Blog

TOP Malware Series: Dridex

Dridex

Actualizado: 16 de ago de 2020

¿Que es Dridex?

Dridex (también conocido como Cridex o Bugat) asociado a los actores de amenaza TA505 e INDRIK SPIDER es uno de los troyanos bancarios tecnológicamente más avanzados actualmente activos, tiene como objetivo principal el robo de credenciales bancarias y cuentas de múltiples servicios. Dridex tiene la capacidad de inyectar código malicioso en los navegadores para redireccionar a las víctimas a servidores controlados por el atacante.

Gracias a la evolución constante, Dridex actualmente admite funciones muy avanzadas como la técnica de inyección Atom Bombing, las inyecciones web en Chrome y el exploit de día cero de Microsoft Word que ayudó al malware Dridex a llegar a innumerables máquinas.

Dridex se clasifica como la evolución de GameOver ZeuS, tomando prestada una arquitectura C&C de este virus y mejorandola, haciendo que los servidores de control sean muy difíciles de identificar. El troyano bancario Dridex también presenta similitudes con otros malware: CRIDEX y Bugat, sin embargo, mientras que el último se basa principalmente en vulnerabilidades como un vector de ataque, Dridex también utiliza el correo no deseado para infectar las máquinas de sus víctimas.

Características de Dridex

  • Recolecta información del sistema operativo infectado.
  • Descarga y ejecuta en segundo plano módulos para el control remoto.
  • Roba credenciales bancarias de múltiples sitios webs y servicios particulares.
  • Roba información de tarjetas de crédito y débito.
  • Utiliza archivos de ofimática vía macro para descargarse y ejecutarse.
  • Se propaga mediante campañas de correo electronico SPAM.

Distribución de Dridex

Dridex se distribuye a través de campañas masivas de SPAM que llaman a la acción, con la finalidad de que la potencial víctima descargue el documento de ofimática y lo ejecute.

Para aumentar la posibilidad de infección, han suplantado a múltiples servicios de encomiendas y transporte. Como es en este caso UPS y Fedex.

Flujo de Infección

En el siguiente diagrama se representa como es el flujo de infección de Dridex acompañado de sus características principales.

Objetivos Geográficos de Dridex

Según reportes oficiales, Dridex ha estado presente en múltiples países desde su fecha de descubrimiento en el año 2014. Entre los países que fueron infectados son Estados Unidos, Francia, Alemania, Australia y Reino Unido. Pero no se descarta la existencia de múltiples campañas en otros países de una forma más reducida y con menos impacto en los activos digitales.

Indicadores de Compromiso

Direcciones IP

  • 160.153.136.3
  • 198.71.233.227
  • 5.181.156.24
  • 160.153.129.229
  • 108.170.32.62
  • 156.67.218.141
  • 104.255.102.110
  • 128.199.48.71
  • 104.131.147.197
  • 109.74.5.95
  • 146.255.98.37
  • 5.45.179.186
  • 54.38.143.245
  • 67.227.241.204
  • 67.43.9.168
  • 67.43.9.168
  • 64.91.234.101
  • 94.126.40.154
  • 159.65.79.173
  • 54.38.143.246

