El documento habla sobre el malware Dridex, el cual se distribuye a través de correos electrónicos fraudulentos con archivos adjuntos maliciosos. Una vez abierto el archivo, Dridex descarga malware desde sitios web comprometidos e infecta el sistema para robar información bancaria de la víctima. Se recomienda tomar precauciones como no abrir archivos de remitentes desconocidos y establecer contraseñas seguras.
1. WEBIMPRINTS
Empresa de pruebas de penetración
Empresa de seguridad informática
http://www.webimprints.com/seguridad-informatica.html
Dridex Malware
2. Dridex Malware
Según Webimprints una empresa de pruebas de
penetración que el malware dridex envía el spam de correo
electrónico que incluye un documento escaneado. Sin
embargo, el .doc incluido contiene macros, que, una vez
visitada, intentará descargar la información del banco en
línea y contactar con el servidor de malware.
Estos son los contenidos del correo electrónico:
De: [spoofed / fake return address]
Tema: Scanned from a Xerox Multifunction Printer
Contenido:
Please open the attached document. It was scanned and
sent to you Using a Xerox Multifunction Printer.
Tipo de Archivo adjunto: DOC, Multi-Page
Multifunction Printer Location:
Device Name: XRX9C934E5EEC46
For more information on Xerox products and solutions, please
visit http://www.xerox.com
Attached:
Scanned from a Xerox Multifunction Printer.doc
3. Según expertos deempresa de pruebas de penetración en
México, si se abre el documento, utilizará macros para
recuperar Dridex malware de los siguientes lugares.
hxxp: // tgequestriancentre [.] co.uk/708/346.exe
hxxp: // sudburyhive [.] org / 708 / 346.exe
hxxp: // werktuigmachines [.] be / 708 / 346.exe
hxxp: // colchester-institute [.] com / 708 / 346.exe
Estas son las páginas web comprometidas que tienen Dridex
Malware.
El malware Dridex se ejecuta en la memoria, sin entrar en el
disco duro. Esto reduce la huella de la carga útil en el
sistema del usuario y proporciona una tasa de detección
muy bajo de los productos de seguridad tradicionales, como
el antivirus.
Como funciona Dridex Malware
4. Comenta Mike Stevens profesional de empresa de seguridad
informática que En el siguiente paso, Dridex pone en contacto
con una serie de servidores C & C para entregar los datos del
banco recolectados del sistema de la víctima.
Dridex luego escribe las siguientes datablobs (Binary Large
Objects) en el registry:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVers
ionExplorerCLSID{91179CCE-14A2-1D89-01D5-
125992394513}ShellFolder
01D3A3627F1088934 “=
hex:90,77,a9,7c,3c,f2,f0,e5,46,1c,c3,7b,fd,97,c1,19,aa,ce,1f,c5,2
f,51,80,82,3a,7f,ec,
26,a9,83,df,19,aa,d7,12,cd,2f,51,83,cc,6e,38,e3,09,ea,d9,44,13,5
c,57,81,ce,ec,89,a1,
9b,d1,dc,ab,58,05,37,8b,62,0c,50,0e,bd [..]
Hay numerosas subfunciones que hacen Dridex una infección
peligrosa para la mayoría de las empresas y usuarios
individuales con acceso a la banca en línea.
Como funciona Dridex Malware
5. Comenta Mike Stevens de empresas de seguridad informática
que aconsejamos a los usuarios de banca online a tomar todas
las medidas de seguridad necesarias para garantizar la
protección de los datos confidenciales y los recursos financieros.
Tenga en cuenta que:
• Utilice sitios web seguros cuando se ejecutan las transacciones
financieras.
•Nunca descargue archivos adjuntos de correo electrónico de
remitentes desconocidos
•Establecer contraseñas seguras para las cuentas de banca en
línea y utilizar la autenticación de 2 pasos cuando sea posible.
Dridex Malware