Nueva campaña de phishing protagonizada por Dridex

Ciberactores detrás de Dridex se encuentran realizando peligrosas campañas de phishing a través de correos maliciosos que pretenden ser tarjetas de regalo que pueden canjear aprovechando la época de compras navideñas. Esta campaña fue descubierta por el equipo de Cybereason Nocturnus.

Malware Dridex

Los antecedentes obtenidos permiten describir a Dridex como un troyano bancario que ha permanecido, desde el 2012, activo con distintas variantes. Dentro de sus principales características se encuentran el robo de credenciales bancarias electrónicas, robo de información confidencial, robo de información de inicio de sesión, registro de pulsaciones de teclas, toma de capturas de pantalla y descarga e instalación de más malware. Todo lo mencionado anteriormente lo realiza de manera evasiva y a través de una infraestructura resistente de servidores de comando y control (C2) que actúan como copias de seguridad entre sí.

Dridex es operado principalmente por Evil Corp, uno de los grupos de delitos informáticos más prósperos que ha estado operando durante más de una década. Uno de sus afiliados más conocidos es TA505, un grupo de ciberdelincuencia con motivación financiera que distribuye Dridex desde 2014. 

DoppelPaymer y BitPaymer

Dridex es particularmente peligroso porque se sabe que otorga a los actores de amenazas DoppelPaymer y BitPaymer acceso a redes comprometidas para implementar su ransomware.

La campaña de phishing de Dridex

Los ciberactores aprovechan cada oportunidad en el calendario para llevar a cabo sus campañas, principalmente utilizando la ingeniería social para engañar a los usuarios. 

La última campaña evidenciada por el grupo de seguridad de Cybereason deja en descubierto la utilización de tarjetas de regalo que se pueden canjear en próximas compras dentro de la conocida plataforma de ventas online Amazon. El malware Dridex se envía más comúnmente a través de correos electrónicos de phishing que contienen documentos de Microsoft Office, armados con macros maliciosas.

Documento malicioso de Word solicita a las víctimas que hagan clic en el botón "Habilitar contenido"

Dicha campaña está bien pensada debido al gran aumento de compras online durante el año debido a la pandemia por Covid-19 y la temporada de compras navideñas. Según los datos del reciente IBM US Retail Index publicado en agosto de este año, "la pandemia ha acelerado el cambio de las tiendas físicas a las compras digitales en aproximadamente cinco años", y "se prevé que el comercio electrónico crezca casi un 20% en 2020”.

Dridex utiliza tres diferentes métodos de infección con los que uno puede infectarse: 

• Documento de Word que contiene una macro maliciosa
• Archivo SCR autoextraíble, una técnica conocida utilizada por Dridex
• Archivo VBScript adjunto al correo electrónico, otra técnica conocida utilizada por Dridex

Panorama

Con la experiencia adquirida al estudiar distintas técnicas y grupos de ciberactores es fácil determinar un patrón de comportamiento en dichos criminales. Estos se encuentran preparados para descubrir y explotar oportunidades dadas según las tendencias actuales de la sociedad y por consiguiente atacar e infectar a las víctimas desprevenidas. A su favor, la pandemia mundial por Covid-19 en conjunto con la llegada de fin de año generan la situación perfecta para llevar a cabo sus planes maliciosos.

El lanzamiento de varias campañas que utilizan proveedores de comercio electrónico conocidos como un aspecto del vector de ataque es realmente atractivo para los actores de amenazas, tanto en dispositivos móviles como en computadoras de escritorio. A la creciente popularidad de las compras en línea y a los riesgos inherentes se suma el hecho de que los actores de amenazas dedican mucho tiempo a personalizar los temas utilizados para llamar la atención de una víctima desprevenida y es muy probable que este tipo de técnicas se sigan aplicando en el futuro. 

El Centro de Ciberinteligencia de Entel recomienda lo siguiente:

• Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
• Las campañas de phishing se caracterizan por tener faltas de ortografía o errores en el diseño. Revisa el contenido con detención, y desconfía de correos con imperfecciones.
• Desconfía de los correos alarmantes. Si un mensaje le indica o incentiva a tomar decisiones apresuradas o en un tiempo limitado, probablemente se trata de phishing.
• Ingresa a los sitios oficiales de la institución a la que estás afiliado, realiza todos tus trámites desde allí, es más seguro que utilizar algún enlace en el correo, WhatsApp o SMS.
• No haga clic en ningún enlace ni descargue ningún archivo en un correo electrónico si no puede verificar la fuente de forma independiente. E incluso si el correo electrónico proviene de una fuente de confianza, verifique con ellos si realmente lo enviaron.
• No responda a correos electrónicos no solicitados de extraños y especialmente si le piden que proporcione algún tipo de información personal.
• Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
• Actualizar los equipos con Windows a las últimas versiones.
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
• Disponer de sistemas antispam para correos electrónicos, de esta manera se reducen las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
• Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.