Cualquier oportunidad es buena si hablamos de distribuir amenazas entre los usuarios. Expertos en seguridad han detectado una oleada de correos spam que están distribuyendo el troyano bancario Dridex. Esto como tal, no representa una novedad. Lo que sí es digno de mención es la forma de almacenar y distribuir esta amenaza. Los ciberdelincuentes se sirven de servicios FTP no seguros.
Los servidores FTP accesibles desde Internet se cuentan por millones en la actualidad. El problema es que el porcentaje que está protegido de forma correcta es muy pequeño. Era de esperar que en algún momento los ciberdelincuentes sacasen provecho. Muchos de ellos poseen credenciales de acceso que son triviales. Otros, sin embargo, no poseen ni credenciales de acceso, permitiendo el inicio de sesión anónimo y sin ningún tipo de limitación.
El resultado: Ciberdelincuentes utilizando estos recursos para alojar amenazas y distribuirlas de una forma más sencilla entre los usuarios.
Obviamente, cuentan con una gran ventaja que no poseen en los servicios de hosting: el control. En estos, el marcaje es mucho más férreo. Sin embargo, en los servidores FTP de usuarios o pequeñas y medianas empresas, es probable que no realice ningún tipo de control de los archivos publicados. Por este motivo, como medio de difusión, es mejor.
La vía de difusión de Dridex
En este aspecto, podría decirse que no hay novedades: el correo electrónico. Para ello, se sirven de plantillas variadas para llamar la atención del usuario. Francia, España, Reino Unido, Australia, Estados Unidos, y así hasta completar un listado demasiado amplio. Todas las plantillas que se están enviando se encuentran en inglés. Es decir, los ciberdelincuentes no se están molestando en aplicar cierta ingeniería social, adaptándolo a cada país o tipo de usuario.
Como archivo adjunto, el usuario puede encontrar un Word o un XLS. Independientemente del tipo, cuenta con una macro que permite la descarga del contenido malware, utilizando para ello las direcciones pertenecientes a estos servidores FTP comprometidos.
Los expertos en seguridad indican que los servicios afectadas no ejecutan el mismo software. Esto sirve para aclarar que no se trata de un fallo de seguridad masivo de un servicio, sino una mala configuración de seguridad.
Ocultos tras una botnet y la Dark Web
Realizar el rastreo de los archivos y los correos electrónicos enviados no sirve de nada, o al menos por el momento. Los mensajes se envían también utilizando cuentas de correo electrónico hackeadas y haciendo uso de la botnet Necurs.
De esta forma, no solo se aseguran que los mensajes no sean marcados como spam, también una máxima difusión y despreocupación a la hora de alojar los instaladores de Dridex.
Aunque a nivel de territorios hablamos de una lista bastante amplia, no hay que dejarse engañar. Al dia de hoy solo se han detectado 9.500 correos electrónicos pertenecientes a este ataque. Esto quiere decir que, por el momento, no se trata de un envío masivo no dirigido contra un grupo concreto de países.
Expertos en seguridad añaden que, teniendo en cuenta la antigüedad de esta amenaza, cualquier software de seguridad debería ser capaz de realizar la detección y su posterior eliminación de forma adecuada.