La nueva versión del malware bancario Dridex evade antivirus

El famoso malware de robo de credenciales bancarias »Dridex» está de regreso con una nueva versión que logra evadir los software tradicionales de antivirus.

Dridex es un conocido troyano que se especializa en el robo de credenciales de banca online. Sus primeras apariciones fueron en 2014, y los desarrolladores del malware se han mantenido activos evolucionando constantemente las capacidades del software y los vectores de ataque.

En enero del año pasado, los investigadores de Forcepoint Security Labs descubrieron que Dridex había expandido su cadena de infección no solo dirigiéndose a los usuarios a través de campañas de phishing, sino también a través de sitios web FTP comprometidos.

La última cepa del malware fue detectada por primera vez por el investigador de ciberseguridad Brad Duncan, a principios de este mes. Según él, la nueva variante de troyano hace uso de una técnica de lista blanca de aplicaciones para bloquear elementos de Windows Script Host.

Al explotar lo que puede considerarse una protección de ejecución débil y políticas en la utilidad de línea de comandos WMI de Windows (WMIC), el malware puede emplear scripts XLS para evitar los esfuerzos de mitigación.

Dridex también ha incrementado su infraestructura de bibliotecas. El investigador de seguridad dice que los archivos Dridex DLL son DLL de 64 bits (con hash SHA256 asociados) que usan nombres de archivos que se cargan con los ejecutables legítimos de Windows. Sin embargo, los nombres de archivos y los hashes se actualizan y cambian cada vez que una víctima inicia sesión en un host de Windows infectado.

La firma de ciberseguridad eSentire dijo el jueves que la funcionalidad principal de Dridex ha recibido una actualización adicional y brindó detalles adicionales relacionados con la nueva cepa.

Una variante similar a la muestra de Duncan, cuando se cargó a VirusTotal, solo fue reconocida como malware por seis de las aproximadamente 60 soluciones antivirus.

La elusión de la detección por parte de sistemas basados en firmas es una preocupación, especialmente si se considera cuántos miembros del público en general confían únicamente en los programas antivirus tradicionales para proteger sus sistemas.

Sin embargo, a la fecha de ayer (27 de junio), el número de detecciones activas aumentó de 16 a 60, lo que quiere decir que los programas de antivuros están comenzando a actualizarse para incluir la última variante de Dridex .

Las pistas sobre la implementación de diferentes URL y directorios a lo largo de la última propagación del malware sugieren a eSentire que los actores de amenazas aún no han terminado, y es posible que «esta variante de Dridex continúe cambiando los indicadores a lo largo de la campaña actual».

«Algunos motores antivirus pudieron detectar (pero no especificar) el comportamiento sospechoso», agregaron los investigadores. «Dada la rápida rotación de la infraestructura y los indicadores, las soluciones antivirus basadas en firmas continuarán teniendo vacíos en toda la campaña de Dridex».