El spam español se está haciendo cada vez más peligroso para los usuarios de Internet. Los delincuentes informáticos no sólo inventan nuevos trucos, sino que con cada vez mayor frecuencia recurren a los viejos trucos que los usuarios ya han olvidado. Así, en el primer trimestre de 2015 los delincuentes propagaron, mediante spam macrovirus, programas escritos en idioma de macros incluidos en los sistemas de procesamiento de datos (redactores de texto y gráficos, tablas electrónicas, etc.).

Todos los mensajes maliciosos contenían adjuntos con extensiones .doc o .xls, que al abrirse lanzaban un script VBA. Este script descargaba e instalaba en el sistema otros programas maliciosos, por ejemplo, el troyano bancario Cridex. Los macrovirus que detectamos pertenecían a la familia de los troyanos descargadores: Trojan-Downloader.MSExcel.Agent, Trojan-Downloader.MSWord.Agent, Trojan-Downloader.VBS.Agent.

Un mensaje falso de Correos secuestra tu ordenador... y pide recompensa

La mayoría de los macrovirus no sólo se activan al abrir o cerrar un fichero infectado, sino también cuando el usuario trabaja con el redactor (de texto o tablas). El peligro de los macrovirus consiste también en que no sólo se contagia el fichero abierto al principio, sino también los demás ficheros a los que se hace solicitudes directas.

La propagación activa de macrovirus en el correo electrónico se debe no sólo a que es fácil crearlos, sino también a que los usuarios trabajan constantemente con redactores de texto y tablas, pero no siempre están conscientes del peligro potencial de los macrovirus.

Adjuntos maliciosos en el correo

El programa malicioso descargardor Trojan-Banker.Win32.ChePro.ink, que el año pasado ocupaba sólo el sexto lugar, fue el más popular entre los propagados por correo en el primer trimestre de 2015. Es un descargador implementado en forma de un applet CPL (componente del panel de administración) y que se encarga de descargar troyanos destinados al robo de información financiera confidencial. En su gran mayoría, los programas maliciosos de este tipo tienen como blanco a los bancos brasileños y portugueses.

Si no nos referimos a programas en concreto, sino a las características familiares de los programas maliciosos, entonces esta vez fue Upatre el que ocupó el primer puesto en el primer trimestre de 2015.  En la mayoría de los casos, los representantes de la familia Upatre descargan el troyano bancario Dyre (también conocido como Dyreza o Dyzap), gracias a lo cual esta familia también ocupó el primer puesto en nuestra estadística de amenazas bancarias actuales.

Dyreza, el troyano que roba tus datos bancarios

La familia Andromeda, que según los resultados del año fue líder de esta lista, bajó al segundo puesto. Recordamos que los programas de la familia Andromeda permiten a los delincuentes controlar de forma inadvertida los equipos infectados, que con frecuencia se convierten en parte de botnets.

El tercer puesto lo ocupa la familia MSWord.Agent. Estos programas maliciosos son ficheros *.doc que contienen adjunto un macro escrito en Visual Basic for Applications (VBA) que se ejecuta al abrirse el documento. El macro descarga y ejecuta otros programas maliciosos, por ejemplo, uno de los representantes de la familia Andromeda.