profesionales de la seguridad de la información eran conscientes de Dridex troyano bancario desde 2014 y es todavía uno de los malware más sofisticado en su categoría.
reEl desarrollo de este malware continúa hasta el día de hoy.: nuevas versiones del troyano aparecen regularmente, con la liberación periódica de grandes cambios.A principios de junio 2019, experto en seguridad independiente brad Duncan descubierto una nueva versión de Dridex, que usó Lista blanca de aplicaciones para bloquear o deshabilitar elementos de Windows Script Host. de hecho, esto significa que el abuso de WMI (WMIC) permite a Malvare usar scripts XLS y eludir los mecanismos de defensa.
"De nota, los archivos DLL de Dridex son DLL de 64 bits que utilizan nombres de archivo cargados por EXE legítimos del sistema Microsoft Windows. Estas rutas de archivo, nombres de archivos, y los hashes SHA256 asociados cambian cada vez que la víctima inicia sesión en el host de Windows infectado”, — informó Brad Duncan.
ahora un mas reporte detallado sobre la nueva versión del troyano fue lanzada por expertos de la empresa eSentire. Los investigadores escriben que inicialmente, cuando se cargó una muestra en VirusTotal, solamente 6 fuera de 60 soluciones de protección “detectaron” malware en Dridex. a partir de julio 2, 2019, el número de detecciones aumentó a 46 fuera de 60.
Los analistas de eSentire escriben que una nueva variación de Dridex se distribuye a través de correos electrónicos no deseados con archivos adjuntos maliciosos.. Estos documentos contienen macros maliciosas, que puede desencadenarse por diversas interacciones con la víctima (todo depende del entorno específico del sistema).
“El malware se dirige a la información bancaria en el sistema de la víctima. Durante la ultima decada, Dridex se sometió a una serie de funciones de aumento, incluyendo una transición a scripts XML, algoritmos hash, cifrado de igual a igual, y cifrado de comando y control de igual a igual”, — informaron los especialistas de eSentire.
Expertos advierten que muchas soluciones antivirus pueden detectar comportamientos sospechosos de Dridex, pero no podrá determinar con precisión el problema. Ante los constantes cambios que se producen en la infraestructura troyana, El software antivirus basado en firmas puede ser inútil contra Dridex.
Dado el correo electrónico como punto de acceso inicial, los empleados son la primera línea de defensa contra esta amenaza. Espere que los departamentos financieros sean el objetivo de facturas no solicitadas que contienen macros maliciosas dentro.
