Expertos en seguridad han descubierto correos spam que distribuyen el troyano bancario Dridex. Algo que en principio no resulta sorprendente, ya que es algo habitual. Aunque, en esta ocasión la manera en la que se almacena y distribuye la amenaza es diferente. Porque parece que los atacantes se valen de servidores FTP poco seguros.
Servidores FTP poco seguros usados para distribuir el troyano Dridex
Los servidores FTP son accesibles desde Internet. El principal problema que tienen es que sólo un porcentaje muy bajo de los mismos cuenta con la protección adecuada. Por lo que son vulnerables y era de esperar que algún ataque ocurriera. Algo que finalmente ha ocurrido ya en este caso.
Los delincuentes se valen de servidores FTP
Por lo que los ciberdelincuentes se están aprovechando de la escasa seguridad existente para alojar y distribuir amenazas como este troyano Dridex. En general parece que se están aprovechando de servidores FTP de usuarios o empresas pequeñas, donde no se suele realizar control de los archivos publicados. Por lo que su difusión es más sencilla de esta manera. Además, en este caso no hay sorpresas en cuanto a distribución. Apuestan por el correo electrónico. Ya ha sido detectado en Francia, Reino Unido, España y Australia entre otros países. Todos los mensajes son en inglés.
Generalmente se adjunta un archivo, en formato Word o XLS. Pero, en el mismo es donde se encuentra el malware que va a acabar infectando el ordenador. Al parecer, los servicios afectados no ejecutan el mismo software. Por lo que parece que no es un fallo de seguridad masivo de un servicio. Sino que se trata de una mala configuración de seguridad.
[irp]
De momento no se ha encontrado el origen de estos correos con troyano. Hasta el momento habrían sido detectados 9.500 mensajes a usuarios de todo el mundo. Por lo que si usáis un servidor FTP es mejor comprobar su seguridad.
