TLP: AMBER
NIVEL DE RIESGO: [Alto]
Acción Requerida: Aplicar los indicadores de compromiso descritos en esta alerta en los dispositivos de seguridad de las organizaciones.
Vector de ataque: Correo electrónico.
Impacto: Robo de información confidencial.

Descripción

Un equipo de respuesta a incidentes de seguridad, detectó la distribución de una nueva variante del troyano bancario de nombre “Dridex” o también conocido como “Cridex” que afecta a usuarios con sistemas operativos Windows.

Dridex ha estado activo desde el 2011, y ha comprometido a organizaciones a lo largo de todo el mundo, de manera principal en España. Su método de distribución es por medio de campañas de spam y tiene como principal objetivo robar información confidencial, como son credenciales de acceso bancarias, datos de tarjetas de crédito y de otros servicios financieros.

A lo largo de los años, este programa malicioso ha sido actualizado por sus desarrolladores, aprovechándose de las noticias actuales para engañar a sus víctimas, debido a ello y a la implantación del trabajo de manera remota, se ha convertido en una de las mayores amenazas para el sector bancario.

Esta vez, la nueva variante del troyano, captura y filtra información confidencial de los equipos afectados, utilizando correos electrónicos con supuestos archivos de “Microsoft Excel” adjuntos. Estos documentos contienen macros embebidas y tienen como objetivo engañar a los usuarios para que descarguen el archivo, lo ejecuten y a su vez se instale el código malicioso Dridex. Una vez en el equipo, el programa captura la información, la cifra utilizando RC4 y la envía a un servidor Comando y Control (C2) del atacante.

Principalmente, se ha identificado que esta nueva variante tiene como objetivo recopilar información del equipo de la víctima y filtrar datos bancarios.

Nivel de riesgo

  • [Alto]

Sistemas/tecnologías afectadas:

  • Sistema Operativo Microsoft Windows.

Medidas de compromiso (IoCs)

A continuación, se listan los IoCs identificados hasta el momento, relacionados con la campaña reportada en esta alerta:

  • MD5:
    • 36d6caa7639fa761ec5408b1cdc8cad7
    • df7c6e463ce7c9180238705d216b1a69
  • SHA-1:
    • 18c80387be8a342467a6d126a4ba4f6b2ef64307
    • e040d36370fc9d5b0f7855d8747c29fa505bce84
  • SHA-256:
    • 519312a969094294202a2ebe197bb4c563ba506fffbd45000f0f9cc2923695ce
    • 3f5ac9186af10e92859996a4a778cd9c56828a68be6c8caa42bc449c745a8baa

Medidas de contención

  • Implementar los indicadores de compromiso compartidos en los dispositivos de seguridad que lo permitan considerando dispositivos como IDS, IPS, gestores de contenido, AV, EndPoint, firewall, DLP, etc.
  • Identificar los equipos internos que tengan actividad relacionada con los indicadores notificados y realizar un análisis a mayor profundidad.
  • Definir reglas basadas en listas blancas, que permitan únicamente conexiones autorizadas entrantes y salientes desde las plataformas tecnológicas.
  • Evitar descargar archivos adjuntos de correos electrónicos provenientes de remitentes desconocidos o sospechosos.
  • Mantener las firmas de los antivirus actualizadas para prevenir una posible infección.
  • Concientizar a usuarios finales respecto a este tipo de campañas.

Referencias