Hashes

95D74BD7B19308C35A9439BA6A4B494B9A633AC9C5026E9B6127A2DEF24FFA3F
539ECE4AA52F97D2713C1A50F4B8558E219B34AE9F0D6FA911963D11AA04928B
AFB5161C6F1903013A24A6FCD3B39210DF5025F776EA7C35EBC8911FEF8E1CCA
0B02474D4FC4A2D7D4B43562C4B8532E9880941610BE7A955CE740FD6F959AC9
E8D49C20849F59949F4EA06F749701A2A50D982AB5107BE7EB080485E2FA2B04
64A7325A7D57D20B7811EA33E4AA8F8CC0D36A65ED9A41ACD0E1DCFB59DB724F
5528A39D6F2CA52AD81F936C75E2036CB91D0E88824F7A5ABD67A601314B66BB
1C13C58EDB608AAC8009F0B08C4B1A33CAC3371BFD39CB1F079F867F58A35865
05F39846B1443F83316865BCF0A2D3BF7BF76F73082885680C2B70E0FEE16FA0
66DEDA9CB05F8470D842B7E1FC1086E29A7CEF3888B966D1A747531B1B779F06
E9D7E375FD74AD7E69AD0FD7C7414C717CF8F9950B9481F22382CA188344043B
872927B59F236CAB62671FC1D9BC2C12C81FD3E79591292A1A9E79830DA635B9
DD4C22BF57718C6FEC75F45EFE9D5D8B4F6D2C94D148A4E36570748362FF9427
F0D937A9DDF3AEC2A19315733A776AC10D246F6CA69FC3D396BFB11BB4F028CD
C895661D6F2FC4B7C6804094E5478D2F2D0EC29AFD3E7463315965DEEE9BFD4B
2F1F2A80D64637BA6A43739A98F0BAF613E7FCBFFF98A070A92C237671948226
F88C4EBAFE390BE0BB33C849C816377EC5EE6250C9595213CE207689C3D11700
0434164335363765602DA0D4FF8188714D7DE96134D00D4E42B889F9626C9A22
F1795D62FA6449C1DD4E0597657EC0409AB05A2CD5B41984E931759A81A17783
51115B038262E530F37D2E15B74A7392203FF067B204CA58DB5D9D370E55EFD6

Dominios

modcloudserver.eu
isns.net
majul.com
www.d01fa.net
krupskaya.com
m-onetrading-jp.com
thuocnam.tk
quecik.com
www.apexlogisticscompany.com
www.asappiling.com.au
capbonconsulting.com
www.capbonconsulting.com
www.koshersushiparty.com
www.shreveportnightlife.com
okckratom.com
bitqueen.com
www.waystoreducebellyfat.com
themidlandstrainingpartnership.co.uk
www.ivsdc.com
www.lgnutritionconsulting.com

CVE usados por Dridex

  • CVE-2017-0199
  • CVE-2017-11882
  • CVE-2018-15982

Recomendaciones de seguridad

  • Mantenga el software actualizado (MS Office, Antivirus, Sistema Operativo, etc).
  • Mantenga una postura escéptica y desconfíe de mensajes sospechosos.
  • No abra correos ni descargue adjuntos de remitentes desconocidos o correos no solicitados.
  • No siga links desde mensajes de redes sociales o sitios no oficiales, siempre escriba usted mismo la página en el navegador.
  • Manténgase informado de las últimas amenazas y riesgos en Internet.
  • Ante cualquier anormalidad en el equipo reporte de inmediato a la mesa de ayuda.
  • Realice un bloqueo preventivo de los Indicadores de Compromiso (Antispam, Firewall, Webfilter, Antivirus, etc).

Artículos relacionados

Share on facebook
Share on linkedin
Share on twitter
Share on whatsapp

Artículos Relacionados

Protege tus aplicaciones Web y API

Accede a una evaluación completamente funciona

La primera solución completa que cubre los errores de seguridad y fallas de la lógica empresarial en todo el SDLC
Ir al Demo
Alterta Temprana de Riesgos
Reduce tu ventana de exposición al riesgo a las amenazas externas, mejorando la eficiencia en la detección y respuesta ante ciberamenazas.
Más Info
Hdiv - Protege tus aplicaciones Web y API
La primera solución completa que cubre los errores de seguridad y fallas de la lógica empresarial en todo el SDLC
Accede al Demo Gratuito
Protección de Dominios - Sendmarc
Evita y protege activamente los dominios de tu organización contra los ataques de suplantación de identidad y phishing
Más Info
Endpoint - Panda Security
Endpoint Protection Platform, EDR y Servicios de 100% Atestación y Threat Hunting integrado
Más Info

Últimos Artículos

Hablemos

Si tienes alguna duda o pregunta con nuestros servicios, puedes comunicarte directamente con nosotros o completar el formulario, y nos pondremos en contacto contigo en breve.

Email

contacto@cronup.com

Ubicación

Providencia, Santiago de Chile

Twitter

@Cronup_CyberSec

Linkedin

Cronup Ciberseguridad