Nueva variante de troyano Dridex

• Publicado: 01/08/2019
• Importancia: Media

---

Recursos afectados

En el mes de junio se evidencio una campaña de phishing la cual distribuía Dridex/Cridex, en donde se identifica que utilizaba el método de phishing para su distribución adjuntando documentos Microsoft Word con macros incrustadas las cuales realizaban una conexión a un servidor de C&C (comando y control) para posteriormente realiza el robo de credenciales bancarios. Desde el CSIRT Financiero se logra identificar una nueva variante de Dridex (troyano bancario), la cual como método de propagación sigue utilizando phishing con un documento adjunto, pero está vez utiliza técnicas de enmascaramiento e inyección de código.

Dridex es un troyano bancario con objetivo principal de robo de credenciales bancarias, el cual utiliza macros en documentos Microsoft Word como método de infección, después de ser descargado el troyano se conecta con ubicaciones remotas para descargar un módulo de botnet y posterior a esto extraer información.

Se detecta una campaña de Phishing que distribuye el troyano bancario Dridex, la cual es catalogada como nueva variante, con capacidades adicionales como:

• Utiliza cinco tipos de inyección de código durante su ciclo de vida.
• Las técnicas de inyección de código las utiliza en los ejecutables legítimos de Windows, para ejecutarse como un proceso legítimo y eludir la detección por los antivirus.