Los ciberdelincuentes ahora han recuperado una vía de infección de equipos que tuvo mucho éxito en el pasado: las macros. Para ello han contado también con la ayuda de un malware que ha tenido mucho éxito: Dridex.
En
primer lugar, y haciendo mención a las macros, hay que puntualizar que entre
2001 y 2007 se trataba de una forma de infectar equipos muy utilizada, ya que
en aquellos años estas se encontraban activadas por defecto en Microsoft
Office. Aunque en versiones posteriores a esos años ya se encontraban
deshabilitadas por defecto y era el usuario el que debía activarlas, el uso de
versiones anteriores de la suite de ofimática contribuyó a que este tipo de
infección se utilizase pero con un éxito menor.
A pesar de seguir deshabilitadas por defecto en las últimas versiones de Microsoft Office, la infección haciendo uso de macros vuelve a estar a la orden del día, recurriendo eso sí a una ingeniería social que cada vez toma una mayor importancia.
Recibos, facturas, compras no autorizadas, todo vale para que
descarguen el documento
- Para hacer que el ataque sea efectivo ya hemos mencionado con anterioridad la presencia de la ingeniería social. Por este motivo, los ciberdelincuentes recurren a asuntos monetarios con cuentas, servicios de Internet o compras realizadas para llamar la atención del usuario y provocar que este descargue el archivo, en esta ocasión, un documento de Word o Excel que contiene la macro.
- Teniendo en cuenta que está desactivadas, en el interior del propio documento el usuario encontrará instrucciones para activarlas y así visualizar el contenido de forma correcta. La única diferencia que notará el usuario es que al activar estas se producirá la descarga de un archivo.
- No es la primera vez que hemos hablado de este malware y como la mayoría de las amenazas de los últimos años poseen una finalidad concreta, obtenida la mayoría de las ocasiones de forma remota: los ciberdelincuentes se ayudan de servidores de control para actualizar y controlar la amenaza de forma totalmente remota.
- En principio el troyano está destinado a robar las credenciales de acceso a servicios de banca en línea gracias a la función de keylogger, aunque luego se pudo comprobar que no hacía ningún tipo de distinción y almacenaba las credenciales de todos los servicios de los que se hacían uso en el equipo.
