Descripción
Un equipo de respuesta a incidentes de seguridad, detectó la distribución de una nueva variante del troyano bancario de nombre “Dridex” o también conocido como “Cridex” que afecta a usuarios con sistemas operativos Windows.
Dridex ha estado activo desde el 2011, y ha comprometido a organizaciones a lo largo de todo el mundo, de manera principal en España. Su método de distribución es por medio de campañas de spam y tiene como principal objetivo robar información confidencial, como son credenciales de acceso bancarias, datos de tarjetas de crédito y de otros servicios financieros.
A lo largo de los años, este programa malicioso ha sido actualizado por sus desarrolladores, aprovechándose de las noticias actuales para engañar a sus víctimas, debido a ello y a la implantación del trabajo de manera remota, se ha convertido en una de las mayores amenazas para el sector bancario.
Esta vez, la nueva variante del troyano, captura y filtra información confidencial de los equipos afectados, utilizando correos electrónicos con supuestos archivos de “Microsoft Excel” adjuntos. Estos documentos contienen macros embebidas y tienen como objetivo engañar a los usuarios para que descarguen el archivo, lo ejecuten y a su vez se instale el código malicioso Dridex. Una vez en el equipo, el programa captura la información, la cifra utilizando RC4 y la envía a un servidor Comando y Control (C2) del atacante.
Principalmente, se ha identificado que esta nueva variante tiene como objetivo recopilar información del equipo de la víctima y filtrar datos bancarios.
Nivel de riesgo
- [Alto]
Sistemas/tecnologías afectadas:
- Sistema Operativo Microsoft Windows.
Medidas de compromiso (IoCs)
A continuación, se listan los IoCs identificados hasta el momento, relacionados con la campaña reportada en esta alerta:
- MD5:
- 36d6caa7639fa761ec5408b1cdc8ca
d7 - df7c6e463ce7c9180238705d216b1a
69
- 36d6caa7639fa761ec5408b1cdc8ca
- SHA-1:
- 18c80387be8a342467a6d126a4ba4f
6b2ef64307 - e040d36370fc9d5b0f7855d8747c29
fa505bce84
- 18c80387be8a342467a6d126a4ba4f
- SHA-256:
- 519312a969094294202a2ebe197bb4
c563ba506fffbd45000f0f9cc29236 95ce - 3f5ac9186af10e92859996a4a778cd
9c56828a68be6c8caa42bc449c745a 8baa
- 519312a969094294202a2ebe197bb4
Medidas de contención
- Implementar los indicadores de compromiso compartidos en los dispositivos de seguridad que lo permitan considerando dispositivos como IDS, IPS, gestores de contenido, AV, EndPoint, firewall, DLP, etc.
- Identificar los equipos internos que tengan actividad relacionada con los indicadores notificados y realizar un análisis a mayor profundidad.
- Definir reglas basadas en listas blancas, que permitan únicamente conexiones autorizadas entrantes y salientes desde las plataformas tecnológicas.
- Evitar descargar archivos adjuntos de correos electrónicos provenientes de remitentes desconocidos o sospechosos.
- Mantener las firmas de los antivirus actualizadas para prevenir una posible infección.
- Concientizar a usuarios finales respecto a este tipo de campañas.
Referencias
- https://www.fortinet.com/blog/
threat-research/hundreds-of- urls-inside-microsoft-excel- spreads-new-dridex-trojan- variant - https://www.muyseguridad.net/
2020/04/10/troyano-bancario- dridex/ - https://cepymenews.es/troyano-
agent-tesla-robar-contrasenas/ - https://www.osi.es/es/
servicio-antibotnet/info/ dridex - https://csirtasobancaria.com/
alertas-de-seguridad/campana- de-distribucion-de-nueva- variante-de-dridex