Durante las últimas semanas, el troyano Dridex volvió a estar activo y apareció de la mano de una campaña de correos falsos en el Reino Unido. Ante su vuelta al ruedo, el CERT de Estados Unidos emitió un alerta sobre esta amenaza, con el fin de que usuarios y empresas estén al tanto y comprendan su funcionamiento.
Dridex es un malware que roba credenciales bancarias y usa una red descentralizada de computadoras y servidores comprometidos para ejecutar comandos; es decir, se trata de unabotnet. La comunicación entre las máquinas infectadas y el ciberdelincuente se realiza a través de redes P2P o peer-to-peer. Las soluciones de seguridad de ESET detectan las distintasvariantes de Dridex.
Para infectar sistemas, este troyano bancario se vale de macros ofuscadas en archivos .XML y de Microsoft Office, con el objetivo primario de robar credenciales y obtener dinero de las cuentas de las víctimas. Su método de propagación habitual son las campañas de spam o phishing, cuidadosamente diseñadas para hacer que quienes reciban los mensajes hagan clic en enlaces maliciosos o descarguen archivos modificados, engañados por las falsas multas y facturas que reciben.
Una vez dentro del sistema, Dridex utiliza técnicas de keylogger y webinjects para cumplir su cometido. Además, usa al equipo para enviar más spam y participar en ataques DDoS.
Hace unos meses, Microsoft había alertado sobre el aumento de los casos de malware en macros, con una tendencia creciente en las descargas, que llegaron a afectar a cerca de 501.240 computadoras únicas a nivel mundial. Este tipo de malware se vale de las características programables de las macros de Microsoft Office, lo que le permite la ejecución de código malicioso aprovechando el lenguaje de programación Visual Basic.
En efecto, el uso de macros es una tendencia creciente y el Laboratorio de Investigación de ESET ha encontrado casos de campañas en español, por ejemplo una destinada a usuarios de México que utilizaba el nombre de un reconocido banco. Sin embargo, es curioso que esta técnica se había dejado de ver y, en el último tiempo, volvió a ser utilizada por los cibercriminales.
Fuente:https://www.welivesecurity.com/
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
