El troyano bancario Dyreza ha sido noticia más de una vez en los últimos meses, y es porque desde su creación, ha presentado cambios que indican que cada vez es más peligroso. Las últimas variantes analizadas utilizan un certificado SSL propio para comunicarse con el Centro de Comando y Control (C&C) y recolectan cookies, certificados de cliente y claves privadas de las computadoras infectadas.
Esto último es posible debido a una nueva funcionalidad de Dyreza que, tal como reporta Security Week, ha sido llamada "browsersnapshot". Además, este código malicioso ahora puede formar una lista de programas y servicios instalados en el sistema infectado, la cual envía al servidor C&C; de esta forma, el atacante es capaz de determinar qué vectores puede explotar dependiendo de lo que esté corriendo en el sistema.
El cambio tal vez más sorprendente en el comportamiento de esta amenaza es la comunicación con el C&C, que tiene lugar a través del protocolo SSL en los puertos 443 y 4443 con un certificado propio, diseñado específicamente, lo cual busca engañar a los usuarios para que crean que la conexión es segura -y ejecuten sus operaciones financieras con normalidad.
En junio nos enterábamos cómo Dyreza aparecía en escena con la posibilidad de saltear el protocolo SSL para simular conexiones seguras en sitios de entidades financieras, y demostraba así la finalidad de obtener rédito económico de los ciberdelincuentes detrás de esta amenaza. Otro indicio de esto lo tuvimos cuando supimos que tenía como blanco de ataque al software de administración de clientes (o CRM del inglés Customer Relationship Management).
También conocido como Dyre, este troyano bancario detectado por ESET como Win32/Battdil.A apuntaba en sus inicios a usuarios de grandes bancos como Bank of America y Citigroup, buscando extraer información para robar credenciales de acceso.
Funciona de forma similar a Zeus, la famosa botnet diseñada para robar de información bancaria, y es capaz de incerceptar el tráfico entre la máquina de la víctima y el sitio web de destino, a través de una técnica conocida como browser hooking. Sucede que normalmente, la información enviada a sitios protegidos con SSL es cifrada antes, para protegerla contra ataques Man-In-The-Middle; pero con esta técnica, Dyreza puede ver los datos ingresados por la víctima en un sitio antes de que sean cifrados.
Ante casos como estos en los que vemos cómo las amenazas informáticas evolucionan para tratar de afectar a la mayor cantidad de víctimas posible, insistimos en la importancia de contar con una solución de seguridad actualizada que las detecte y bloquee. Y, por supuesto, tener precaución al navegar por Internet y hacer transacciones financieras.