Los investigadores de seguridad de eSentire rastrearon una nueva campaña que difundió una variante del troyano bancario Dridex que muestra polimorfismo.
Expertos en seguridad en eSentire observaron una nueva campaña que propaga una variante del troyano bancario Dridex que implementa el polimorfismo.
El troyano bancario Dridex que existe desde 2014, participó en numerosas campañas contra instituciones financieras a lo largo de los años y los ladrones lo han mejorado continuamente.
Incluso si la actividad de Dridex disminuyó en los últimos años, los delincuentes continuaron actualizándola, agregando nuevas características como el soporte de scripts XML, algoritmos de hash, cifrado de igual a igual y cifrado de igual a igual de control y control. .
El investigador de malware Brad Duncan observó por primera vez una nueva variante de Dridex el 17 de junio que aprovecha una técnica de lista blanca de aplicaciones para evitar la mitigación mediante la desactivación o el bloqueo de Windows Script Host.
El 26 de junio de 2019, los expertos de eSentire Threat Intelligence descubrieron una infraestructura C2 que apunta a una variante de Dridex similar que no fue detectada por la mayoría de los antivirus enumerados en el servicio VirusTotal.
«El 26 de junio de 2019, eSentire descubre una nueva infraestructura apuntando a una variante de Dridex similar. En el momento del descubrimiento, utilizando datos de VirusTotal, solo seis soluciones antivirus de aproximadamente 60 detectaron comportamientos sospechosos. Aproximadamente 12 horas después, en la mañana del 27 de junio, 16 soluciones antivirus pudieron identificar el comportamiento». análisis publicado por eSentire.
Los expertos notaron que los actores de amenazas cambian continuamente los indicadores a través de la campaña actual, lo que dificulta que las soluciones de defensa basadas en firmas detecten la amenaza.
«Dado el despliegue y la implementación en el mismo día del dominio ssl-pert.com el 26 de junio y una tendencia a utilizar las variables generadas aleatoriamente y los directorios de URL, es probable que los actores detrás de esta variante de Dridex continúen cambiando los indicadores a lo largo de la campaña actual”, señala eSentire.
En los ataques observados el 17 de junio, el malware estaba usando DLL de 64 bits con nombres de archivos cargados por ejecutables legítimos del sistema de Windows. Duncan señaló que las rutas de los archivos, los nombres de los archivos y los hashes asociados cambiarían en cada inicio de sesión de la computadora.
Los ataques comienzan con correos electrónicos no deseados que contienen documentos con armas, una vez que las víctimas ejecutaron las macros incrustadas, el código malicioso se conecta al dominio ssl-pert.com para descargar el instalador de Dridex.
“Dado que el correo electrónico es el punto de acceso inicial, los empleados son la primera línea de defensa contra esta amenaza. Espere que los departamentos financieros sean atacados por facturas no solicitadas que contengan macros maliciosas.» Algunos motores antivirus pudieron detectar (pero no especificar) el comportamiento sospechoso», concluye eSentire.
