Se llama Dridex y es uno de los más sofisticados

Dridex, el troyano más temido que roba tu cuenta corriente vuelve a la carga

El troyano Dridex infecta ordenadores a través de emails con archivos adjuntos. Una vez descargados, añade el PC a un 'botnet' y robas las contraseñas de banca 'online' almacenadas

Foto:

Clientes de al menos tres entidades bancarias españolas han sido víctimas del virus Dridex. Este programa malicioso es uno de los ladrones virtuales más sofisticados conocidos hasta la fecha, orientado a robar nuestra cuenta corriente sin que nos demos cuenta. Después de más de un año inactivo en España, vuelve en el contexto de una campaña de ataques a bancos de toda Europa.

Gran Bretaña, Suiza, Alemania y otros países europeos están en alerta por una campaña de ataques del troyano bancario Dridex, que amenaza también a bancos españoles, según ha confirmado a Teknautas las firmas de seguridad GoNet Fraud Prevention & Intelligence e Hispasec Sistemas. Ambas han investigado varios ataques recientes a clientes de al menos tres entidades bancarias en nuestro país, aunque han preferido no desvelar el nombre de las compañías.

La campaña se inició en enero y está usando nuevas versiones de Dridex, que ha sido mejorado con complejos métodos para evitar ser detectado cuando infecta los ordenadores: "Se hace pasar por procesos legítimos de Windows", explica Fernando Díaz, de Hispasec. Además, en vez de instalarse en el disco duro, como la mayoría, se esconde en la memoria, donde los antivirus no pueden "verle".

(Foto: Reuters)
(Foto: Reuters)

Este nivel de complejidad y refinadas técnicas de engaño son los que hacen que Dridex sea admirado incluso por quienes lo combaten. Lo más preciado es su motor de exploración avanzada, capaz de detectar el banco en el que opera su víctima y, sea el que sea, navegar automáticamente por la web de esa entidad hasta realizar él solito una transferencia.

Cómo funciona

Dridex es un troyano de élite desde el principio, desde que se manda en campañas de correo electrónico no solicitado que distan mucho de ser el típico spam cutre. Los mensajes llevan nombres y apellidos correctos y se mandan desde proveedores legítimos que son abusados, lo que significa que no serán marcados como spam. El virus viaja en una factura adjunta en formato Word que pide que se activen las Macros para verla. O en un .zip que lleva un Javascript dentro.

Si se abren estos ficheros, el código malicioso entra en el ordenador y se pasea como Pedro por su casa, mirando qué programas tenemos instalados. Abre una comunicación con los malos y les informa de si está en un ordenador particular o de una empresa. Si está en una empresa, le mandarán programas para espionaje y robo industrial. Si está en un ordenador particular, le instalan Dridex.

Si tenemos las contraseñas del banco memorizadas en el navegador, Dridex las roba. Si no, espera hasta que tecleamos la dirección web de nuestro banco

El ordenador infectado pasa a formar parte de una botnet, con miles o millones de ordenadores bajo el control de los delincuentes, que pueden incluso instalarles ransomware. Según investigadores suizos, las nuevas muestras de Dridex detectadas "están usando diferentes botnets, cada una con su propia configuración dirigida a atacar un país concreto o un grupo de países".

Si tenemos las contraseñas del banco memorizadas en el navegador, Dridex las roba. Si no, espera hasta que tecleamos la dirección web de nuestro banco. Entonces, nos muestra una simulación de la web en el navegador y, cuando escribimos las credenciales para entrar, creyendo que estamos en el portal del banco, las graba. Este es el punto de no retorno.

"Es muy difícil para un usuario común detectar algo raro en el comportamiento de su banca a distancia, la 'experiencia de usuario' conseguida por el malware es completamente creible", asegura Fernando Carrazón, COO de GoNet FPI, para quien lo que hace más peligroso a Dridex es "la total apariencia de legitimidad, pasando desapercibido a los ojos del usuario, y las técnicas de engaño simulando transferencias erróneas".

(Foto: Reuters)
(Foto: Reuters)

Cuando Dridex tiene nuestras credenciales, ya no nos necesita, es todo automático: mira cuánto dinero hay en la cuenta, calcula un tanto por cierto y realiza una transferencia por este monto a la cuenta de una "mula". Carrazón destaca "la velocidad a la que Dridex realiza las operaciones, completamente integradas en los portales de banca a distancia por las inyecciones de código que realiza su motor".

Además explican desde GoNet, en esta campaña los delincuentes están yendo muy rápido, realizando los robos "en un único día, desmantelando y empezando de nuevo en otro lado". No se conocen de momento cifras de afectados, de dinero robado ni entidades afectadas, sólo los avisos tempranos de investigadores en toda Europa.

Sigue vivo

A Dridex se le creyó muerto a finales de 2015, cuando ya había robado 40 millones de euros a clientes de bancos en Estados Unidos y Europa, también en España. Una operación conjunta de las fuerzas de la ley europeas, el FBI, entidades bancarias e incluso empresas de seguridad como la española S21sec, que jugó un importante papel, consiguieron desmantelar a parte del grupo de delincuentes del Este de Europa que operaban la botnet, una banda llamada Evil Corp.

A principios de 2016, la botnet de Dridex empezó sorpresivamente a instalar en los ordenadores que tenía esclavizados un antivirus gratuito de la empresa Avira, capaz de detectar y eliminar el troyano. "Se sospecha que un hacker de sombrero blanco habría discretamente penetrado la red de distribución de Dridex y cambiado la configuración para distribuir el antivirus", explica la Wikipedia.

Un especialista en seguridad informática analiza el impacto de un ciberataque reciente en Europa. (Foto: Reuters)
Un especialista en seguridad informática analiza el impacto de un ciberataque reciente en Europa. (Foto: Reuters)

el código no muere ni puede ser encarcelado, así que otras bandas, mayoritariamente del Este, lo retomaron durante 2016, en campañas más pequeñas, usando la botnet de Dridex para distribuir ransomware, como Cerber o Locky, o bien para robar a clientes de bancos. Desde agosto de 2016 no se sabía nada de Dridex en Europa. Y, en España, desde finales de 2015. Mientras, aquí nos han infestado otros troyanos bancarios, menos estilosos pero mucho más implantados, siendo el rey ZBot y sus variantes Panda o Sphinx.

Las mejores medidas preventivas para no caer en las garras de estos virus son "desconfiar de correos electrónicos con remitentes desconocidos y obviamente, no ejecutar los adjuntos", resume Fernando Carrazón. No ejecutar Macros aunque nos lo pidan es también recomendable. Asimismo, usar antivirus pero no fiarse ciegamente, porque a veces no detectan estos troyanos.

Tecnología

El redactor recomienda

Escribe un comentario... Respondiendo al comentario #1
2 comentarios
Por FechaMejor Valorados
Mostrar más comentarios