Investigadores de seguridad identificaron el resurgimiento de la botnet Dridex unos meses después de que un esfuerzo internacional de entidades de procuración de justicia diera de baja la botnet especializada en robo de información bancaria y otras credenciales, además de apresar a uno de sus administradores.

De acuerdo a Pat Belcher, investigador de la firma de seguridad Invincea, se identificaron documentos maliciosos dirigidos a víctimas de habla hispana y francesa, entre los documentos identificados se encuentran notificaciones de mensajes de voz de RingCentral, hojas de rastreo de envíos, entre otros. Todos los documentos incluyen variantes de Dridex.

La investigación muestra que desde el 22 de octubre se detectaron 60 usuarios franceses infectados con esta nueva oleada de troyanos, ellos recibieron documentos de Microsoft Office que se hacían pasar por notificaciones de tiendas departamentales u hoteles.

En esos ataques, las variantes de Dridex fueron firmadas con certificados digitales emitidos por Comodo, por lo que las víctimas que aceptan archivos ejecutables firmados tuvieron mayor riesgo de infección. Además los documentos maliciosos, utilizaban métodos de evasión de detección en red y sandbox, ya que el malware era construido directamente en el equipo de la víctima y no descargado de Internet.

De acuerdo a Belcher, a pesar de los esfuerzos de las entidades de procuración de justicia, quienes dieron un duro golpe a los operadores de la botnet en agosto de este año, es probable que surjan nuevas bandas que utilicen variantes de Dridex para formar botnets.

"Una vez que las cosas se calmaron, otras bandas de Dridex se apresuraron a llenar el vacío, utilizando documentos maliciosos para propagar el malware gracias a la facilidad de uso al crear y administrar nuevas botnets. El código de Dridex está disponible en sitios como Pastebin y puede considerarse modular. Los cibercriminales sólo necesitan editar un archivo, crear un nuevo binario que evada antivirus tradicionales y presionar el botón de enviar para (atacar) a sus objetivos de phishing y spam."

El éxito de estos ataques radica en que usuario recibe por correo electrónico documentos que no están dirigidos a su persona. Si la curiosidad puede más que el sentido común, la infección tiene alta probabilidad de realizarse. La mejor contra medida a estos ataques es nunca abrir o ejecutar archivos adjuntos de remitentes desconocidos o de mensajes no solicitados, así como crear conciencia de la importancia de la seguridad de la información en las organizaciones.