Un análisis de la infraestructura de Dridex muestra cambios peligrosos, potencialmente en nuevos operadores.
Un nuevo análisis de los mecanismos de mando y control, del panel de ataque de Dridex muestra que el malware está siendo utilizado en una amplia gama de campañas maliciosas.
Buguroo proveedor de seguridad en España dice que recientemente fue capaz de aprovechar una debilidad en la infraestructura de Dridex para ganar visibilidad de cómo se está utilizando el software malicioso.
El análisis muestra que Dridex ya no se utiliza sólo para secuestrar sesiones de banca en línea con el fin de transferir dinero de la cuenta de la víctima a las cuentas fraudulentas, dice Pablo de la Riva Ferrezuelo cofundador de Buguroo.
Además de robar credenciales bancarias, el malware también se está utilizando para robar información de tarjetas de crédito a través de un mecanismo automático de sistema de transferencia, dice Ferrezuelo.
“Según el informe, las víctimas están en la mira de las empresas de todo el mundo, incluyendo América Latina y África. Esto es bastante nuevo, ya que las primeras versiones de Dridex se han centrado en los países de habla Inglesa como Australia, Reino Unido y los EE.UU.
Buguroo también señalo que la infraestructura de Dridex ahora se está utilizando para distribuir la muestra ransomware Locky.
La información recogida por Buguroo muestra que Dridex ha comprometido su sistema en más de 100 países y ha recogido datos de tarjetas de crédito que afectan a unas 900 organizaciones. La compañía dice que su revisión muestra que en un periodo de 10 semanas, los atacantes lanzaron varias campañas Dridex que potencialmente comprometían a más de 1 millón de tarjetas de crédito. El creciente número de víctimas en América Latina, Oriente Medio y África, sugieren que Dridex debe considerarse como una amenaza global.
Dridex cosechó atención por primera vez en 2014 cuando los investigadores informaron de una campaña masiva de phishing destinadas a las empresas pequeñas y medianas en el Reino Unido. La preocupación por este malware es que lo están utilizando para robar las credenciales que controlan el acceso a las cuentas de SMB con varios bancos específicos, lo que llevó rápidamente al FBI para emitir una advertencia instando a las organizaciones de los Estados Unidos para estar a la expectativa de la amenaza.
En octubre de 2015, las autoridades de los EE.UU y el Reino Unido anunciaron que habían interrumpido la operación Dridex y detuvieron a un ciudadano moldavo en relación con ellas, después de un gran esfuerzo de la colaboración entre la policía y empresas privadas en ambas lados del Atlántico. Pero menos de un mes más tarde, varios investigadores de seguridad informaron de un resurgimiento en las campañas relacionadas con Dridex.
“Según Ferrezuelo, la manera en que Dridex actualmente está siendo utilizado también es consistente con la manera en que otros grandes grupos cibernéticos han evolucionado sus estrategias.”
Fuente de la información: http://www.darkreading.com/
Deja una respuesta Cancelar la respuesta