Hemos recibido una alerta del departamento de Seguridad Informática de nuestro banco por la existencia de una campaña de código dañino que tiene como objetivo las pasarelas de pago y el software de gestión de pagos off-line. Principalmente los titulares de un terminal virtual podrían verse afectados. Cabe destacar que el ataque puede monitorizar el uso de pasarelas de pago y no solo en los sistemas de pago offline.
El virus utilizado por los atacantes es a través de spear phishing (correos electrónicos phishing dirigidos) que llevan adjuntos documentos de MS Oficce con macros dañinas, que incluyen el malware “Dridex”. Si el equipo del usuario resulta infectado, el código dañino procede a comunicarse con los servidores de mando y control por medio de DNS o utilizando otro malware como es Carbanak (el cual puede haberse descargado en la fase inicial de la infección y posteriormente ser usado para realizar actuaciones dañinas en la máquina infectada).
Este código dañino monitoriza el software de las siguientes empresas: crealogix, multiversa, abacus, ebics, ago-office, cashcomm, softcrew, coconet, macrogram, mamut, omikron, multicash, alphasvs, wineur, epsitec, myaccessweb, bellin, financesuite, moneta, softcash, trinitv, financesuite, abrantix.
Recomendaciones:
| ► | Vigilar tanto el tráfico anómalo de DNS como las alertas de los antivirus ante avisos de Dridex o Carbanak. |
| ► | Evitar la recepción de correos electrónicos cuyos adjuntos tengan las siguientes extensiones: Js / Jar / Bat / Exe / Cpl / Scr / Com / Pif / Vbs / Ps1 / Wsf / Docm (Word con macro) / Xlsm (Excel con Macro) / Pptm (Power Point con Macro). |
| ► | Bloquear la ejecución automática de Macros en los productos de Ms Office. |
| ► | No ejecutar los Macros de documentos de MS Office procedentes de fuentes dudosas o de no confianza. |
| ► | No abrir correos electrónicos que procedan de destinatarios no conocidos o con contenido sospechoso. |
| ► | Revisar de las transacciones recibidas de sistemas offline. |
