Blog

Dridex busca comprometer dispositivos macOS con un «nuevo» modus Operandi

Una nueva variante del malware bancario ruso, Dridex, ha puesto su mirada en el sistema operativo macOS de Apple utilizando un método de infección previamente no documentado, según las últimas investigaciones de la empresa de Ciberseguridad y venta de soluciones de seguridad, Trend Micro.

«Dridex ha adoptado una nueva técnica para entregar documentos incrustados con macros maliciosas a los usuarios sin tener que fingir ser facturas u otros archivos relacionados con el negocio«, dijo el investigador de Trend Micro, Armando Nathaniel Pedragoza, en un informe técnico.

Imagen: Trend Micro

Dridex, también llamado Bugat y Cridex, es un ladrón de información que se sabe que recopila datos confidenciales de máquinas infectadas y entrega y ejecuta módulos maliciosos. Se atribuye a un grupo de delitos electrónicos conocido como Evil Corp (también conocido como Indrik Spider).

El malware también se considera un sucesor de Gameover Zeus, en sí mismo un seguimiento de otro troyano bancario llamado Zeus. Las campañas anteriores de Dridex dirigidas a Windows han aprovechado los documentos de Microsoft Excel habilitados para macros enviados a través de correos electrónicos de phishing para implementar la carga útil.

Imagen: Trend Micro

El análisis de Trend Micro de las muestras de Dridex implica un archivo ejecutable de Mach-O, el primero de los cuales se envió a VirusTotal en abril de 2019. Desde entonces, se han detectado 67 artefactos más en la naturaleza, algunos tan recientes como diciembre de 2022.

El artefacto, por su parte, contiene un documento incrustado malicioso, detectado por primera vez en 2015, que incorpora una macro de apertura automática que se ejecuta automáticamente al abrir el documento.

Imagen: Trend Micro

Esto se logra sobrescribiendo todos los archivos «.doc» en el directorio de usuario actual (~/User/{nombre de usuario}) con el código malicioso extraído del ejecutable Mach-O en forma de volcado hexadecimal.

«Si bien la función de macro en Microsoft Word está deshabilitada de forma predeterminada, el malware sobrescribirá todos los archivos de documentos para el usuario actual, incluidos los archivos limpios«, explicó Pedragoza. «Esto hace que sea más difícil para el usuario determinar si el archivo es malicioso, ya que no proviene de una fuente externa«.

Las macros incluidas en el documento sobrescrito están diseñadas para ponerse en contacto con un servidor remoto para recuperar archivos adicionales, que incluye un archivo ejecutable de Windows que no se ejecutará en macOS, lo que indica que la cadena de ataque es un trabajo en progreso. El binario, a su vez, intenta descargar el payload Dridex en la máquina comprometida.

Si bien los documentos que contienen macros con trampas explosivas generalmente se entregan a través de ataques de ingeniería social, los hallazgos muestran una vez más que la decisión de Microsoft de bloquear macros de forma predeterminada ha llevado a los actores de amenazas a refinar sus tácticas y encontrar métodos de entrada más eficientes.

«Actualmente, el impacto en los usuarios de macOS para esta variante de Dridex se minimiza ya que la carga útil es un archivo .exe (y por lo tanto no es compatible con los entornos MacOS)«, dijo Trend Micro. «Sin embargo, todavía sobrescribe los archivos de documentos que ahora son los portadores de las macros maliciosas de Dridex«.

Artículos Relacionados

Protege tus aplicaciones Web y API

Accede a una evaluación completamente funciona

La primera solución completa que cubre los errores de seguridad y fallas de la lógica empresarial en todo el SDLC
Ir al Demo
Alerta Temprana de Riesgos Cibernéticos
Reduce tu ventana de exposición al riesgo a las amenazas externas, mejorando la eficiencia en la detección y respuesta ante ciberamenazas.
Más Info
Endpoint - Panda Security
Endpoint Protection Platform, EDR y Servicios de 100% Atestación y Threat Hunting integrado
Más Info

Últimos Artículos

Hablemos

Si tienes alguna duda o pregunta con nuestros servicios, puedes comunicarte directamente con nosotros o completar el formulario, y nos pondremos en contacto contigo en breve.

Email

contacto@cronup.com

Ubicación

Providencia, Santiago de Chile

Twitter

@Cronup_CyberSec

Linkedin

Cronup Ciberseguridad

CronUp Newsletter

Suscríbete a nuestro resumen semanal de noticias y alertas de seguridad para mantenerte actualizado sobre el panorama de amenazas en la región y el mundo.

* indicates required