Nuevos indicadores de compromiso asociados al troyano bancario Dridex.
- Publicado: 09/12/2019
- Importancia: Media
- Recursos afectados
Dridex ha circulado desde el año 2012, sin embargo, se considera que hacia el 2015 tomó mayor relevancia y frecuencia, de tal manera que actualmente es considerado una de las fuentes de infección más utilizadas en el sector financiero. En su constante evolución Dridex ha utilizado varios exploits y métodos para la ejecución, y modificación de archivos de directorio, la recuperación del sistema para escalar privilegios y la modificación de las reglas de firewall para facilitar la comunicación entre pares para la extracción de datos.
Este troyano durante los últimos años ha tenido infinidad de modificaciones como también variantes dirigidas a los usuarios de internet, enfocando sus objetivos en el robo o secuestro de información por medio de trabajos conjuntos con ransomware, por ejemplo: Bitpaymer.
El principal vector de distribución de Dridex consiste en campañas de malspam, en estas se adjuntan documentos ejecutables o documentos office con macros maliciosas que al ejecutar infectan los equipos de los usuarios. Los actores distribuyen el malware enviando hasta millones de mensajes por día, aunque el volumen de mensajes varía ampliamente.
Este es un breve resumen por el equipo del CSIRT, para conocer el análisis, correlación, estrategias de mitigación y seguimiento a la alerta, sea miembro del CSIRT Financiero y contáctenos a través del correo [email protected]
- Etiquetas