Dridex es un malware especializado en el robo de credenciales bancarias que utiliza un botnet ya establecido para expandirse ejecutando ataques de tipo mando y control (C2).
Los blancos del ataque son usuarios de Windows que reciben un correo con un documento en Word o Excel con macros camufladas. Si el receptor del correo abre el documento anexo, se ejecutan macros que descargan silenciosamente el malware Dridex e infectan la computadora.
El objetivo primordial de este malware es robar información bancaria de los usuarios de máquinas infectadas para inmediatamente lanzar transacciones fraudulentas. Para obtener la información bancaria el malware instala un escucha de teclado y realiza ataques de tipo inyección web. Durante 2015, las pérdidas por causadas por este malware fueron estimadas en 20 millones de libras en el Reino Unido y en 10 millones de dólares en Estados Unidos. Hasta 2015 Se había detectado ataques de Dridex en más de 20 países que no incluyen a España ni a Hispanoamérica.
Dridex (también conocido como Cridex o Bugat) asociado a los actores de amenaza TA505 e INDRIK SPIDER es uno de los troyanos bancarios tecnológicamente más avanzados actualmente activos, tiene como objetivo principal el robo de credenciales bancarias y cuentas de múltiples servicios. Dridex tiene la capacidad de inyectar código malicioso en los navegadores para redireccionar a las víctimas a servidores controlados por el atacante.
Gracias a la evolución constante, Dridex actualmente admite funciones muy avanzadas como la técnica de inyección Atom Bombing, las inyecciones web en Chrome y el exploit de día cero de Microsoft Word que ayudó al malware Dridex a llegar a innumerables máquinas.
Dridex se clasifica como la evolución de GameOver ZeuS, tomando prestada una arquitectura C&C de este virus y mejorandola, haciendo que los servidores de control sean muy difíciles de identificar. El troyano bancario Dridex también presenta similitudes con otros malware: CRIDEX y Bugat, sin embargo, mientras que el último se basa principalmente en vulnerabilidades como un vector de ataque, Dridex también utiliza el correo no deseado para infectar las máquinas de sus víctimas.
Características de Dridex
- Recolecta información del sistema operativo infectado.
- Descarga y ejecuta en segundo plano módulos para el control remoto.
- Roba credenciales bancarias de múltiples sitios webs y servicios particulares.
- Roba información de tarjetas de crédito y débito.
- Utiliza archivos de ofimática vía macro para descargarse y ejecutarse.
- Se propaga mediante campañas de correo electronico SPAM.
Distribución de Dridex
Dridex se distribuye a través de campañas masivas de SPAM que llaman a la acción, con la finalidad de que la potencial víctima descargue el documento de ofimática y lo ejecute.
Según reportes oficiales, Dridex ha estado presente en múltiples países desde su fecha de descubrimiento en el año 2014. Entre los países que fueron infectados son Estados Unidos, Francia, Alemania, Australia y Reino Unido. Pero no se descarta la existencia de múltiples campañas en otros países de una forma más reducida y con menos impacto en los activos digitales.
