En el mundo virtual tenemos tanto peligro de robo como en real. Siempre hay que tomar precauciones, ser muy cuidadoso con todos y cada uno de nuestros datos y no exponernos a ciertos peligros: en el espacio digital, ademรกs, tenemos la oportunidad de escudarnos con un buen antivirus. Y eso es lo que deberรญan hacer todos los usuarios de bitcoin y demรกs criptomonedas, pues segรบn un inquietante estudio de la compaรฑรญa Forceprint, pronto el troyano bancario Dridex podrรญa evolucionar especรญficamente para robar monedas digitales directamente de las carteras de los usuarios desprevenidos.
El clรกsico Dridex, desde el punto de vista de cualquier usuario, consiste bรกsicamente en correo no deseado dirigido al sistema Windows. Estรก diseรฑado para robar la informaciรณn bancaria de los ordenadores infectados y realizar en seguida transacciones fraudulentas. Esto lo logra mediante un mensaje falso donde instan a las vรญctimas a abrir un documento de Word o Excel que viene contaminado con macros camufladas, de forma que, al abrirse el documento, se ejecutan silenciosamente y descargan el malware.
Se ha dirigido sobre todo a la comunidad angloparlante, ocasionando pรฉrdidas de unas 20 millones de libras en el Reino Unido y unos 10 millones de dรณlares en Estados Unidos. Pero esto puede estar a punto de cambiar, y para peor.
Gracias a un reciente informe de Forceprint, ahora sabemos que Dridex estรก evolucionando. En primer lugar, todo indica que ahora el virus se transmitirรก desde el servidor maestro en un formato binario cifrado, en lugar de en el tรญpico archivo XML de texto plano, lo cual lo hace mรกs difรญcil de identificar. Sin embargo, lo mรกs alarmante para quienes posean criptomonedas, es que ahora el malware no va a trabajar simplemente tentando a la suerte: el cargador Dridex, troyano inicial de la infecciรณn, se dedicarรก a recopilar informaciรณn destacada sobre cada huรฉsped para enviarla a los servidores principales.
De esa forma Dridex crearรก una base de datos de sus potenciales vรญctimas, recogiendo informaciรณnย como el nombre del equipo, todos los detalles sobre el sistema operativo y los programas instalados. Ademรกs, en los parรกmetros de bรบsqueda, ahora se incluyen los nombres de las carteras de criptomonedas mรกs populares, como BitCore, CoinBase, BitGo, BreadWallet y CoinsBank. Esto permitirรก en el futuro reunir la suficiente informaciรณn para poder robar las credenciales almacenadas en los equipos infectados y, tal como el virus inicia sesiรณn en los distintos portales de la banca en lรญnea y software de punto de venta y back-end para llevar a cabo las transferencias no autorizadas, tambiรฉn podrรญa llegar a hacer lo mismo con las distintas carteras de criptomonedas.
Adicionalmente, con esa misma base de datos, Dridex porรก construir una ยซlista negraยป de computadoras sospechosas de ser investigadoras de seguridad o, sencillamente, invulnerables.
ยฟQuรฉ se puede hacer?
En 2015, un esfuerzo conjunto entre distintos organismos del Reino Unido y Estados Unidos logrรณ llegar hasta la red de servidores P2P de Dridex y enviarla hasta un sitio sumidero, seรฑalando ademรกs como sospechoso a un hombre moldavo. No obstante, la red no tardรณ demasiado en volver a organizarse, y ahora todo parece indicar que ha cambiado de administraciรณn, pues el grupo criminal tras รฉl estรก actualizando con mucha frecuencia el cรณdigo fuente, incluyendo nuevas caracterรญsticas y mรฉtodos para evadir a los antivirus.
Mientras las autoridades tambiรฉn se reorganizan para rastrear a estos hackers, lo mejor que se puede hacer es mantener el ordenador actualizado con un buen antivirus y bajo ninguna circunstancia abrir archivos anexos en correos de procedencia desconocida, ademรกs de cambiar con frecuencia las contraseรฑas personales.
Curiosamente, a principios de este aรฑo, el Dridex comenzรณ a distribuir e instalar el Avira, uno de los antivirus que funcionan para detectarlo y eliminarlo. Se cree que todo fue obra de un hacker bienintencionado que logrรณ acceder a los servidores del malware para cambiar su configuraciรณn, asรญ que podemos pensar que ahรญ afuera tambiรฉn hay personas dispuestas a entorpecer en cualquier momento esta iniciativa criminal.
