Dridex, el troyano bancario más buscado a nivel mundial

El conocido troyano bancario Dridex, tuvo un impacto de 4% en las organizaciones a nivel mundial en abril, Según último Índice de amenaza global para abril de 2020 emitido por Check Point.

Dridex Troyano

Según los informes de la industria, la versión original de Dridex apareció por primera vez en 2012, fue creado a partir del código fuente del troyano bancario Bugat (también conocido como Cridex) y para 2015 se había convertido en uno de los troyanos financieros más frecuentes. Dridex es un troyano que se dirige a la plataforma Windows y, según los informes, se descarga a través de un archivo adjunto de correo electrónico no deseado. Dridex contacta a un servidor remoto y envía información sobre el sistema infectado. También puede descargar y ejecutar módulos arbitrarios recibidos del servidor remoto.

Los actores generalmente distribuyen malware Dridex a través de campañas de correo electrónico no deseado de phishing. Los mensajes de phishing emplean una combinación de nombres comerciales y dominios legítimos, terminología profesional e idioma que implican urgencia para persuadir a las víctimas a activar archivos adjuntos abiertos. 

Los archivos adjuntos o eventuales descargas pueden tomar una variedad de formatos. En algunos casos, los descargadores de malware están ocultos en archivos comprimidos utilizando los formatos de archivo ZIP o RAR. Ocasionalmente se utilizan archivos comprimidos dentro de archivos comprimidos (doble cremallera). Los archivos comprimidos pueden incluir lenguaje de marcado extensible (.xml), Microsoft Office (.doc, .xls), Visual Basic (.vbs), JavaScript (.jar) o archivos de formato de documento portátil (.pdf). Muchos de los archivos, en lugar de contener el malware real, contienen macros ocultas u ofuscadas. Tras la activación, las macros llegan a un servidor de comando y control, servidor FTP o sitio de almacenamiento en la nube para descargar el malware Dridex real. En otros casos, las macros lanzan scripts que extraen ejecutables incrustados en el documento en lugar de descargar la carga útil.

Panorama

El malware Dridex ha evolucionado a través de varias versiones desde su inicio, en parte para adaptarse a los navegadores actualizados. Aunque las características descritas reflejan algunas de las configuraciones más recientes, los actores continúan identificando y explotando vulnerabilidades en software ampliamente utilizado.

Dridex sigue siendo una característica de nuestro panorama de amenazas, y probablemente seguirá siéndolo. Los hosts de Windows 10 que están completamente parcheados y actualizados tienen un riesgo muy bajo de infectarse con Dridex, por lo que vale la pena seguir las mejores prácticas de seguridad.

Se recomienda lo siguiente:

• Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
• No haga clic en ningún enlace ni descargue ningún archivo en un correo electrónico si no puede verificar la fuente de forma independiente. E incluso si el correo electrónico proviene de una fuente de confianza, verifique con ellos si realmente lo enviaron. No olvide escanear el archivo adjunto con un software de punto final para ver si es seguro abrirlo.
• No responda a correos electrónicos no solicitados de extraños y especialmente si le piden que proporcione algún tipo de información personal.
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
• Disponer de sistemas antispam para correos electrónicos, de esta manera se reduce las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
• Deshabilite los servicios RDP, si no es necesario. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
  • Si no es posible cerrarlos, limite las direcciones de origen que pueden acceder a los puertos.
• Mantener una buena estrategia de respaldo de información: sistemas de copias de seguridad que deben estar aisladas de la red; y políticas de seguridad. Lo anterior permitirá neutralizar el ataque, restaurar las operaciones y evitar el pago del rescate.
• Actualizar los equipos con Windows a las últimas versiones.
• Analizar la factibilidad de implementar configuraciones de políticas de seguridad que restrinjan el uso de macros en los documentos de ofimática, capaces de exceptuar aquellas firmadas digitalmente con sus proveedores o colaboradores