Dridex, el troyano bancario que regresa para explotar FTP comprometidos

Investigadores de Forcecoint han detectado una campaña de correo electrónico para la distribución del troyano bancario Dridex con la peculiaridad de que, en lugar de enlaces web maliciosos, está explotando sitios FTP comprometidos.

También puedes leer... Todo lo que necesitas saber sobre Spectre y Meltdown Los cinco grandes mitos de las Brechas de Seguridad Consideraciones para la creación de un SOC Cómo utilizar la Dark Web para la inteligenciad de amenazas

Dridex es uno de los troyanos bancarios más populares. Activo desde hace varios años, sus creadores innovan constantemente, adoptando nuevas técnicas y mejorando el malware para que sea más eficaz. El objetivo de Dridex es el robo de credenciales de banca online para llevar a cabo fraude bancario.

Los ciberdelincuentes utilizan dos tipos de documentos maliciosos para realizar la entrega del malware. Por una parte, un documento de Word que abusa del intercambio dinámico de datos (DDE) para la ejecución de malware y un archivo XLS con código de macro.
Los servidores comprometidos de los que se abusa en esta campaña no parecen estar ejecutando el mismo software de FTP, y los investigadores de seguridad creen que los atacantes obtuvieron las credenciales de inicio de sesión como parte de otros ataques.

Explica Forcepoint en su blog que una cuenta comprometida puede ser abusada varias veces por diferentes actores, siempre y cuando las credenciales sigan siendo las mismas, ampliando el potencial de daño. “Los responsables de la campaña no parecen estar preocupados por exponer las credenciales de los sitios FTP que explotan, lo que podría exponer los sitios ya comprometidos a otros abusos por parte de otros grupos", dijeron. Y sugieren que este comportamiento puede deberse a que los responsables de la campaña tienen tal cantidad de cuentas comprometidas, que ven estos activos como desechables.

Destacar también que los correos electrónicos enviados en esta campaña parecen provenir de la botnet Necurs, actualmente considerada la botnet de spam más grande que existe. Esta afirmación procede del hecho de que los dominios utilizados para la distribución ya figuraban en los registros de Forcepoint como dominios comprometidos utilizados en campañas anteriores de Necurs, y los descargadores de documentos son similares a los utilizados por Necurs en el pasado. Las ubicaciones de descarga del archivo XLS también siguen el formato tradicional Necurs. A esto se suma que ya se sabe que Necurs es uno de los responsables de la distribución de Dridex.