Dridex, uno de los malwares considerado como la mayor amenaza cibernética actual, mantiene su importante presencia dentro del panorama de malware este año 2021. La campaña más reciente que hemos evidenciado trata del envío de correos electrónicos falsos por medio de Quickbooks, que es un software de contabilidad electrónica desarrollado y comercializado por la empresa estadounidense Intuit Inc.
Dridex
Dridex apunta a la plataforma Windows como lo hemos mencionado en anteriores boletines e incluye campañas de malspam maliciosas y kits de explotación. El malware se descarga a través de un archivo adjunto de correo electrónico.
Dridex utiliza inyecciones web para interceptar datos bancarios y enviarlos a un servidor remoto controlado. Quienes están detrás de este malware y responsables de las campañas son Evil Corp, uno de los grupos de delitos informáticos más prósperos que ha estado operando durante más de una década. Uno de sus afiliados más conocidos es TA505, un grupo de ciberdelincuencia con motivación financiera que distribuye Dridex desde 2014.
Campaña de phishing
Dridex es particularmente peligroso porque se sabe que ha otorgado a los actores de amenazas DoppelPaymer, BitPaymer y WastedLocker acceso a redes comprometidas para implementar su ransomware.
Los investigadores de CrowdStrike han vinculado recientemente a Evil Corp con el ransomware Hades después de notar que Hades ransomware comparte la mayor parte de su funcionalidad con WastedLocker.
Dridex utiliza tres diferentes métodos de infección con los que uno puede infectarse:
La última campaña evidenciada de Dridex es que este malware se esconde una vez más detrás de un correo electrónico falso de Quickbooks, que también ha llegado a Italia.
El archivo adjunto xls del correo electrónico, contacta aleatoriamente con un enlace de una lista interna y descarga el dll, que inicia la infección de malware.
Correo electrónico falso de QuickBooks que es un sistema de contabilidad electrónica, desarrollado y comercializado por la empresa estadounidense Intuit Inc.
Panorama
A la creciente popularidad de las compras en línea y a los riesgos inherentes se suma el hecho de que los actores de amenazas dedican mucho tiempo a personalizar los temas utilizados para llamar la atención de una víctima desprevenida y es muy probable que este tipo de técnicas se sigan aplicando en el futuro.
El Centro de Ciberinteligencia de Entel recomienda lo siguiente:
https://portal.cci-entel.cl/Threat_Intelli... |
Producto | Versión |
---|---|
Microsoft Windows Server |
2012 2012 R2 2016 2019 |
Microsoft Windows |
8 8.1 10 |
Tipo | Indicador |
---|---|
hash | 80362d8d531f21338e0a914f4c3... |
hash | 8459af77e5ece4c9ba83bd36bd4... |
hash | 765a0b4da72ab6434010d966df8... |
hash | 65306eb08dd1a43406d46b1226d... |
hash | da81aa0dd37baccdbdc7f7f9a36... |
hash | 9a62a02e62115da405f07dac4d2... |
ip | 146.185.170.249 |
ip | 62.75.251.60 |
ip | 185.148.168.25 |