Los investigadores de seguridad han encontrado un nuevo desarrollo con el troyano Dridex, esta vez detectando que los atacantes han reenfocado su objetivo en los bancos con sede en el Reino Unido donde se realizan transacciones de grandes cuentas comerciales.
Es casi como si los ataques realizados en las últimas semanas no fueran suficientes, donde un gran número de residentes en el Reino Unido fueron blanco de campañas de infección que siguieron al lanzamiento de una edición actualizada del troyano Dridex.
Ahora existe una fuerte creencia entre los investigadores de seguridad de que la versión más reciente del troyano Dridex utiliza una red de bots llamada Andromeda que trabaja para propagar las infecciones a través de una amplia gama de redes informáticas.
Al comienzo de las operaciones del troyano, solo unos pocos bancos se vieron afectados por la infección. Días después, la cantidad de bancos atacados por el troyano creció exponencialmente. No sorprende que los atacantes apuntasen a los bancos del Reino Unido, ya que se sabe que el troyano Dridex tiene una especial predilección por los objetivos de alto valor. En el caso de los bancos del Reino Unido, el troyano estaba interesado en los subdominios de acceso a cuentas empresariales y corporativas, según investigadores de IBM.
Al igual que con otras tácticas utilizadas por los atacantes, el troyano Dridex funciona para atraer a las víctimas potenciales para que hagan clic en un conjunto de facturas falsas que adoptan un formato de archivo de Microsoft Office para que el troyano se inicie a continuación.
Y luego, el troyano Dridex redirige a los usuarios a otro sitio web desde el legítimo cuando visitarían el sitio web de su banco. El objetivo es robar información sobre su inicio de sesión, como el nombre de usuario, la contraseña y la dirección de correo electrónico. Todo esto mientras las víctimas y los bancos involucrados no tienen la menor idea de lo que está sucediendo en el fondo.
El troyano Dridex lleva a las víctimas a un sitio comprometido a través del envenenamiento del DNS local en lugar de un proxy local, como los que utilizan otros troyanos. Sin embargo, no hay nada nuevo en esta técnica. Pero necesita una gran cantidad de preparación para funcionar. Esta preparación incluye desarrollar la réplica exacta de un sitio web, en este caso el sitio de un banco. Esto también requiere una gran inversión, ya que es necesario engañar a las víctimas objetivo.
Algunos investigadores de seguridad creen que los desarrolladores detrás de Dridex compraron réplicas de sitios del equipo de Dyre, otro grupo de piratas informáticos que inventó el troyano Dyre más antiguo. Se informó en el pasado que las autoridades gubernamentales del FBI, el Departamento de Justicia de EE. UU. Y la Agencia Nacional contra el Crimen del Reino Unido eliminaron una botnet asociada con Dridex. Pero parece que el troyano todavía está vivo hoy.
