El troyano bancario relativamente nuevo conocido como Dyreza, que anteriormente tenía su foco en entidades bancarias, ahora apunta al software para la administración de la relación con los clientes -o CRM, del inglés Customer Relationship Management.
En particular, el CRM de Salesforce es una aplicación basada en Internet para proveer el servicio de gestión de clientes; al igual que otros software de este tipo, almacena y organiza la información de los clientes o potenciales clientes de una compañía. Según SC Magazine, el software CRM de Salesforce es utilizado por cien mil organizaciones y tiene millones de suscriptores -y ahora es blanco de ataque de Dyreza.
También conocido como Dyre, este troyano bancario detectado por ESET como Win32/Battdil.A apuntaba en sus inicios a usuarios de grandes bancos como Bank of America y Citigroup, buscando extraer información para robar credenciales de acceso. Su particularidad es que tiene la capacidad de saltear el protocolo SSL para simular conexiones seguras en sitios de entidades financieras. Además, funciona de manera similar a Zeus, la conocida botnet diseñada para robar de información bancaria.
Hace unos días, Salesforce publicó un aviso en el que decía:
El malware Dyre (también conocido como Dyreza), que típicamente apunta a clientes de grandes y reconocidas instituciones financieras, ahora podría apuntar también a usuarios de Salesforce. Actualmente no tenemos evidencia de que ninguno de nuestros clientes haya sido afectado por esto, y nuestra investigación continúa. Si determinamos que un cliente ha sido afectado por este malware, nos contactaremos para informar los pasos a seguir y mayor orientación.
El alerta fue luego actualizado, y la compañía aseguró que ha visto un número pequeño de clientes a los cuales impactó esta amenaza,que en la mayoría de los casos se propaga a través de campañas de phishing y spam.
Es importante destacar que no se trata de una vulnerabilidad en los sistemas de Salesforce, sino de un código malicioso que, naturalmente, infecta al usuario por otros medios y se aloja en su sistema.
Al igual que amenazas similares, Dyreza utiliza una técnica conocida como browser hooking para interceptar el tráfico entre la máquina de la víctima y el sitio web de destino. Puede hacer esto en Internet Explorer, Google Chrome y Mozilla Firefox. Se cree que se la utiliza como un "servicio" a delincuentes, lo cual lo convierte en un posible ejemplo de "crime-as-a-service" o "crimen como servicio": básicamente, malware en alquiler para el mejor postor.
Esta noticia no hace más que demostrarnos cómo las amenazas informáticas continuamente se irán adaptando e incluso permitirán nuevos usos a los ciberdelincuentes. Así que, como siempre, ¡mucho cuidado al navegar!