El virus Dridex viaja en un documento Word que llega vía spam.
Dridex fue descubierto por Trend Micro y esta orientado a robar información bancaria del usuario.
El malware en macros fue algo usual a fines del siglo pasado, hace unos 20 años, aprovechando VBA el lenguaje de Visual Basic integrado para construir código en aplicaciones Microsoft Office, como Word y Excel. La macro integrada al documento es ejecutada automáticamente al abrir el documento, lo que fue aprovechado por los autores de virus para propagar virus. Desde principios de este siglo se pensó que los virus de macros ya habían sido superados, en particular por la desactivación predeterminada al implementar Microsoft Office y por la detección oportuna de los productos antivirus.
Sin embargo, el usuario puede ser engañado para habilitar el uso de macros ocasionando la entrada del malware y sus actividades maliciosas.
Dridex utiliza spam para enviar al usuario víctima un documento Word con macros y que al convencerlo de abrirlo y habilitar las macros el malware se instala en el sistema para robar información del usuario. El spam proviene supuestamente de empresas legítimas con un archivo adjunto Word supuestamente relacionado con aspectos financieros. Sin embargo, el documento no puede ser visible si no se habilitan las macros y así se advierte al usuario al intentar abrir el archivo. Un acto típico de ingeniería social para inducir la curiosidad del usuario y motivarlo a activar las macros en Word. Al activarlas la macro maliciosa descarga el malware en el equipo como TSPY_DRIDEX.WQJ.
Dridex es un malware del tipo troyano bancario que monitorea la actividad bancaria en linea del usuario. Está configurado con una lista de Bancos, muchos de ellos europeos como Bank of Scotland, Lloyds Bank, Danske Bank, Barclays, Kasikorn Bank, Santander, y Triodos Bank. El malware roba información mediante la grabación de formularios, capturas de pantalla o inyecciones en el sitio.
A diferencia de los ataques que explotan vulnerabilidades para tener éxito, el de macros sólo requiere que la aplicación tenga activada la función de macro, algo que se consigue mediante ingeniería social para engañar y convencer al usuario para activar la función de macros.
El ataque vía malware de macros llama la atención porque los ciberdelincuentes están regresando a técnicas antiguas que pueden ser exitosas debido principalmente al desconocimiento de muchos usuarios.
Es recomendable mantener habilitada las funciones de seguridad para las macros en las aplicaciones de Office. Los administradores de TI en las organizaciones pueden utilizar políticas de directiva de grupo para hacer cumplir esta medida de seguridad.
El usuario debe evitar caer en la tentación de abrir mensajes de correo electrónico o archivos adjuntos con avisos bancarios o financieros, o situaciones relacionadas en tanto no tengan la certeza de su origen o legitimidad.