NUEVA ACTUALIZACIÓN DEL MALWARE DRIDEX

06/01/2022

BOLETÍN NRO 2022-013

Recientemente se ha detectado una nueva variante del malware bancario Dridex, que ha estado activo durante años. En esta nueva actualización, el ataque está dirigido a la plataforma MacOS, en la cual se han adoptado nuevas técnicas para entregar archivos maliciosos a la víctima.

Servicios Afectados

• Sistemas operativos Mac Os

Detalles Tecnicos

CVE: ---                                    Severidad:   ALTA

El malware primero busca archivos en el directorio del usuario actual (~/Usuario/{nombre de usuario}) que utilizan la extensión de archivo .doc usando el comando "find ~ -name '*.doc'". Luego, recorre cada archivo de documento (/) usando un bucle "for" y escribe el código malicioso a través del comando "echo '%s'" (donde %s es el código malicioso del segmento de datos). El archivo que sobreescribe tiene una firma de formato de archivo D0CF, lo que implica que es un documento de Microsoft.

Después, los archivos .doc afectados ahora contienen macros. Estas macros, en el módulo 1, crearán un archivo ejecutable en la carpeta temporal (TEMP) y luego lo ejecutarán. El malware utiliza la concatenación de cadenas como método para ocultar el nombre del ejecutable. En el módulo 2, contiene una rutina que descifra un conjunto de cadenas, que en este caso es una URL, y luego se conecta para recuperar un archivo mediante el comando "get". El malware utiliza un cifrado de cadenas para ocultar la URL maliciosa a la que se conecta. Para descifrarlo, llama la función RuBik(). En el módulo 3, escribe el contenido del archivo recuperado del módulo 2 en el archivo ejecutable creado en el módulo uno.

El contenido del archivo ejecutable descargado se encuentra en formato HTML, el cual intentará descargar el payload de Dridex.

Táctica IDENTIFICACIÓN Nombre Descripción Descubrimiento T1083 Descubrimiento de archivos y directorios Utiliza el comando de búsqueda para buscar archivos específicos dentro del sistema de archivos y ejecuta el comando de eco para sobrescribir archivos Ejecución T1204.002 Ejecución de usuario: archivo malicioso Requiere que la víctima ejecute el archivo de malware .out. Ejecución T1027 Archivos o información ofuscados Las partes de los archivos están codificadas para ocultar las cadenas de texto sin formato Ejecución T1059.005 Intérprete de comandos y secuencias de comandos: Visual Basic Utiliza macros para ejecutar cargas útiles Comando y control T1071.001 Protocolo de capa de aplicación: protocolos web Utiliza solicitudes HTTP GET para comunicarse con el servidor de comando y control (C&C) exfiltración T1041 Exfiltración sobre el canal C2 Envía datos al servidor C&C

Tabla 1: Procedimientos Mitre

Indicadores de Compromiso

URL

hxxp[:]//pr-clanky.kvalitne[.]cz/65y3fd23d/87i4g3d2d2[.]exe

Hash

MD5: 6a9b3de0b64f3420aa8c3ab502f89101

SHA-256: d670e8fe13668ec1c22f8867ee060a85a0cc5c7276bd7bf94eeaab2a721d0196

MD5: b24700e2f9570c227a333259a3d83fc1

SHA-256: 30d17933a6875cc6ffc813d6417b7375aa6cc413a8afa452a74dc4035203dbe8

MD5: 1cc15b42130a5ec4c3a5d399ea6233dc

SHA-256: 8e74d308629929f17ad1759da05863a87b7037a19bb72431b76dcf0aaab806cb

MD5: 236244800e8f00d98a30d7d073ca3b41

SHA-256: 70c7bf63bfe1fb83420905db6e65946d721e171db219034a52b27116795ae53e

Recomendaciones

Se recomienda a nuestros clientes que cuenten con los servicios que puedan verse afectados, seguir las siguientes acciones preventivas para reducir riesgos:

Para el personal de seguridad de información:

• Mantener un protocolo estricto para realizar copias de seguridad de los activos de información de mayor criticidad.

• Mantener un protocolo de actualizaciones estricto de sistemas operativos, antivirus y todas las aplicaciones que se ejecutan en ellos.
• Considerar deshabilitar PowerShell o monitorear su ejecución, evitando que pueda ser aprovechado por softwares maliciosos.
• Implementar filtrado y segmentación entre redes y utilizar principio de mínimo privilegios.

• Concientizar constantemente a los usuarios en temas relacionados a seguridad informática.

• Mantener el conocimiento situacional de las últimas amenazas y zonas vulnerables de la organización.

• Bloquear los indicadores de compromisos (IOC) mostrados, en los dispositivos de seguridad de su infraestructura.

** Antes de realizar el bloqueo de IoCs o aplicar actualizaciones es importante que previamente en ambiente de desarrollo se valide y confirme a nivel de servicios, con el propósito de aplicar los cambios de manera controlada.

Para usuarios finales:

• No abrir correos electrónicos de dudosa procedencia (remitente desconocido), ni dar clic en enlaces, ni descargar archivos adjuntos desconocidos.

• Escanear todo el software descargado de Internet antes de la ejecución.

• De detectar cualquier actividad anómala en su equipo reportarlo inmediatamente a los encargados de seguridad de la información de su institución.

Fuente

• Fuente 1: Dridex Malware Now Attacking macOS Systems with Novel Infection Method
• Fuente 2: Equipo de Anti-Fraude y Dark Web Intelligence SecureSoft

Contáctanos

Si usted tiene alguna consulta no dude en contactarse con nosotros: 

Perú:
Consultas técnicas: monitoreo_pe@securesoftcorp.com 
Consultas comerciales: ventas@securesoftcorp.com

Ecuador:
Consultas técnicas: monitoreo_ec@securesoftcorp.com
Consultas comerciales: ventas_ec@securesoftcorp.com

Colombia:
Consultas técnicas: monitoreo_co@securesoftcorp.com
Consultas comerciales: ventas_co@securesoftcorp.com

Chile:
Consultas técnicas: monitoreo_cl@securesoftcorp.com
Consultas comerciales: ventas_cl@securesoftcorp.com

​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​