Il Trojan bancario Dridex, che è diventato un importante cyberthreat finanziaria negli ultimi anni (nel 2015, il danno fatto dal Trojan è stato stimato a oltre $40 milioni), si distingue da altri malware perché si è continuamente evoluto e diventare più sofisticato da quando ha fatto la sua prima apparizione nel 2011. Dridex è stato in grado di sfuggire alla giustizia per così tanto tempo nascondendo i suoi server principali di comando e controllo (C&C) dietro i livelli di proxy. Dato che le vecchie versioni smettono di funzionare quando ne appaiono di nuovi e che ogni nuovo miglioramento è un ulteriore passo avanti nello sviluppo sistematico del malware, si può concludere che le stesse persone sono state coinvolte nello sviluppo del Trojan per tutto questo tempo. Di seguito forniamo una breve panoramica dell’evoluzione del Trojan in sei anni, così come alcuni dettagli tecnici sulle sue ultime versioni.
How It All Began
Dridex ha fatto la sua prima apparizione come un programma dannoso indipendente (sotto il nome di “Cridex”) intorno a settembre 2011. Un’analisi di un campione Cridex (MD5: 78cc821b5acfc017c855bc7060479f84) ha dimostrato che, anche nei suoi primi giorni, il malware potrebbe ricevere file di configurazione dinamici, utilizzare iniezioni web per rubare denaro, ed è stato in grado di infettare supporti USB. Questa abilità ha influenzato il nome con cui è stata rilevata la versione” zero ” di Cridex — Worm.Win32.Cridex.
Quella versione aveva un file di configurazione binario:
Le sezioni nominate databefore, datainject e datafter hanno reso le iniezioni Web stesse simili al diffuso malware Zeus (potrebbe esserci stata una connessione tra questo e la perdita di codice sorgente Zeus del 2011).
Cridex 0.77–0.80
Nel 2012 è stata rilasciata una variante Cridex significativamente modificata (MD5: 45ceacdc333a6a49ef23ad87196f375f). I criminali informatici avevano abbandonato le funzionalità relative all’infezione dei supporti USB e sostituito il formato binario del file di configurazione e dei pacchetti con XML. Le richieste inviate dal malware al server C&erano le seguenti:
1
2
3
4
5
6
7
8
9
|
<messaggio set_hash=”” req_set=”1″ req_upd=”1″>
<intestazione>
<unique>WIN-1DUOM1MNS4F_A47E8EE5C9037AFE</unique>
<version></version>
<system></system>
<network></network>
</header>
<data></data>
</message>
|
The <message> tag was the XML root element. The <header> tag contained information about the system, bot identifier, and the version of the bot.
Ecco un file di configurazione di esempio:
1
2
3
4
|
<packet><commands><cmd type=”3″><httpinject><conditions><url type=”deny”>\.(css|js)($|\?)</url><url type=”allow” contentType=”^text/(html|plain)”><></url></conditions><actions><modify><pattern><></pattern><replacement><></url>
<url type=”deny” onpost=”0″ onget=”1″ modifiers=””>\.(gif|png|jpg|css|swf)($|\?)</url>
</conditions>
<actions>
<modify><pattern modifiers=”msU”><></pattern><replacement><></replacement></modify>
<modify><pattern modifiers=”msU”><></pattern><replacement><!;
};
|
Le sezioni sono dello stesso tipo, come nel <impostazioni>:
- 01h – HttpShots
- 02h – Formgrabber
- 08h – Reindirizza
- etc.
L’unica cosa che è cambiata è la crittografia delle stringhe nel file di configurazione – RC4 è ora utilizzato.
1
2
3
4
5
6
|
struct EncryptedConfigString{
BYTE RC4Key1; // Dimensione della chiave di crittografia
DWORD EncryptedSize;
BYTE RC4Key2; // Dati della chiave di crittografia
BYTE EncryptedData;
};
|
RC4 è stato utilizzato anche per crittografare i dati in pacchetti p2p.
Distribuzione geografica
Gli sviluppatori di Dridex cercano potenziali vittime in Europa. Tra il 1 ° gennaio e l’inizio di aprile 2017, abbiamo rilevato attività Dridex in diversi paesi europei. Il Regno Unito ha rappresentato più della metà (quasi il 60%) di tutti i rilevamenti, seguito da Germania e Francia. Allo stesso tempo, il malware non funziona mai in Russia, poiché il C&Cs rileva il paese tramite l’indirizzo IP e non risponde se il paese è la Russia.
Conclusione
Nei diversi anni in cui è esistita la famiglia Dridex, ci sono stati numerosi tentativi infruttuosi di bloccare l’attività della botnet. L’evoluzione in corso del malware dimostra che i criminali informatici non sono in procinto di dire addio alla loro idea, che sta fornendo loro un flusso di entrate costante. Ad esempio, gli sviluppatori Dridex continuano a implementare nuove tecniche per eludere il sistema di controllo dell’account utente (UAC). Queste tecniche consentono al malware di eseguire i suoi componenti dannosi sui sistemi Windows.
Si può supporre che le stesse persone, possibilmente russofoni, siano dietro i Trojan Dridex e Zeus Gameover, ma non lo sappiamo per certo. Il danno fatto dai criminali informatici è anche impossibile da valutare con precisione. Sulla base di una stima molto approssimativa, ha raggiunto centinaia di milioni di dollari ormai. Inoltre, dato il modo in cui il malware si sta evolvendo, si può presumere che una parte significativa dei “guadagni” sia reinvestita nello sviluppo del Trojan bancario.
L’analisi è stata eseguita sulla base dei seguenti campioni:
Dridex4 loader: d0aa5b4dd8163eccf7c1cd84f5723d48
Dridex4 bot: ed8cdd9c6dd5a221f473ecf3a8f39933
Leave a Reply