En el mundo virtual tenemos tanto peligro de robo como en real. Siempre hay que tomar precauciones, ser muy cuidadoso con todos y cada uno de nuestros datos y no exponernos a ciertos peligros: en el espacio digital, además, tenemos la oportunidad de escudarnos con un buen antivirus. Y eso es lo que deberían hacer todos los usuarios de bitcoin y demás criptomonedas, pues según un inquietante estudio de la compañía Forceprint, pronto el troyano bancario Dridex podría evolucionar específicamente para robar monedas digitales directamente de las carteras de los usuarios desprevenidos.
El clásico Dridex, desde el punto de vista de cualquier usuario, consiste básicamente en correo no deseado dirigido al sistema Windows. Está diseñado para robar la información bancaria de los ordenadores infectados y realizar en seguida transacciones fraudulentas. Esto lo logra mediante un mensaje falso donde instan a las víctimas a abrir un documento de Word o Excel que viene contaminado con macros camufladas, de forma que, al abrirse el documento, se ejecutan silenciosamente y descargan el malware.
Se ha dirigido sobre todo a la comunidad angloparlante, ocasionando pérdidas de unas 20 millones de libras en el Reino Unido y unos 10 millones de dólares en Estados Unidos. Pero esto puede estar a punto de cambiar, y para peor.
Gracias a un reciente informe de Forceprint, ahora sabemos que Dridex está evolucionando. En primer lugar, todo indica que ahora el virus se transmitirá desde el servidor maestro en un formato binario cifrado, en lugar de en el típico archivo XML de texto plano, lo cual lo hace más difícil de identificar. Sin embargo, lo más alarmante para quienes posean criptomonedas, es que ahora el malware no va a trabajar simplemente tentando a la suerte: el cargador Dridex, troyano inicial de la infección, se dedicará a recopilar información destacada sobre cada huésped para enviarla a los servidores principales.
De esa forma Dridex creará una base de datos de sus potenciales víctimas, recogiendo información como el nombre del equipo, todos los detalles sobre el sistema operativo y los programas instalados. Además, en los parámetros de búsqueda, ahora se incluyen los nombres de las carteras de criptomonedas más populares, como BitCore, CoinBase, BitGo, BreadWallet y CoinsBank. Esto permitirá en el futuro reunir la suficiente información para poder robar las credenciales almacenadas en los equipos infectados y, tal como el virus inicia sesión en los distintos portales de la banca en línea y software de punto de venta y back-end para llevar a cabo las transferencias no autorizadas, también podría llegar a hacer lo mismo con las distintas carteras de criptomonedas.
Adicionalmente, con esa misma base de datos, Dridex porá construir una “lista negra” de computadoras sospechosas de ser investigadoras de seguridad o, sencillamente, invulnerables.
¿Qué se puede hacer?
En 2015, un esfuerzo conjunto entre distintos organismos del Reino Unido y Estados Unidos logró llegar hasta la red de servidores P2P de Dridex y enviarla hasta un sitio sumidero, señalando además como sospechoso a un hombre moldavo. No obstante, la red no tardó demasiado en volver a organizarse, y ahora todo parece indicar que ha cambiado de administración, pues el grupo criminal tras él está actualizando con mucha frecuencia el código fuente, incluyendo nuevas características y métodos para evadir a los antivirus.
Mientras las autoridades también se reorganizan para rastrear a estos hackers, lo mejor que se puede hacer es mantener el ordenador actualizado con un buen antivirus y bajo ninguna circunstancia abrir archivos anexos en correos de procedencia desconocida, además de cambiar con frecuencia las contraseñas personales.
Curiosamente, a principios de este año, el Dridex comenzó a distribuir e instalar el Avira, uno de los antivirus que funcionan para detectarlo y eliminarlo. Se cree que todo fue obra de un hacker bienintencionado que logró acceder a los servidores del malware para cambiar su configuración, así que podemos pensar que ahí afuera también hay personas dispuestas a entorpecer en cualquier momento esta iniciativa criminal.
4