Dridex es uno de los troyanos bancarios tecnológicamente más avanzados actualmente activos. El objetivo principal de este malware es robar credenciales bancarias de sus víctimas. Dridex existe desde 2014 y se ha beneficiado de actualizaciones muy consistentes que ayudaron a que el malware evolucionara y se volviera cada vez más difícil de detectar. Gracias a la evolución constante, Dridex actualmente admite funciones muy avanzadas como la técnica de inyección Atom Bombing. Esta técnica se basa en el malware que almacena código malicioso dentro de las tablas atom. Estas tablas son tablas de memoria compartida donde todas las aplicaciones almacenan la información sobre cadenas, objetos y otros tipos de datos que requieren acceso diario. El bombardeo atómico utiliza llamadas a procedimientos asíncronos (APC) para recuperar el código e insertarlo en la memoria del proceso de destino. Además incluye técnicas de inyecciones web en Google Chrome y utiliza exploits de zeroday de Word que ayuda al malware Dridex a infectar a innumerables máquinas.
Dridex se clasifica como la evolución de GameOver ZeuS, tomando prestada una arquitectura C&C de este virus y mejorando aún más, haciendo que los servidores de Command and Control sean muy difíciles de identificar. El troyano bancario Dridex también presenta similitudes con otros malware: CRIDEX y Bugat. Sin embargo, aunque el último se basa principalmente en vulnerabilidades como un vector de ataque, Dridex también utiliza el correo no deseado para infectar las máquinas de sus víctimas.
Dridex es uno de los troyanos bancarios más populares del mundo, ubicándose en el séptimo lugar entre los diez virus más extendidos de este tipo por la cantidad de infecciones en 2015, según los datos de flashpoint-intel.
El proceso de ejecución de Dridex es bastante corto y directo. De manera similar a una gran cantidad de malware hoy en día, el troyano bancario se abre paso en el sistema de la víctima como un archivo adjunto malicioso, generalmente un archivo de Microsoft Office, que se entrega en correos electrónicos no deseados. Después de que el usuario descarga y abre dicho archivo y habilita las macros, comienza el proceso de infección. El troyano Dridex es capaz de utilizar diferentes técnicas para ejecutar el payload principal. Este puede ser descargado directamente por Microsoft Office o por aplicaciones del sistema inyectadas, por ejemplo, explorer.exe, o aprovechada por vulnerabilidades como el Editor de ecuaciones de Microsoft. Después de que el payload sea descargado comienza la ejecución, inicia la actividad maliciosa principal, cómo escribirse en la ejecución automática en el registro, buscar el software instalado, ejecutar scripts, conectarse al servidor C2 y más.
El malware puede realizar una serie de acciones de robo de datos que incluyen captura de formularios, seguimiento de clics e inyecciones en sitios web. Esto le permite a Dridex robar datos confidenciales como inicios de sesión y contraseñas cuando la víctima inicia sesión en su cuenta bancaria. Los atacantes pueden utilizar esta información en futuras campañas o venderla a otros delincuentes. Además, el malware es capaz de tomar capturas de pantalla, lo que permite a los piratas informáticos recopilar información personal sobre la víctima. Además, el malware puede cambiar el contenido de las páginas web que el usuario está viendo utilizando técnicas de inyección web, por lo que cuando el usuario ingresa su nombre de usuario y contraseña, en lugar de iniciar sesión en una cuenta personal, estos datos confidenciales se envían directamente a atacantes.
El troyano Dridex utiliza un modelo de operación Botnet as a Service que da derecho a que las PC infectadas puedan convertirse en fuentes de ataque para futuras campañas. Esto ayuda a que el malware se propague de manera más eficiente y hace que sus ataques sean más globales.
A continuación el proceso de ejecución a través de la tabla MITRE ATT&CK.
Técnicas utilizadas:
Connection Proxy (T1090): Dridex contiene un módulo de conexión posterior para canalizar el tráfico de red a través del computador de la víctima. Los equipos infectados se convierten en parte de una botnet P2P que puede transmitir el tráfico del Command and Control a otros pares infectados.
Man in the Browser (T1185): Dridex puede realizar ataques en el navegador a través de inyecciones web para robar información como credenciales, certificados y cookies.
Remote Access Tools (T1219): Dridex contiene un módulo para VNC.
Standard Aplication Layer Protocol (T1071): Dridex utiliza HTTPS para la comunicación con el Command and Control.
Standard Cryptographic Protocol (T1032): Dridex cifra el tráfico con RSA y RC4.
Según la nueva información, las organizaciones policiales de los Estados Unidos y el Reino Unido descubrieron las identidades de las personas detrás de Evil Corp, el cibergang que desarrolló Dridex y varios otros programas maliciosos. Se sospecha que Maxim Yakubets, que vive en Moscú, es el líder del grupo. Se lo ha visto conduciendo un Lamborghini Huracan con una matrícula que dice "ladrón" en ruso. Como resultado de la investigación, el Departamento de Estado de EE. UU. Ha anunciado una recompensa de $5 millones por entregar a Yakubets. Esta es la mayor recompensa jamás ofrecida por un cibercriminal.
A modo de prevención ante el posible impacto de este malware, se recomienda lo siguiente:
Producto | Versión |
---|---|
Microsoft Windows |
7 8 8.1 10 |