Los autores de malware detrás del troyano bancario Dridex han estado ocupados en actualizar constantemente su software con nuevas capacidades y vectores de ataque. En el último mes, los investigadores de seguridad han descubierto dos nuevas cepas de malware: una de ellas es capaz de evitar la mitigación de las técnicas de inclusión en la lista de aplicaciones al deshabilitar o bloquear Windows Script Host, mientras que la segunda utiliza un nuevo método de ofuscación que le permite deslizarse por el anti- detección de virus
Dridex es un conocido troyano que se especializa en el robo de credenciales de banca en línea. Dridex apareció por primera vez como Cridex en 2011 y desde entonces ha sufrido una serie de transformaciones, que incluyen una transición a scripts XML, algoritmos de hash, cifrado de igual a igual y cifrado de igual a otro al comando y control.
Recientemente, los investigadores de eSentire detectaron correos electrónicos de phishing que distribuyeron una nueva cepa Dridex, que usa firmas de archivos que son más difíciles de detectar, lo que permite que el malware evada la detección cuando se encuentra en sistemas infectados.
«En el momento del descubrimiento, utilizando datos de VirusTotal, solo seis soluciones antivirus de aproximadamente 60 detectaron comportamientos sospechosos», dijeron los investigadores y agregaron que para el 27 de junio, el número de detecciones activas aumentó a 16 de 60.
El malware se entrega a las víctimas a través de un documento de phishing con macros incrustadas. Una vez que se descarga en el sistema, Dridex comienza a buscar información bancaria. Uno de los cambios más notables en la nueva variante es el uso de una técnica destinada a evitar la detección instalada en las soluciones antivirus del sistema.
El software antivirus se basa principalmente en firmas de archivos (hashes MD5 o SHA256) para detectar archivos maliciosos. Dridex aprovecha las bibliotecas de enlace dinámico (DLL) de 64 bits recién creadas y firmadas, que tienen diferentes firmas de archivos de versiones anteriores que han sido detectadas por software antivirus en el pasado.
«Estas DLL se cargan lateralmente a través de archivos binarios legítimos de MS Windows, lo que hace que parezcan ser parte de un producto de software legítimo y, por lo tanto, más difíciles de detectar», explicaron los investigadores.
Indicadores de Compromiso (IOCs):
- dominio: ssl-pert [.] com
- nombre de archivo ejecutable: servern.exe
- ejecutablemd5: 0a5c6944c3622a303803a058f85304b0
- documento maliciosomd5: 047e1d697768831a05f2c833b7fd3e25
Fuente: seguridadyfirewall.cl