La semana pasada conocimos una vulnerabilidad
que afectaba a todos los sistemas operativos de Microsoft, exceptuando la
versión 2003 de Windows Server. Ante la falta de un parche de seguridad que
solucione el problema, los ciberdelincuentes han comenzado a distribuir un
fichero Power Point para instalar en virus Dyre en la mayor cantidad de
equipos.
Tal y como ya explicamos, la vulnerabilidad afecta a
los sistemas operativos pero es gracias a un módulo contenido en todas las
aplicaciones de Microsoft Office el que permite que este fallo de seguridad
pueda llegar a ser explotado. CVE-2014-4114, que así es como se ha catalogado
esta vulnerabilidad, podría ser explotada utilizando el módulo OLE de la suite
ofimática de la compañía de Redmond.
De momento no existe una fecha exacta en la que la
actualización esté disponible, abriéndose una gran oportunidad para los
hackers, sobre todo para conseguir instalar malware en los equipos.
La estrategia a seguir es clara: recurrir a los correos
spam y a un fichero PPT para explotar la vulnerabilidad.
Dyre se descarga mediante la
ejecución de una macro contenida en un PPT
- Hablando sobre el virus en cuestión, parece que este ha tomado mucha relevancia entre los ciberdelincuentes. Y es que han sido bastantes los que han optado a lo largo de este por utilizar este para infectar equipos. A diferencia de otras ocasiones, cuyo servidor se localizaba en países de Europa del Este en esta ocasión el servidor de almacenamiento y control del malware está ubicado en Francia.
- Con respecto a la finalidad sigue siendo la misma que en versiones anteriores, robar los datos bancarios de los equipos infectados y espiar la navegación del usuario. La diferencia con ocasiones anteriores es que esta vez se acerca y mucho a los usuarios españoles, ya que se encuentra afectando a todos los usuarios de países europeos, por lo que no sería descartable que durante los próximos días apareciesen casos de usuarios españoles afectados.
- Hay que destacar que el robo de credenciales era realizado haciendo uso de páginas web falsas de entidades bancarias, evitando comunicaciones SSL y desviando la navegación del usuario a páginas muy similares con la finalidad de que este introduzca las credenciales y así proceder al robo de estas.