Los troyanos bancarios son uno de los tipos de malware que más tiempo llevan con nosotros y de los que más evolución han tenido a lo largo de los años. No cabe duda de que los ciberdelincuentes han sabido adaptarse a los nuevos tiempos e incluso han innovado creando nuevas amenazas que intentan saltarse, con mayor o menor éxito, los mecanismos de seguridad que las entidades bancarias han ido implementando.
Caída y evolución de Dyre
Si echamos la vista atrás veremos como uno de los troyanos bancarios que más éxito tuvo en los últimos años fue Dyre, con campañas orientadas a usuarios de banca online de todo el mundo e incluso realizando alguna campaña centrada en España.
Su distribución pareció llegar a su fin cuando en noviembre de 2015 el grupo de delincuentes encargado de su desarrollo y propagación fue arrestado por las autoridades rusas. Sin embargo, investigadores de la empresa Fidelis Cybersecurity han descubierto recientemente una nueva amenaza con bastantes similitudes con Dyre a la que han bautizado como TrickBot.
Esta nueva variante parece que de momento solo está apuntando a entidades bancarias de Australia. El análisis del código fuente del malware ha desvelado que existen similitudes entre Dyre y TrickBot pero también nuevas características. Estas nuevas características indican que hay un nuevo grupo de criminales detrás del desarrollo de TrickBot pero los investigadores sospechan que, al menos uno de los desarrolladores originales de Dyre está involucrado en el desarrollo de TrickBot.
El spam sigue siendo el principal vector de ataque
Si hacemos memoria, recordaremos que las campañas de Dyre solían utilizar el correo electrónico como principal vector de ataque. Normalmente, el archivo malicioso solía venir adjunto a un correo que se hacía pasar por una factura o fax pendiente de ser leído. Ese fichero contenía el bot que infectaba el sistema y que se comunicaba con los centros de mando y control de Dyre.
De momento, el malware TrickBot parece estar en desarrollo y por eso no se han visto campañas propagándolo en grandes cantidades. Sin embargo, los expertos apuntan a que los delincuentes están reconstruyendo la botnet Cutwail para lanzar campañas masivas de envío de spam con nuevas variantes de TrickBot.
Los investigadores también han comprobado como las primeras muestras analizadas estaban diseñadas para robar información del sistema. Sin embargo, desde la semana pasada se han empezado a detectar variantes que incluye un módulo de inyección de código en el navegador de la víctima.
Conclusión
Solo el tiempo dirá si este nuevo malware consigue igualarse a lo que fue Dyre en su día. No obstante, el haber sido analizado en una fase temprana de su desarrollo puede facilitar su detección temprana cuando se lance definitivamente en alguna campaña de spam. Así mismo, todos deberíamos permanecer alerta ante cualquier tipo de mensaje no solicitado, especialmente si incluyen un enlace o fichero adjunto.