Malware dridex continúa marcando presencia en el panorama de amenazas

Dridex, uno de los malwares considerado como la mayor amenaza cibernética actual, mantiene su importante presencia dentro del panorama de malware este año 2021. La campaña más reciente que hemos evidenciado trata del envío de correos electrónicos falsos por medio de Quickbooks, que es un software de contabilidad electrónica desarrollado y comercializado por la empresa estadounidense Intuit Inc.

Dridex

Dridex apunta a la plataforma Windows como lo hemos mencionado en anteriores boletines e incluye campañas de malspam maliciosas y kits de explotación. El malware se descarga a través de un archivo adjunto de correo electrónico. 

Dridex utiliza inyecciones web para interceptar datos bancarios y enviarlos a un servidor remoto controlado. Quienes están detrás de este malware y responsables de las campañas son Evil Corp, uno de los grupos de delitos informáticos más prósperos que ha estado operando durante más de una década. Uno de sus afiliados más conocidos es TA505, un grupo de ciberdelincuencia con motivación financiera que distribuye Dridex desde 2014. 

Campaña de phishing

Dridex es particularmente peligroso porque se sabe que ha otorgado a los actores de amenazas DoppelPaymer, BitPaymer y WastedLocker acceso a redes comprometidas para implementar su ransomware.

Los investigadores de CrowdStrike han vinculado recientemente a Evil Corp con el ransomware Hades después de notar que Hades ransomware comparte la mayor parte de su funcionalidad con WastedLocker.

Dridex utiliza tres diferentes métodos de infección con los que uno puede infectarse: 

• Documento de Word o excel que contiene una macro maliciosa
• Archivo SCR autoextraíble, una técnica conocida utilizada por Dridex
• Archivo VBScript adjunto al correo electrónico, otra técnica conocida utilizada por Dridex

La última campaña evidenciada de Dridex es que este malware se esconde una vez más detrás de un correo electrónico falso de Quickbooks, que también ha llegado a Italia.

El archivo adjunto xls del correo electrónico, contacta aleatoriamente con un enlace de una lista interna y descarga el dll, que inicia la infección de malware.

Correo electrónico falso de QuickBooks que es un sistema de contabilidad electrónica, desarrollado y comercializado por la empresa estadounidense Intuit Inc.

Panorama

A la creciente popularidad de las compras en línea y a los riesgos inherentes se suma el hecho de que los actores de amenazas dedican mucho tiempo a personalizar los temas utilizados para llamar la atención de una víctima desprevenida y es muy probable que este tipo de técnicas se sigan aplicando en el futuro.

El Centro de Ciberinteligencia de Entel recomienda lo siguiente:

• Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
• Las campañas de phishing se caracterizan por tener faltas de ortografía o errores en el diseño. Revisa el contenido con detención, y desconfía de correos con imperfecciones.
• Desconfía de los correos alarmantes. Si un mensaje le indica o incentiva a tomar decisiones apresuradas o en un tiempo limitado, probablemente se trata de phishing.
• Ingresa a los sitios oficiales de la institución a la que estás afiliado, realiza todos tus trámites desde allí, es más seguro que utilizar algún enlace en el correo, WhatsApp o SMS.
• No haga clic en ningún enlace ni descargue ningún archivo en un correo electrónico si no puede verificar la fuente de forma independiente. E incluso si el correo electrónico proviene de una fuente de confianza, verifique con ellos si realmente lo enviaron.
• No responda a correos electrónicos no solicitados de extraños y especialmente si le piden que proporcione algún tipo de información personal.
• Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
• Actualizar los equipos con Windows a las últimas versiones.
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
• Disponer de sistemas antispam para correos electrónicos, de esta manera se reducen las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
• Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.