Dridex sigue en evolución y tiene como objetivo el cono sudamericano

Dridex es uno de los troyanos bancarios tecnológicamente más avanzados actualmente activos. El objetivo principal de este malware es robar credenciales bancarias de sus víctimas. Dridex existe desde 2014 y se ha beneficiado de actualizaciones muy consistentes que ayudaron a que el malware evolucionara y se volviera cada vez más difícil de detectar. Gracias a la evolución constante, Dridex actualmente admite funciones muy avanzadas como la técnica de inyección Atom Bombing. Esta técnica se basa en el malware que almacena código malicioso dentro de las tablas atom. Estas tablas son tablas de memoria compartida donde todas las aplicaciones almacenan la información sobre cadenas, objetos y otros tipos de datos que requieren acceso diario. El bombardeo atómico utiliza llamadas a procedimientos asíncronos (APC) para recuperar el código e insertarlo en la memoria del proceso de destino. Además incluye técnicas de inyecciones web en Google Chrome y utiliza exploits de zeroday de Word que ayuda al malware Dridex a infectar a innumerables máquinas.

Dridex se clasifica como la evolución de GameOver ZeuS, tomando prestada una arquitectura C&C de este virus y mejorando aún más, haciendo que los servidores de Command and Control sean muy difíciles de identificar. El troyano bancario Dridex también presenta similitudes con otros malware: CRIDEX y Bugat. Sin embargo, aunque el último se basa principalmente en vulnerabilidades como un vector de ataque, Dridex también utiliza el correo no deseado para infectar las máquinas de sus víctimas.

Dridex es uno de los troyanos bancarios más populares del mundo, ubicándose en el séptimo lugar entre los diez virus más extendidos de este tipo por la cantidad de infecciones en 2015, según los datos de flashpoint-intel.

El proceso de ejecución de Dridex es bastante corto y directo. De manera similar a una gran cantidad de malware hoy en día, el troyano bancario se abre paso en el sistema de la víctima como un archivo adjunto malicioso, generalmente un archivo de Microsoft Office, que se entrega en correos electrónicos no deseados. Después de que el usuario descarga y abre dicho archivo y habilita las macros, comienza el proceso de infección. El troyano Dridex es capaz de utilizar diferentes técnicas para ejecutar el payload principal. Este  puede ser descargado directamente por Microsoft Office o por aplicaciones del sistema inyectadas, por ejemplo, explorer.exe, o aprovechada por vulnerabilidades como el Editor de ecuaciones de Microsoft. Después de que el payload sea descargado comienza la ejecución, inicia la actividad maliciosa principal, cómo escribirse en la ejecución automática en el registro, buscar el software instalado, ejecutar scripts, conectarse al servidor C2 y más.

El malware puede realizar una serie de acciones de robo de datos que incluyen captura de formularios, seguimiento de clics e inyecciones en sitios web. Esto le permite a Dridex robar datos confidenciales como inicios de sesión y contraseñas cuando la víctima inicia sesión en su cuenta bancaria. Los atacantes pueden utilizar esta información en futuras campañas o venderla a otros delincuentes. Además, el malware es capaz de tomar capturas de pantalla, lo que permite a los piratas informáticos recopilar información personal sobre la víctima. Además, el malware puede cambiar el contenido de las páginas web que el usuario está viendo utilizando técnicas de inyección web, por lo que cuando el usuario ingresa su nombre de usuario y contraseña, en lugar de iniciar sesión en una cuenta personal, estos datos confidenciales se envían directamente a atacantes.

El troyano Dridex utiliza un modelo de operación Botnet as a Service que da derecho a que las PC infectadas puedan convertirse en fuentes de ataque para futuras campañas. Esto ayuda a que el malware se propague de manera más eficiente y hace que sus ataques sean más globales.

A continuación el proceso de ejecución a través de la tabla MITRE ATT&CK.

Técnicas utilizadas:

Connection Proxy (T1090): Dridex contiene un módulo de conexión posterior para canalizar el tráfico de red a través del computador de la víctima. Los equipos infectados se convierten en parte de una botnet P2P que puede transmitir el tráfico del Command and Control a otros pares infectados.

Man in the Browser (T1185): Dridex puede realizar ataques en el navegador a través de inyecciones web para robar información como credenciales, certificados y cookies.

Remote Access Tools (T1219): Dridex contiene un módulo para VNC.

Standard Aplication Layer Protocol (T1071): Dridex utiliza HTTPS para la comunicación con el Command and Control. 

Standard Cryptographic Protocol (T1032): Dridex cifra el tráfico con RSA y RC4.

Según la nueva información, las organizaciones policiales de los Estados Unidos y el Reino Unido descubrieron las identidades de las personas detrás de Evil Corp, el cibergang que desarrolló Dridex y varios otros programas maliciosos. Se sospecha que Maxim Yakubets, que vive en Moscú, es el líder del grupo. Se lo ha visto conduciendo un Lamborghini Huracan con una matrícula que dice "ladrón" en ruso. Como resultado de la investigación, el Departamento de Estado de EE. UU. Ha anunciado una recompensa de $5 millones por entregar a Yakubets. Esta es la mayor recompensa jamás ofrecida por un cibercriminal.

A modo de prevención ante el posible impacto de este malware, se recomienda lo siguiente:

• Asegurar que los sistemas estén configurados de manera predeterminada para evitar la ejecución de macros.
• Realizar campañas comunicacionales permanentes dirigidas a clientes y colaboradores de las organizaciones afectadas, que expliquen el funcionamiento de los phishing y malspam.
• Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
• Actualice los sistemas de detección y prevención de intrusiones con frecuencia para garantizar que se incluyan las últimas variantes de malware y droppers.
• Realice copias de seguridad periódicas de los datos, asegurando que las copias de seguridad estén protegidas de posibles ataques de ransomware.
• Ejercite la respuesta de los empleados a los mensajes de phishing y la intrusión no autorizada.
• Si tiene alguna duda sobre la validez del mensaje, llame y confirme el mensaje con el remitente utilizando un número o una dirección de correo electrónico que ya esté en el archivo.
• Mantener firmas y motores antivirus actualizados.
• Mantenga los parches del sistema operativo actualizados.
• Deshabilite los servicios para compartir archivos e impresoras. Si se requieren estos servicios, use contraseñas seguras o autenticación de Active Directory.
• Restrinja la capacidad de los usuarios (permisos) para instalar y ejecutar aplicaciones de software no deseadas. No agregue usuarios al grupo de administradores locales a menos que sea necesario.
• Haga cumplir una política de contraseña segura y requiera cambios regulares de contraseña.
• Tenga cuidado al abrir archivos adjuntos de correo electrónico, incluso si se espera el archivo adjunto y el remitente parece ser conocido.
• Habilite un firewall personal en las estaciones de trabajo y configúrelo para denegar solicitudes de conexión no solicitadas.
• Deshabilite servicios innecesarios en estaciones de trabajo y servidores de agencias.
• Monitorear los hábitos de navegación web de los usuarios; restringir el acceso a sitios con contenido desfavorable.
• Tenga cuidado al usar medios extraíbles (por ejemplo, unidades de memoria USB, unidades externas, CD).
• Escanee todo el software descargado de Internet antes de ejecutarlo.
• Mantener la conciencia situacional de las últimas amenazas.
• Implemente listas de control de acceso apropiadas.
• Tener activado el UAC (control de cuentas de usuario) de Windows.