Estafa de tarjetas de regalo de Amazon ofrece Dridex en estas fiestas …



Los operadores de Dridex lanzan una estafa de ingeniería social que promete a las víctimas una tarjeta de regalo de $ 100 pero entrega un troyano bancario.

Los operadores detrás de Dridex tienen un truco nefasto bajo la manga esta temporada navideña: una estafa de phishing generalizada promete a las víctimas una tarjeta de regalo de Amazon de $ 100, pero en su lugar entrega el prolífico troyano bancario a las máquinas objetivo.

Esta campaña apareció por primera vez alrededor de Halloween y se reanudó a principios de noviembre, informa el equipo de Cybereason Nocturnus. La mayoría de los objetivos provienen de los Estados Unidos y Europa occidental, donde Amazon es muy well known y es más possible que las personas caigan en una estafa como esta, especialmente en un momento en que las compras en línea y los obsequios son más frecuentes debido al COVID-19.

Las víctimas reciben un correo electrónico que dice estar entregando un regalo de Amazon: «Estamos encantados de adjuntar una tarjeta de regalo de Amazon de $ 100 como nuestra forma de agradecer», dice un mensaje de muestra. Los investigadores encontraron que la mayoría de los correos electrónicos pretenden provenir de Amazon, aunque la redacción exacta puede variar.

Este correo electrónico solicita a su destinatario que descargue una tarjeta de regalo, lo que conduce a la infección por Dridex a través de uno de tres métodos diferentes.

El primer vector de entrega es un documento de Word malicioso con una variación de «tarjeta de regalo» en el nombre del archivo. Este archivo solicita a la víctima que haga clic en «habilitar contenido», que ejecuta las macros. Esta es una técnica común utilizada en ataques de phishing las macros incrustadas suelen estar deshabilitadas de forma predeterminada.

Si un usuario habilita el contenido, se ejecuta un archivo VBScript ofuscado. La macro en sí contiene un script de PowerShell codificado en base64 y ofuscado que abre una ventana emergente con un mensaje de mistake falso. Esto engaña al usuario haciéndole pensar que hubo un mistake mientras la macro se ejecuta en segundo plano. PowerShell se conecta al servidor de comando y manage (C2) y entrega la carga útil de Dridex.

El segundo vector de entrega involucra archivos de salvapantallas (SCR), que también son populares entre los atacantes. Estos permiten a los delincuentes eludir los filtros de correo electrónico basándose únicamente en la extensión del archivo, así como agrupar varios componentes, ya que los archivos SCR eventualmente son archivos de ejecución automática.

«Pueden ejecutar y ejecutar cualquier tipo de código además del protector de pantalla en sí», explica Assaf Dahan, líder de investigación de amenazas en Cybereason. «Así que tienen el potencial de ser maliciosos y también explotan esto … para evadir ciertos productos de seguridad o application de detección de correo electrónico».

En esta campaña, los archivos SCR tienen convenientes iconos y convenciones de nomenclatura con temas de Amazon, señalan los investigadores en un redacción de sus hallazgos. Uno de los archivos contiene un VBScript, un archivo, una utilidad para extraerlo y un archivo por lotes.

El tercer método de entrega es un archivo VBScript sencillo que se descarga a través de un enlace malicioso en el cuerpo del correo electrónico. Tiene aproximadamente 2 MB de tamaño debido a un archivo incluido, dicen los investigadores.

El uso de Dridex de estas técnicas no es inusual, dice Dahan. Las tácticas en sí mismas han demostrado ser efectivas durante años y una variedad de infecciones aumenta la probabilidad de ataques exitosos.

«Es principalmente la notion de no poner todos los huevos en una canasta», explica. «Si una técnica es detectada por un determinado producto de seguridad o filtro de correo electrónico, todavía tendrán otras opciones, por lo que no agotará toda su operación».

Algunos dispositivos corporativos tienen políticas de seguridad para bloquear la habilitación de macros, por ejemplo, y esto interrumpiría el primer método de ataque.

Una sorpresa navideña desagradable
Dridex es un conocido troyano bancario que ha estado activo en diferentes variantes desde 2012, informa el equipo de Cybereason. Es un malware evasivo que roba credenciales bancarias y otros datos confidenciales, con una infraestructura C2 resistente en la que los servidores actúan como copias de seguridad entre sí.

Evil Corp, el grupo de ataque detrás de Dridex, gana mucho dinero en ataques como estos. Si bien no está robando fondos directamente, está obteniendo acceso, credenciales y otra información valiosa que puede vender en la Dim Net. Sus estafas causan una gran interrupción tanto a las personas como a las empresas.

«Cuando hay fraude, hay muchos daños colaterales», señala Dahan. «No solo cuesta a las víctimas, que pueden perder dinero o pueden perder información confidencial, sino que también está el costo para las empresas que necesitan reembolsar a sus clientes o invertir tiempo, dinero y esfuerzo en investigaciones y mitigaciones».

La amenaza para las máquinas corporativas es alta, señala. Una vez que Dridex aterriza en un dispositivo, podría robar propiedad intelectual, credenciales de administrador y otros datos que podrían escalar el ataque de un incidente de malware básico a una operación de piratería en toda regla, dice Dahan.

Cuando se le pregunta cómo los empleados pueden protegerse de la amenaza, su primer consejo es easy: «Simplemente use el sentido común», dice. «No hay regalos gratis. Si alguien te ofrece un regalo free of charge, es probable que no esté haciendo nada bueno». Las víctimas simplemente deben ignorar o eliminar el correo electrónico.

Los destinatarios escépticos deben comprobar el correo electrónico del remitente A menudo, en estos ataques, la dirección intentará parecerse al nombre de la empresa falsificada, pero puede contener errores tipográficos o caracteres innecesarios. Busque errores gramaticales o lenguaje que parezca extraño proveniente de Amazon o cualquier proveedor de servicios importante, agrega Dahan. Si hace clic en un enlace y se le solicita que ingrese las credenciales, cierre la página. El mismo consejo se aplica a la habilitación de macros.

«Eso es lo último que debes hacer», advierte Dahan. «No debe habilitar ese contenido porque al habilitar el contenido permitirá que se ejecute código malicioso en su máquina».

Kelly Sheridan es la editora de own de Darkish Looking at, donde se enfoca en noticias y análisis de ciberseguridad. Es una periodista de tecnología empresarial que anteriormente reportó para InformationWeek, donde cubrió Microsoft, y Seguros y tecnología, donde cubrió finanzas … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia unique