Dridex Troyano se propaga a través de macros en archivos XML

No hace mucho tiempo, los delincuentes detrás del troyano bancario Dridex estaban utilizando documentos de Microsoft Excel contaminado con una macro malicioso como anzuelo para atraer a las víctimas de phishing a cargar el software malicioso en sus máquinas.

A pesar de que las macros están desactivados por defecto dentro de la mayoría de las organizaciones, los hackers siguen siendo persistentes en ella, esta vez usando archivos XML como un anzuelo.

Investigadores de Trustwave informan que en los últimos días, varios cientos de mensajes han sido acorralados que están tratando de explotar la confianza de los usuarios en los documentos de Office con alguna ingeniería social inteligente arrojados a la mezcla en un intento de convencer a los usuarios para habilitar las macros y así descargar el malware bancario en sus equipos.

Los archivos XML se pasan aparentando un “aviso de pago”, o notificaciones de pago, con la esperanza de que algunos usuarios crean que es un archivo de texto inocente y ejecutar el código malicioso.

“Los archivos XML son el antiguo formato binario para documentos de Office y una vez que se hace doble clic en ellos para abrir el archivo asociado con Microsoft Word y abre”, dijo Karl Sigler, gerente de inteligencia de amenazas de Trustwave. La macro malicioso se comprime y codifica en Base64 con el fin de colarse a través de la tecnología de detección, dijo Sigler, quien agregó que los atacantes también han incluido un pop-up con las instrucciones para el usuario sobre cómo habilitar las macros con un lenguaje que hace hincapié en las macros deben estar habilitadas para el factura verá correctamente o para garantizar la seguridad adecuada. “Qué es exactamente lo contrario de lo que esto hace”, dijo Sigler. “No parece ser tan sofisticado”. O bien están tratando de sacar provecho de la confianza del usuario en archivos XML, o el hecho de que un usuario no puede ser tan familiarizados con lo que es esa extensión.”
Si el usuario llega a ejecutar el malware, Dridex se comporta como la mayoría de los troyanos bancarios. Se queda silenciosamente a la espera de que el usuario visite un sitio de banca en línea y luego inyecta código en el sitio del banco con el fin de capturar las credenciales del usuario para su cuenta en línea.
Sigler dijo que esta es la primera vez que se han localizado documentos XML que se utilizan como anzuelo. En cuanto a las macros, estas han sido desactivados por defecto desde Office 2007.
“A veces en las grandes organizaciones, los administradores locales tienen la posibilidad de habilitar macros”, dijo Sigler. “Algunas organizaciones los utilizan un poco, pero no es común. La mayoría de la gente deja la configuración predeterminada. Es difícil decir por qué estos chicos se mudaron a XML. Podría ser que están buscando un nuevo vector de ataque y que no estaban obteniendo buenos porcentajes de clics con los documentos de Excel. Tal vez no estaban consiguiendo que la gente habilitara las macros de la manera que esperaban y que están buscando una manera de mejorar su tasa de éxito “.
Dridex es un descendiente de Cridex y pertenece a la familia GameOver Zeus. GameOver Zeus ha sido utilizado durante años con un gran beneficio, especialmente a través de fraude electrónico. Utiliza una arquitectura peer-to-peer para difundir y enviar mercancías robadas, optando por renunciar a un sistema centralizado de control y comando. Técnicas de P2P y algoritmo de generación de dominio hacen que los botnet sean mas difícil de desarticular y extienden la vida útil de estos sistemas de malware. La campaña anterior de Dridex dirigido a los clientes de banca del Reino Unido con los mensajes de spam falsos de empresas populares, ya sea locales o activas en el Reino Unido. El spam  utilizando macros inicio en octubre y continuo hasta mediados de diciembre; los mensajes contenían adjuntos maliciosos que hacían pasarse por facturas de una serie de fuentes, incluyendo las compañías navieras, minoristas, empresas de software, instituciones financieras y otros.
Con información de The Hacker Herald

Leave a Reply