Grupo TA505 ataca con nueva variante de Dridex

28 Junio 2019
Alto

El investigador de ciberseguridad Brad Duncan detectó a principios de este mes una nueva variante del malware “Dridex”, la que hace uso de una técnica de lista blanca de aplicaciones para bloquear elementos de Windows Script Host evadiendo su débil política de ejecución de la línea de comandos. El objetivo principal de este malware es robar información bancaria de los usuarios de máquinas infectadas para lanzar transacciones fraudulentas.

¿Cómo logran la extracción de datos?

A través del envío de correos electrónicos fraudulentos con archivos de ofimática (excel y word) que poseen macros que descargan silenciosamente un payload para comprometer la máquina del usuario, contando con estadísticas de robos millonarios desde el año 2014.

Dridex es un malware difundido hace más de 5 años por el grupo ruso TA505, especializado en el robo de información a través de keyloggers, para su posterior difusión a centros de mando y control (C2) siendo su principal motivación el “robo de credenciales bancarias e inmediata ejecución de transacciones fraudulentas” y sus principales objetivos “usuarios de Windows que caigan en el engaño de phishing”.

Pese a que corresponde a un malware conocido, sus técnicas de evasión han estado en permanente evolución, destacando estos últimos meses por tener comportamientos que no han podido ser detectados por los motores de antivirus más comunes. Esto, se traduce en un incremento del riesgo que éste pudiese representar para las organizaciones y usuarios, potenciado por la rápida rotación de la infraestructura y los indicadores de la campaña maliciosa.

Se espera que los actores detrás de esta variante de Dridex continúen cambiando los indicadores a lo largo del campaña actual.

Se recomienda lo siguiente:

- Debido a que la primera línea de defensa es la madurez de los usuarios ante correos que utilicen la técnica de engaño phishing, se recomienda seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto a cómo proceder al recibir correos de orígenes desconocidos.

- No habilitar las macros de los archivos de ofimática sin previamente tener certeza de que es un archivo válido.


Tags: #ta505 #dridex #email #phishing #wmi #windows #wmic #excel #macros #malware #xls #xlsx #bancaria #word

Contacto

¡Cuenta con nosotros!
inteligencia@cci-entel.cl


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.