Una variante del infame malware bancario Dridex ha puesto su mira en el sistema operativo macOS de Apple utilizando un m\u00e9todo de infecci\u00f3n previamente no documentado, seg\u00fan las \u00faltimas investigaciones.<\/p>\n
Ha “adoptado una nueva t\u00e9cnica para entregar documentos incrustados con macros maliciosas a los usuarios sin tener que pretender ser facturas u otros archivos relacionados con el negocio”, dijo el investigador de Trend Micro, Armando Nathaniel Pedragoza. dicho<\/a> en un informe t\u00e9cnico.<\/p>\n Dridex, tambi\u00e9n llamado Bugat y Cridex, es un ladr\u00f3n de informaci\u00f3n conocido por recopilar datos confidenciales de m\u00e1quinas infectadas y entregar y ejecutar m\u00f3dulos maliciosos. Se atribuye a un grupo de delincuencia electr\u00f3nica conocido como Evil Corp (tambi\u00e9n conocido como Indrik Spider).<\/p>\n El malware tambi\u00e9n se considera un sucesor de Gameover Zeus, en s\u00ed mismo una continuaci\u00f3n de otro troyano bancario llamado Zeus. Las campa\u00f1as anteriores de Dridex dirigidas a Windows han aprovechado los documentos de Microsoft Excel habilitados para macros enviados a trav\u00e9s de correos electr\u00f3nicos de phishing para implementar la carga \u00fatil.<\/p>\n El an\u00e1lisis de Trend Micro de las muestras de Dridex implica una Macho<\/a> archivo ejecutable, el primero de los cuales se envi\u00f3 a VirusTotal en abril de 2019. Desde entonces, se han detectado 67 artefactos m\u00e1s en la naturaleza, algunos tan recientes como en diciembre de 2022.<\/p>\n El artefacto, por su parte, contiene un documento incrustado malicioso: detectado por primera vez<\/a> all\u00e1 por 2015, que incorpora un Macro de apertura autom\u00e1tica<\/a> que se ejecuta autom\u00e1ticamente al abrir un documento de Word.<\/p>\n Adem\u00e1s, el ejecutable de Mach-O est\u00e1 dise\u00f1ado para buscar y sobrescribir todos los archivos “.doc” en el directorio de usuario actual (~\/User\/nombre de usuario) con el c\u00f3digo de macro malicioso copiado del documento incrustado en forma de hexadecimal. vertedero.<\/p>\n “Si bien la funci\u00f3n de macros en Microsoft Word est\u00e1 deshabilitada de forma predeterminada, el malware sobrescribir\u00e1 todos los archivos de documentos del usuario actual, incluidos los archivos limpios”, explic\u00f3 Pedragoza. “Esto hace que sea m\u00e1s dif\u00edcil para el usuario determinar si el archivo es malicioso, ya que no proviene de una fuente externa”.<\/p>\n Las macros incluidas en el documento sobrescrito est\u00e1n dise\u00f1adas para ponerse en contacto con un servidor remoto para recuperar archivos adicionales, que incluye un archivo ejecutable de Windows que no se ejecutar\u00e1 en macOS, lo que indica que la cadena de ataque podr\u00eda ser un trabajo en progreso. El binario, a su vez, intenta descargar el cargador Dridex en la m\u00e1quina comprometida.<\/p>\n Si bien los documentos que contienen macros con trampas explosivas generalmente se entregan a trav\u00e9s de ataques de ingenier\u00eda social, los hallazgos muestran una vez m\u00e1s que la decisi\u00f3n de Microsoft de bloquear las macros de forma predeterminada ha llevado a los actores de amenazas a refinar sus t\u00e1cticas y encontrar m\u00e9todos de entrada m\u00e1s eficientes.<\/p>\n “Actualmente, el impacto en los usuarios de macOS para esta variante de Dridex se minimiza, ya que la carga \u00fatil es un archivo .EXE (y, por lo tanto, no es compatible con los entornos de macOS)”, dijo Trend Micro. “Sin embargo, a\u00fan sobrescribe los archivos de documentos que ahora son los portadores de las macros maliciosas de Dridex”.<\/p>\n <\/p>\n![\"\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/01\/1673026477_494_El-malware-Dridex-ahora-ataca-los-sistemas-macOS-con-un.png\")
<\/div>\n