Utilizan routers de usuarios domésticos para propagar el malware bancario Dyre

Los cibercriminales usan routers de usuarios domésticos como AirOS o Mikrotik para distribuir el malware Dyre, como descubrió e informó Bryan Campbell, el investigador de seguridad de Fujitsu. Dyre, también conocido como Dyreza, es un troyano diseñado específicamente para robar dinero de cuentas bancarias en línea.  Dyre es un troyano bancario como el ultra conocido Dridex

Los Troyanos bancarios son una de las amenazas más importantes en el panorama actual, ya que están ganando un complejidad digna de la del mejor de malware que se pueden encontrar en la selva de internet.

Dyre y Dridex son los de más troyanos emergentes en este campo.

• Análisis técnico en PDF de Troyanos bancarios como Dyre y Dridex
• Análisis completo técnico de Dridex

El vector de infección principal de ambos troyanos es muy similar. Llevan a cabo amplias campañas de phishing que contiene una URL no es de confianza, con ficheros Microsoft Office o cualquier otro accesorio con una carga maliciosa dentro. Por lo general, estas campañas de phishing se dirigen a diferentes países.

A través del envío de correos electrónicos con archivos adjuntos infectados son utilizados para la distribución de Dyre. Los ficheross adjuntos se hacen pasar por una factura, pero en realidad es el programa de descarga que finalmente instala el Dyre troyano en el ordenador.

Una vez Dyre se activa será el navegador (Internet Explorer, Google Chrome o Firefox) el que secuestra la información de acceso a banca online y la envía de regreso a los criminales. A continuación, el malware instala un módulo de correo no deseado en el equipo y lo usará para enviar nuevos correos electrónicos.

Campbell encontró que Dyre utiliza para instalar un payload "carga útil" en routers hackeados. Es Ubiquiti Networks routers quién utiliza los AirOS como sistema operativo. Además de estos routers haría también routers fabricante MicroTiK, que ejecutan en RouterOS, son parte de los objetivos. El investigador dice en su propio blog que lo ha descubierto haciendo las instancias Dyre que estudió como en muchos routers AirOS hackeados  se establecía intentos de de conexión. Los routers son probablemente utilizando vulnerabilidades conocidas o credenciales predeterminadas para ser secuestrados.

No es la primera  vez que los delincuentes usan puertas traseras en routers domésticos comprometidos, los ataques DDoS de Lizard Squad utilizaron el mismo patrón.

Dyre el Troyano Bancario

Dyre, también conocido como Dyreza, es un troyano Banking que se dirige a la plataforma Windows con el objetivo de robar datos bancarios de los usuarios. Fue por primera vez visto alrededor de julio de 2014 y sigue activo en el 2015.

Fuente:
http://www.brycampbell.co.uk/new-blog/2015/6/24/compromised-airos-routers-being-used-by-dyre