TOP Malware Series: Dridex

Actualizado: may 27


¿Que es Dridex?


Dridex (también conocido como Cridex o Bugat) asociado a los actores de amenaza TA505 e INDRIK SPIDER es uno de los troyanos bancarios tecnológicamente más avanzados actualmente activos, tiene como objetivo principal el robo de credenciales bancarias y cuentas de múltiples servicios. Dridex tiene la capacidad de inyectar código malicioso en los navegadores para redireccionar a las víctimas a servidores controlados por el atacante.


Gracias a la evolución constante, Dridex actualmente admite funciones muy avanzadas como la técnica de inyección Atom Bombing, las inyecciones web en Chrome y el exploit de día cero de Microsoft Word que ayudó al malware Dridex a llegar a innumerables máquinas.


Dridex se clasifica como la evolución de GameOver ZeuS, tomando prestada una arquitectura C&C de este virus y mejorandola, haciendo que los servidores de control sean muy difíciles de identificar. El troyano bancario Dridex también presenta similitudes con otros malware: CRIDEX y Bugat, sin embargo, mientras que el último se basa principalmente en vulnerabilidades como un vector de ataque, Dridex también utiliza el correo no deseado para infectar las máquinas de sus víctimas.

Características de Dridex


  • Recolecta información del sistema operativo infectado.

  • Descarga y ejecuta en segundo plano módulos para el control remoto.

  • Roba credenciales bancarias de múltiples sitios webs y servicios particulares.

  • Roba información de tarjetas de crédito y débito.

  • Utiliza archivos de ofimática vía macro para descargarse y ejecutarse.

  • Se propaga mediante campañas de correo electronico SPAM.

Distribución de Dridex


Dridex se distribuye a través de campañas masivas de SPAM que llaman a la acción, con la finalidad de que la potencial víctima descargue el documento de ofimática y lo ejecute.


Para aumentar la posibilidad de infección, han suplantado a múltiples servicios de encomiendas y transporte. Como es en este caso UPS y Fedex.


Flujo de Infección


En el siguiente diagrama se representa como es el flujo de infección de Dridex acompañado de sus características principales.


Objetivos Geográficos de Dridex


Según reportes oficiales, Dridex ha estado presente en múltiples países desde su fecha de descubrimiento en el año 2014. Entre los países que fueron infectados son Estados Unidos, Francia, Alemania, Australia y Reino Unido. Pero no se descarta la existencia de múltiples campañas en otros países de una forma más reducida y con menos impacto en los activos digitales.

Indicadores de Compromiso


Direcciones IP


160.153.136.3

198.71.233.227

5.181.156.24

160.153.129.229

108.170.32.62

156.67.218.141

104.255.102.110

128.199.48.71

104.131.147.197

109.74.5.95

146.255.98.37

5.45.179.186

54.38.143.245

67.227.241.204

67.43.9.168

67.43.9.168

64.91.234.101

94.126.40.154

159.65.79.173

54.38.143.246


Hashes


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


Dominios


modcloudserver.eu

isns.net

majul.com

www.d01fa.net

krupskaya.com

m-onetrading-jp.com

thuocnam.tk

quecik.com

www.apexlogisticscompany.com

www.asappiling.com.au

capbonconsulting.com

www.capbonconsulting.com

www.koshersushiparty.com

www.shreveportnightlife.com

okckratom.com

bitqueen.com

www.waystoreducebellyfat.com

themidlandstrainingpartnership.co.uk

www.ivsdc.com

www.lgnutritionconsulting.com

CVE usados por Dridex


CVE-2017-0199

CVE-2017-11882

CVE-2018-15982


Recomendaciones de seguridad


  • Mantenga el software actualizado (MS Office, Antivirus, Sistema Operativo, etc).

  • Mantenga una postura escéptica y desconfíe de mensajes sospechosos.

  • No abra correos ni descargue adjuntos de remitentes desconocidos o correos no solicitados.

  • No siga links desde mensajes de redes sociales o sitios no oficiales, siempre escriba usted mismo la página en el navegador.

  • Manténgase informado de las últimas amenazas y riesgos en Internet.

  • Ante cualquier anormalidad en el equipo reporte de inmediato a la mesa de ayuda.

  • Realice un bloqueo preventivo de los Indicadores de Compromiso (Antispam, Firewall, Webfilter, Antivirus, etc).


Artículos relacionados


CronUp nace con la misión de maximizar la tranquilidad de las empresas, anticipando situaciones de riesgo que puedan afectar a sus procesos de negocio, provisión de servicios a clientes y canales electrónicos expuestos a Internet.

Contacto

Síguenos en

  • Icono social LinkedIn
  • Facebook icono social