Una nueva variante del malware bancario ruso, Dridex, ha puesto su mirada en el sistema operativo macOS de Apple utilizando un método de infección previamente no documentado, según las últimas investigaciones de la empresa de Ciberseguridad y venta de soluciones de seguridad, Trend Micro.
«Dridex ha adoptado una nueva técnica para entregar documentos incrustados con macros maliciosas a los usuarios sin tener que fingir ser facturas u otros archivos relacionados con el negocio«, dijo el investigador de Trend Micro, Armando Nathaniel Pedragoza, en un informe técnico.
Dridex, también llamado Bugat y Cridex, es un ladrón de información que se sabe que recopila datos confidenciales de máquinas infectadas y entrega y ejecuta módulos maliciosos. Se atribuye a un grupo de delitos electrónicos conocido como Evil Corp (también conocido como Indrik Spider).
El malware también se considera un sucesor de Gameover Zeus, en sí mismo un seguimiento de otro troyano bancario llamado Zeus. Las campañas anteriores de Dridex dirigidas a Windows han aprovechado los documentos de Microsoft Excel habilitados para macros enviados a través de correos electrónicos de phishing para implementar la carga útil.
El análisis de Trend Micro de las muestras de Dridex implica un archivo ejecutable de Mach-O, el primero de los cuales se envió a VirusTotal en abril de 2019. Desde entonces, se han detectado 67 artefactos más en la naturaleza, algunos tan recientes como diciembre de 2022.
El artefacto, por su parte, contiene un documento incrustado malicioso, detectado por primera vez en 2015, que incorpora una macro de apertura automática que se ejecuta automáticamente al abrir el documento.
Esto se logra sobrescribiendo todos los archivos «.doc» en el directorio de usuario actual (~/User/{nombre de usuario}) con el código malicioso extraído del ejecutable Mach-O en forma de volcado hexadecimal.
«Si bien la función de macro en Microsoft Word está deshabilitada de forma predeterminada, el malware sobrescribirá todos los archivos de documentos para el usuario actual, incluidos los archivos limpios«, explicó Pedragoza. «Esto hace que sea más difícil para el usuario determinar si el archivo es malicioso, ya que no proviene de una fuente externa«.
Las macros incluidas en el documento sobrescrito están diseñadas para ponerse en contacto con un servidor remoto para recuperar archivos adicionales, que incluye un archivo ejecutable de Windows que no se ejecutará en macOS, lo que indica que la cadena de ataque es un trabajo en progreso. El binario, a su vez, intenta descargar el payload Dridex en la máquina comprometida.
Si bien los documentos que contienen macros con trampas explosivas generalmente se entregan a través de ataques de ingeniería social, los hallazgos muestran una vez más que la decisión de Microsoft de bloquear macros de forma predeterminada ha llevado a los actores de amenazas a refinar sus tácticas y encontrar métodos de entrada más eficientes.
«Actualmente, el impacto en los usuarios de macOS para esta variante de Dridex se minimiza ya que la carga útil es un archivo .exe (y por lo tanto no es compatible con los entornos MacOS)«, dijo Trend Micro. «Sin embargo, todavía sobrescribe los archivos de documentos que ahora son los portadores de las macros maliciosas de Dridex«.
Ingeniero en Ciberseguridad por la Universidad Tecnológica de Chile, Speaker, Analista de Ciberinteligencia, Investigador y Redactor para CronUp Ciberseguridad.
