El troyano bancario Dridex, que se ha convertido en una gran amenaza cibernética financiera en los últimos años (en 2015, el daño causado por el Troyano se estimó en más de 40 millones de dólares), se distingue de otros malware porque ha evolucionado continuamente y se ha vuelto más sofisticado desde que hizo su primera aparición en 2011. Dridex ha sido capaz de escapar de la justicia durante tanto tiempo ocultando sus servidores principales de comando y control (C&C) detrás de capas proxy. Dado que las versiones antiguas dejan de funcionar cuando aparecen nuevas y que cada nueva mejora es un paso más en el desarrollo sistemático del malware, se puede concluir que las mismas personas han estado involucradas en el desarrollo del Troyano todo este tiempo. A continuación, ofrecemos una breve descripción de la evolución del troyano durante seis años, así como algunos detalles técnicos de sus últimas versiones.
Cómo comenzó todo
Dridex hizo su primera aparición como un programa malicioso independiente (bajo el nombre de “Cridex”) alrededor de septiembre de 2011. Un análisis de una muestra de Cridex (MD5: 78cc821b5acfc017c855bc7060479f84) demostró que, incluso en sus primeros días, el malware podía recibir archivos de configuración dinámica, usar inyecciones web para robar dinero y podía infectar medios USB. Esta habilidad influyó en el nombre bajo el cual se detectó la versión” cero ” de Cridex: Gusano.Win32.Cridex.
Esa versión tenía un archivo de configuración binario:
Las secciones llamadas datafore, datainject y datafter hicieron que las inyecciones web se vieran similares al malware generalizado Zeus (puede haber habido una conexión entre esto y la fuga de código fuente de Zeus de 2011).
Cridex 0.77–0.80
En 2012, se lanzó una variante de Cridex significativamente modificada (MD5: 45ceacdc333a6a49ef23ad87196f375f). Los ciberdelincuentes habían eliminado la funcionalidad relacionada con la infección de medios USB y reemplazado el formato binario del archivo de configuración y los paquetes con XML. Las solicitudes enviadas por el malware al servidor C& C tenían el siguiente aspecto:
|
1
2
3
4
5
6
7
8
9
|
<mensaje set_hash=”” req_set=”1″ req_upd=”1″>
<el encabezado>
<unique>WIN-1DUOM1MNS4F_A47E8EE5C9037AFE</unique>
<version></version>
<system></system>
<network></network>
</header>
<data></data>
</message>
|
The <message> tag was the XML root element. The <header> tag contained information about the system, bot identifier, and the version of the bot.
Aquí hay un archivo de configuración de ejemplo:
|
1
2
3
4
|
<packet><commands><cmd type=”3″><httpinject><conditions><url type=”deny”>\.(css|js)($|\?)</url><url type=”allow” contentType=”^text/(html|plain)”><></url></conditions><actions><modify><pattern><></pattern><replacement><></url>
<url type=”deny” onpost=”0″ onget=”1″ modifiers=””>\.(gif|png|jpg|css|swf)($|\?)</url>
</conditions>
<actions>
<modify><pattern modifiers=”msU”><></pattern><replacement><></replacement></modify>
<modify><pattern modifiers=”msU”><></pattern><replacement><!;
};
|
Las secciones son del mismo tipo como en el <configuración>:
- 01h – HttpShots
- 02h – Formgrabber
- 08h – Redirige
- etc.
Lo único que ha cambiado es el cifrado de cadenas en el archivo de configuración – ahora se usa RC4.
|
1
2
3
4
5
6
|
struct EncryptedConfigString{
BYTE RC4Key1; // Tamaño de la clave de cifrado
DWORD EncryptedSize;
BYTE RC4Key2; // Datos de la clave de cifrado
BYTE EncryptedData;
};
|
RC4 también fue utilizado para cifrar los datos en paquetes p2p.
Distribución Geográfica
Los desarrolladores de Dridex busca de posibles víctimas en Europa. Entre el 1 de enero y principios de abril de 2017, detectamos actividad de Dridex en varios países europeos. El Reino Unido representó más de la mitad (casi el 60%) de todas las detecciones, seguido de Alemania y Francia. Al mismo tiempo, el malware nunca funciona en Rusia, ya que el C&Cs detecta el país a través de la dirección IP y no responde si el país es Rusia.
Conclusión
En los varios años que la familia Dridex ha existido, ha habido numerosos intentos fallidos de bloquear la actividad de la red de bots. La evolución en curso del malware demuestra que los ciberdelincuentes no están a punto de despedirse de su creación, que les está proporcionando un flujo de ingresos constante. Por ejemplo, los desarrolladores de Dridex continúan implementando nuevas técnicas para evadir el sistema de Control de Cuentas de Usuario (UAC). Estas técnicas permiten al malware ejecutar sus componentes maliciosos en sistemas Windows.
Se puede suponer que las mismas personas, posiblemente de habla rusa, están detrás de los troyanos Dridex y Zeus Gameover, pero no lo sabemos a ciencia cierta. El daño causado por los ciberdelincuentes también es imposible de evaluar con precisión. Basado en una estimación muy aproximada, ya ha alcanzado cientos de millones de dólares. Además, dada la forma en que el malware está evolucionando, se puede suponer que una parte significativa de las “ganancias” se reinvierte en el desarrollo del Troyano bancario.
El análisis se realizó en base a las siguientes muestras:
Cargador Dridex4: d0aa5b4dd8163eccf7c1cd84f5723d48
Bot Dridex4: ed8cdd9c6dd5a221f473ecf3a8f39933
Leave a Reply