.
Uma variante do centavo ruim que é o Dridex, o malware de uso geral que existe há anos, agora tem plataformas macOS em sua mira e uma nova maneira de fornecer macros maliciosas por meio de documentos.
A primeira amostra dessa variante mais recente apareceu no Virus Total em 2019, mas as detecções começaram a aumentar um ano depois e atingiram o pico em dezembro de 2022, de acordo com pesquisadores de ameaças da Trend Micro.
No entanto, embora a variante Dridex tenha sistemas macOS em vista, a carga maliciosa que ela oferece é um arquivo exe da Microsoft, que não será executado em um ambiente MacOS.
“É possível que a variante que analisamos ainda esteja em fase de teste e ainda não tenha sido totalmente convertida para funcionar em máquinas baseadas em MacOS”, escreveu Armando Nathaniel Pedragoza, analista de ameaças da Trend Micro, em um relatório. relatório.
No entanto, Pedragoza observou que a variante substitui os arquivos de documentos que carregam as macros maliciosas do Dridex, acrescentando que “é possível que os agentes de ameaças por trás dessa variante implementem outras modificações que a tornarão compatível com o MacOS”.
O Dridex começou como um trojan bancário direcionado aos sistemas Windows e, ao longo dos anos, evoluiu para incluir recursos de botnet e roubo de informações. Também mostrou muita resiliência. Foi essencialmente derrubado pelo FBI em 2015 e quatro anos depois os EUA colocaram US $ 5 milhões recompensa em dois cidadãos russos acusados de estarem ligados ao grupo de ameaças Evil Corp, que estava por trás do Dridex e do Zeus, outro malware bancário.
De acordo com os pesquisadores da Check Point, o Dridex ainda é usado com mais frequência como um trojan contra instituições financeiras – foi a quarta variante de malware mais prevalente em 2021, eles escrevi ano passado – mas continua a evoluir, o que ajudou a mantê-lo relevante no cenário de ameaças cibernéticas.
Por exemplo, uma nova variante em setembro de 2021 expandiu os recursos de roubo de informações e foi usada em uma campanha de phishing que entregava documentos maliciosos do Excel. O Dridex também estava entre os principais malwares que abusavam do amplo Log4j vulnerabilidade em dezembro de 2021, de acordo com a Check Point.
“Apesar de sua idade, ele continua a ser usado e, de fato, tem visto muitos aprimoramentos ao longo dos anos”, escreve Pedragoza, da Trend Micro. “Seu ponto de entrada no sistema do usuário tem sido tradicionalmente por meio de anexos de e-mail, mas esta entrada de blog ilustra que os agentes mal-intencionados que usam o Dridex também estão tentando encontrar novos alvos e métodos de entrada mais eficientes”.
Como outros malwares, o Dridex normalmente entrega documentos que carregam macros maliciosas para o sistema da vítima por meio de anexos de e-mail que se parecem com arquivos de documentos normais, escreveu ele. A amostra Trend Micro investigada vem no formato de arquivo de objeto Mach (Mach-o), um formato de arquivo no macOS.
Uma vez dentro, a carga útil é montada e o malware procura arquivos com extensões .doc e os sobrescreve com o código malicioso. O código substituído tem uma assinatura no formato de arquivo D0CF, o que implica que é um arquivo de documento da Microsoft, escreveu Pedragoza.
Além disso, os arquivos .doc afetados contêm macros e componentes suspeitos. Um objeto inclui a macro autoopen que chama as funções maliciosas, que se parecem com funções normais com nomes regulares. O malware também usa criptografia de string básica para ocultar o URL malicioso ao qual se conecta para recuperar um arquivo.
Microsoft no verão passado bloqueado Macros do Visual Basic for Applications (VBA) em documentos baixados do Office como padrão para desligar essa rota usada por criminosos. Apesar disso, o malware na variante Dridex “substituirá todos os arquivos de documentos do usuário atual, incluindo os arquivos limpos”, escreveu ele. “Isso torna mais difícil para o usuário determinar se o arquivo é malicioso, pois não vem de uma fonte externa”.
A variante Dridex pode não ser uma ameaça imediata significativa para os sistemas macOS, mas os recursos nela implicam que é nessa direção que os operadores estão indo.
“Atualmente, o impacto nos usuários do macOS para esta variante do Dridex é minimizado, pois a carga útil é um arquivo exe (e, portanto, não é compatível com ambientes MacOS)”, escreve Pedragoza. “No entanto, ele ainda sobrescreve os arquivos de documentos que agora são os portadores das macros maliciosas do Dridex.” ®
.
