Dridex
Dridex | ||
---|---|---|
Información general | ||
Tipo de programa | banking botnet | |
Dridex es un malware especializado en el robo de credenciales bancarias que utiliza un botnet ya establecido para expandirse ejecutando ataques de tipo mando y control (C2).
Los blancos del ataque son usuarios de Windows que reciben un correo con un documento en Word o Excel con macros camufladas. Si el receptor del correo abre el documento anexo, se ejecutan macros que descargan silenciosamente el malware Dridex e infectan la computadora.
El objetivo primordial de este malware es robar información bancaria de los usuarios de máquinas infectadas para inmediatamente lanzar transacciones fraudulentas. Para obtener la información bancaria el malware instala un escucha de teclado y realiza ataques de tipo inyección web.[1][2] Durante 2015, las pérdidas por causadas por este malware fueron estimadas en 20 millones de libras en el Reino Unido y en 10 millones de dólares en Estados Unidos. Hasta 2015 Se había detectado ataques de Dridex en más de 20 países que no incluyen a España ni a Hispanoamérica.[3]
Ejemplo de mensaje
[editar]Los mensajes de correo utilizados invitan al usuario a abrir un documento anexo. Por ejemplo:
Estimados,
Una transferencia por 11799,20€ ha sido realizada a su cuenta por BACS.
Saludos cordiales.
Herrera,
Contabilidad.
El documento anexo con un nombre parecido a BACS33434.doc supuestamente contendría los detalles de la transacción.[3]
Arquitectura
[editar]El malware Dridex tiene cuatro componentes principales:
- Loader - Encargado de descargar e instalar Dridex e iniciar la conexión a una red P2P.
- Core - Realiza las funciones principales del malware: Robo de credenciales, ataque de tipo inyección web y descarga de módulos VNC y Backconnect.
- VNC - Permite al atacante ver y controlar remotamente el equipo infectado.
- Backconnect - Utiliza el equipo comprometido como túnel de datos hacia otras computadoras.[3]
Esfuerzos para combatirlo
[editar]En 2015, en un esfuerzo conjunto de diferentes entes en Estados Unidos y el Reino Unido se logró penetrar la red de servidores P2P de Dridex y redirigirla hacia un sitio sumidero. Las investigaciones condujeron hacia un ciudadano moldavo sospechoso de manejar el malware. Sin embargo, este esfuerzo tuvo un corto efecto dado que la red de distribución se reorganizó rápidamente.[3][4]
Distribución de un antivirus
[editar]A principios de 2016 se confirmó que sorpresivamente, Dridex está distribuyendo e instalando el antivirus gratuito de la empresa Avira, capaz de detectar y erradicar a Dridex. Un representante de la empresa indicó que ellos no están involucrados en esto. Se sospecha que un hacker de sombrero negro habría discretamente penetrado la red de distribución de Dridex y cambiado su configuración para distribuir el antivirus. Otra hipótesis es que los manejadores del virus quisieron limpiar las máquinas infectadas de otros virus (como ya se ha hecho en otros ataques) pero que algo salió mal.[5]
Referencias
[editar]- ↑ «Alert (TA15-286A) Dridex P2P Malware». US-CERT. 13 de octubre de 2015. Consultado el 6 de febrero de 2016.
- ↑ Forrest Stroud. «Dridex malware». webopedia. Consultado el 6 de febrero de 2016.
- ↑ a b c d Brett Stone-Gross (13 de octubre de 2015). «Dridex (Bugat v5) Botnet Takeover Operation». Dell SecureWorks. Consultado el 6 de febrero de 2016.
- ↑ «El 'malware' bancario Dridex dirige a la instalación de un antivirus». ComputerWorld España. 5 de febrero de 2016. Consultado el 6 de febrero de 2016.
- ↑ Dan Goodin (5 de febrero de 2016). «Dridex malware exploit distributes antivirus installer—hack suspected». Ars Tehcnica. Consultado el 6 de febrero de 2016.