El malware Dridex vuelve a aparecer y dirige su atención a macOS

Los evaluadores de malware detectan un intento de ataque a las Mac. Pero (trate de no llorar por los malos) todavía hay problemas de compatibilidad con los archivos MS exe

Una variante del centavo malo que es Dridex el malware de propósito general que ha existido durante años, ahora tiene plataformas macOS en la mira y una nueva forma de entregar macros maliciosas a través de documentos.

La primera muestra de esta última variante apareció en Virus Total en 2019, pero las detecciones comenzaron a aumentar un año después y alcanzaron su punto máximo en diciembre de 2022 según los investigadores de amenazas de Trend Micro.

Sin embargo, mientras que la variante Dridex tiene sistemas macOS en la mira, la carga útil maliciosa que entrega es un archivo exe de Microsoft, que no se ejecutará en un entorno MacOS.

“Es posible que la variante que analizamos todavía esté en las etapas de prueba y aún no se haya convertido completamente para funcionar en máquinas basadas en MacOS”, escribe en un informe el analista de amenazas de Trend Micro, Armando Nathaniel Pedragoza .

Sin embargo, Pedragoza señaló que la variante sobrescribe los archivos de documentos que luego contienen las macros maliciosas de Dridex y agregó que “es posible que los actores de amenazas detrás de esta variante implementen modificaciones adicionales que la hagan compatible con MacOS”.

Dridex comenzó como un troyano bancario dirigido a los sistemas Windows y ha evolucionado a lo largo de los años para incluir capacidades de botnet y robo de información. También ha mostrado mucha resiliencia. Básicamente, el FBI lo eliminó en 2015 y cuatro años después, EE. UU. ofreció una recompensa de $ 5 millones por dos ciudadanos rusos acusados ​​​​de estar vinculados al grupo de amenazas Evil Corp que estaba detrás de Dridex y Zeus otro malware bancario.

Según los investigadores de Check Point, Dridex todavía se usa con mayor frecuencia como un troyano contra las instituciones financieras; fue la cuarta variante de malware más frecuente en 2021 escribieron el año pasado pero continúa evolucionando lo que ha ayudado a mantener su relevancia en la escena como ciberamenaza.

Por ejemplo una nueva variante en septiembre de 2021 amplió las capacidades de robo de información y se usó en una campaña de phishing que entregó documentos de Excel maliciosos. Dridex también estuvo entre los principales programas maliciosos que abusaron de la vulnerabilidad generalizada Log4j en diciembre de 2021 según Check Point.

“A pesar de su antigüedad, se sigue utilizando y, de hecho, ha visto muchas mejoras a lo largo de los años”, escribe Pedragoza de Trend Micro. “Su punto de entrada al sistema del usuario ha sido tradicionalmente a través de archivos adjuntos de correo electrónico, pero esta entrada de blog ilustra que los actores maliciosos que usan Dridex también están tratando de encontrar nuevos objetivos y métodos de entrada más eficientes”.

Al igual que otros programas maliciosos, Dridex generalmente entrega documentos que llevan macros maliciosas al sistema de la víctima a través de archivos adjuntos de correo electrónico que parecen archivos de documentos normales escribió. La muestra investigada por Trend Micro viene en formato de archivo de objeto Mach (Mach-o), un formato de archivo en macOS.

Una vez dentro, la carga útil se ensambla y el malware busca archivos con extensiones .doc y los sobrescribe con el código malicioso. El código sobrescrito tiene una firma de formato de archivo D0CF, lo que implica que es un archivo de documento de Microsoft, escribió Pedragoza.

Además, los archivos .doc afectados contienen macros y componentes sospechosos. Un objeto incluye la macro de apertura automática que llama a las funciones maliciosas, que parecen funciones normales con nombres regulares. El malware también utiliza el cifrado básico de cadenas para ocultar la URL maliciosa a la que se conecta para recuperar un archivo.

El verano pasado Microsoft bloqueó las macros de Visual Basic para aplicaciones (VBA) en los documentos de Office descargados como predeterminados para cerrar esa ruta utilizada por los malhechores. A pesar de esto, el malware en la variante Dridex “sobrescribirá todos los archivos de documentos del usuario actual, incluidos los archivos limpios”, escribió. “Esto hace que sea más difícil para el usuario determinar si el archivo es malicioso, ya que no proviene de una fuente externa”.

La variante de Dridex puede no ser una amenaza inmediata significativa para los sistemas macOS pero las capacidades que contiene implican que esa es la dirección en la que se dirigen los operadores.

“Actualmente, el impacto en los usuarios de macOS para esta variante de Dridex se minimiza, ya que la carga útil es un archivo exe (y por lo tanto no es compatible con los entornos de MacOS)”, escribe Pedragoza. “Sin embargo aún sobrescribe los archivos de documentos que ahora son los portadores de las macros maliciosas de Dridex”.

Fuente: https://www.theregister.com/2023/01/06/dridex_macos_microsoft_malware/