¿Que es Dridex?
Dridex (también conocido como Cridex o Bugat) asociado a los actores de amenaza TA505 e INDRIK SPIDER es uno de los troyanos bancarios tecnológicamente más avanzados actualmente activos, tiene como objetivo principal el robo de credenciales bancarias y cuentas de múltiples servicios. Dridex tiene la capacidad de inyectar código malicioso en los navegadores para redireccionar a las víctimas a servidores controlados por el atacante.
Gracias a la evolución constante, Dridex actualmente admite funciones muy avanzadas como la técnica de inyección Atom Bombing, las inyecciones web en Chrome y el exploit de día cero de Microsoft Word que ayudó al malware Dridex a llegar a innumerables máquinas.
Dridex se clasifica como la evolución de GameOver ZeuS, tomando prestada una arquitectura C&C de este virus y mejorandola, haciendo que los servidores de control sean muy difíciles de identificar. El troyano bancario Dridex también presenta similitudes con otros malware: CRIDEX y Bugat, sin embargo, mientras que el último se basa principalmente en vulnerabilidades como un vector de ataque, Dridex también utiliza el correo no deseado para infectar las máquinas de sus víctimas.
Características de Dridex
- Recolecta información del sistema operativo infectado.
- Descarga y ejecuta en segundo plano módulos para el control remoto.
- Roba credenciales bancarias de múltiples sitios webs y servicios particulares.
- Roba información de tarjetas de crédito y débito.
- Utiliza archivos de ofimática vía macro para descargarse y ejecutarse.
- Se propaga mediante campañas de correo electrónico SPAM.
Distribución de Dridex
Dridex se distribuye a través de campañas masivas de SPAM que llaman a la acción, con la finalidad de que la potencial víctima descargue el documento de ofimática y lo ejecute.
Para aumentar la posibilidad de infección, han suplantado a múltiples servicios de encomiendas y transporte. Como es en este caso UPS y Fedex.
Flujo de Infección
En el siguiente diagrama se representa como es el flujo de infección de Dridex acompañado de sus características principales.
Objetivos Geográficos de Dridex
Según reportes oficiales, Dridex ha estado presente en múltiples países desde su fecha de descubrimiento en el año 2014. Entre los países que fueron infectados son Estados Unidos, Francia, Alemania, Australia y Reino Unido. Pero no se descarta la existencia de múltiples campañas en otros países de una forma más reducida y con menos impacto en los activos digitales.
Recomendaciones de seguridad
- Mantenga el software actualizado (MS Office, Antivirus, Sistema Operativo, etc).
- Mantenga una postura escéptica y desconfíe de mensajes sospechosos.
- No abra correos ni descargue adjuntos de remitentes desconocidos o correos no solicitados.
- No siga links desde mensajes de redes sociales o sitios no oficiales, siempre escriba usted mismo la página en el navegador.
- Manténgase informado de las últimas amenazas y riesgos en Internet.
- Realice un bloqueo preventivo de los Indicadores de Compromiso (Antispam, Firewall, Webfilter, Antivirus, etc).
Vía: Cronup