El canal de distribución de la Botnet Dridex podría haber sido hackeado. En lugar de servir malware a sus visitantes, la gente está empezando a recibir copias gratuitas del antivirus Avira y, ahora, solo cabe preguntarse “por qué”. Tiene pinta de ser un whitehat hacker o hacker de sombrero blanco.
Este buen samaritano estaría ayudando a desmontar la botnet Dridex, ocultando sus pasos cuidadosamente, colaborando con los usuarios para volver a derribar esta supuestamente ya derribada botnet, pero que ha reaparecido desde finales del 2015.
¿Qué es Dridex?
Para quienes no lo conozcan, Dridex es un malware bancario de gran alcance, que se ha estado esparciendo por la red durante mucho tiempo, escondido en documentos de Microsoft Office, para llegar a cientos de miles de sistemas. Una vez dentro, el equipo sería reclutado para la botnet que recibe su nombre y,a demás, enviaría a sus desarrolladores todos los registros financieros del usuario en cuestión.
Dridex opera de la siguiente manera: primero llega al equipo establecido como objetivo mediante un correo electrónico malicioso vía Spam. Si la víctima abre el documento, una macro creada dentro del mismo reproduce inmediatamente un mecanismo de descarga del troyano bancario Dridex.
Lo que ocurre después es que, una vez lanzado, Dridex intenta robar los datos de acceso a plataformas financieras del usuario, para después intentar generar operaciones por sí mismo para transferir dinero.
Dridex es infectado con copias de Avira
Suena rocambolesco, no? Un antivirus, infectando a un malware. Sin embargo, es correcto hablando de forma literal, pues el citado documento de Word donde se infectaba a los usuarios víctimas de Dridex ha sido a su vez infectado por este “buen samaritano” (no tiene relación con Avira, aparentemente) y lo que hace es descargar en el equipo del usuario una copia del antivius Avira.
Los expertos de avira niegan tener nada que ver con el caso. Según el experto Lyle Frink, de la compañía, estos hechos resultan bastante extraños y totalmente fuera de lo común.
En lugar de malware, los incautos usuarios están siendo engañados para descargar copias legales de Avira Antivirus.
Hacer clic sobre un enlace incluído en un correo Spam de Dridex ya no siempre os infectará, sino que a veces intentará descargar a vuestro sistema una copia del antivirus de Avira, perfecto (dicho sea de paso) para limpiar la amenaza representada por este troyano bancario.
Sign up here with your email
ConversionConversion EmoticonEmoticon