primer paso.
Conclusión
Si bien es cierto que las amenazas de este tipo evolucionan constantemente, también es verdad que las actuaciones de las empresas de seguridad y fuerzas policiales se han ido adaptando y ya no es infrecuente ver operaciones conjuntas capaces de desmantelar una infraestructura criminal de estas características.
No obstante, la primera actuación para luchar contra este tipo de cibercrimen la debemos realizar los propios usuarios, evitando caer en la trampa tendida por los criminales (ya sea ejecutando ficheros o enlaces maliciosos adjuntos en el correo), manteniendo actualizado nuestro sistema, aplicaciones y soluciones de seguridad y, sobre todo accediendo a realizar operaciones de banca online en equipos que estén debidamente protegidos.