Se utiliza un sitio Web legítimo como vector de infección y usa documentos específicos Microsoft Office para eludir algunos análisis antivirus.
G DATA Security Labs informó sobre el descubrimiento de una campaña de spam que ha distribuido el troyano Dridex en un archivo adjunto de Microsoft Word que simulaba ser una factura. La extensión.doc del documento adjunto solo buscaba confundir a las víctimas ya que en realidad se camuflaba un documento MHTML, un formato Web soportado por Microsoft Word.
Los investigadores indicaron que el archivo, que se hace pasar por una factura, solicita tener habilitadas las macros de Microsoft Office para leerse correctamente; al activarlas, se desencadena la segunda fase del ataque y el malware conecta con el sitio legítimo pastebin.com para concluir la descarga del código malicioso (payload), que es el troyano bancario Dridex.
Se informó que las empresas pequeñas y medianas, con independencia de su país de origen, son el objetivo principal de estas estafas.
Pastebin es una aplicación Web que permite a los usuarios compartir pequeños textos, usualmente ejemplos de código fuente, con el público en general. Los hackers eligen esta página por su legitimidad y porque es poco probable que las soluciones de seguridad la incluyan en una posible lista negra.
Mientras, Dridex permite a los ciberatacantes espiar las transacciones bancarias, robar datos personales e instalar nuevo malware y enviar spam.
Asimismo, los macros se usan para automatizar procesos y unificar tareas que pasan a realizarse de forma secuencial en un solo clic; algunas macros son un riesgo potencial para la seguridad, ya que pueden utilizarse para introducir comandos maliciosos en un archivo e infectar con malware los sistemas atacados, por ello están deshabilitados por defecto en Microsoft Office.
Para evitar ser víctimas de este ataque, se sugiere no abrir los archivos adjuntos que reciben en correos electrónicos procedentes de remitentes desconocidos y sospechar de las facturas inesperadas que responde a servicios desconocidos o no contratados. Antes de abrir los mencionados adjuntos, conviene hacerse las siguientes preguntas:
- ¿He hecho algún tipo de pedido online?
- En caso afirmativo, ¿El correo está escrito en el mismo lenguaje que el de la tienda online donde realice el pedido?
- ¿Contiene el correo electrónico errores ortográficos, gramaticales o palabras poco habituales?
- ¿Incluye el correo electrónico información personal como nuestro nombre correcto como destinatario, dirección, número de cliente o pedido?
En caso de dudar, el adjunto no debe abrirse, además de no habilitar las macros a petición de una fuente desconocida.