jueves, diciembre 12, 2024
spot_img
InicioSeguridad informáticaDridex: La evolución del troyano bancario

Dridex: La evolución del troyano bancario

Dridex: La evolución del troyano bancario- Azul Web

El troyano bancario Dridex, que se ha convertido en una amenaza cibernética financiera importante en los últimos años (en 2015, el daño causado por el troyano se estimó en más de $ 40 millones), se distingue de otros programas maliciosos porque ha evolucionado continuamente y se ha vuelto más sofisticado desde entonces. hizo su primera aparición en 2011. Dridex ha podido escapar de la justicia durante tanto tiempo al ocultar sus principales servidores de comando y control (C&C) detrás de las capas proxy. Dado que las versiones antiguas dejan de funcionar cuando aparecen nuevas y que cada nueva mejora es un paso más en el desarrollo sistemático del malware, se puede concluir que las mismas personas han estado involucradas en el desarrollo del troyano todo este tiempo.

Dridex: La evolución del troyano bancario- Azul Web

Cómo empezó todo

Dridex hizo su primera aparición como un programa malicioso independiente (bajo el nombre de «Cridex») alrededor de septiembre de 2011. Un análisis de una muestra de Cridex (MD5: 78cc821b5acfc017c855bc7060479f84) demostró que, en sus primeros días, el malware podía recibir archivos de configuración dinámica, usar inyecciones en la web para robar dinero y poder infectar dispositivos USB. Esta habilidad influyó en el nombre bajo el cual se detectó la versión «cero» de Cridex: Worm.Win32.Cridex.

Dridex: La evolución del troyano bancario- Azul Web
Esa versión tenía un archivo de configuración binario de Dridex

Las secciones denominadas databefore, datainject y data después hicieron que las inyecciones web se parecieran al malware Zeus generalizado (pudo existir una conexión entre esto y la fuga del código fuente de Zeus 2011).

Cridex 0.77–0.80

En 2012, se lanzó una variante Cridex significativamente modificada (MD5: 45ceacdc333a6a49ef23ad87196f375f). Los ciberdelincuentes habían eliminado la funcionalidad relacionada con la infección de los medios USB y reemplazaron el formato binario del archivo de configuración y los paquetes con XML. Las solicitudes enviadas por el malware al servidor de C&C tenían el siguiente aspecto

Dridex: La evolución del troyano bancario- Azul Web

La etiqueta era el elemento raíz XML. La etiqueta contenía información sobre el sistema, el identificador y la versión del bot.

Dridex: La evolución del troyano bancario- Azul Web
Configuración de muestra

Con la excepción del elemento raíz , el archivo de configuración Dridex 0.8 permaneció prácticamente sin cambios hasta la versión 3.0.

Dridex 1.10

La versión «cero» se mantuvo hasta junio de 2014. Ese mes se llevó a cabo una operación importante ( Operación Tovar ) para eliminar otro programa malicioso generalizado, Gameover Zeus. Casi tan pronto como Zeus fue eliminado, la versión «cero» de Cridex dejó de funcionar y la versión 1.100 de Dridex apareció casi exactamente un mes después (el 22 de junio).

Dridex: La evolución del troyano bancario- Azul Web
Dridex: La evolución del troyano bancario- Azul Web
Configuración de muestra

Esta muestra ya tiene redireccionamientos para scripts .js inyectados que son característicos de Dridex.

Aquí hay una comparación entre las inyecciones de Dridex y Gameover Zeus:

Dridex: La evolución del troyano bancario- Azul Web

Por lo tanto, la eliminación de una botnet popular (Gameover Zeus) condujo a un gran avance en el desarrollo de otra, que tenía muchas semejanzas con su predecesora.

Dridex había comenzado a usar PCRE, mientras que sus versiones anteriores usaban SLRE. Sorprendentemente, el único malware bancario que también utilizó SLRE fue Trojan-Banker.Win32.Shifu. Ese troyano se descubrió en agosto de 2015 y se distribuyó a través del correo no deseado a través de las mismas botnets que Dridex. Además, ambos troyanos bancarios utilizaron archivos de configuración XML.

Existen motivos para creer que, al menos en 2014, los ciberdelincuentes detrás de Dridex eran hablantes de ruso. Esto está respaldado por comentarios en el código fuente del servidor de comando y control:

Dridex: La evolución del troyano bancario- Azul Web

Y por los volcados de la base de datos

Dridex: La evolución del troyano bancario- Azul Web

Dridex: de la versión 2 a la versión 3

A principios de 2015, Dridex implementó una especie de red P2P, que también recuerda al troyano Gameover Zeus. En esa red, algunos pares (supernodos) tenían acceso a los C&C y le enviaban solicitudes de otros nodos de la red. El archivo de configuración todavía se almacenaba en formato XML, pero tenía una nueva sección, , que contenía una lista de pares actualizada. Además, el protocolo utilizado para la comunicación con los C&C estaba encriptado.

Dridex: de la Versión 3 a la Versión 4

Uno de los administradores de la red Dridex fue arrestado el 28 de agosto de 2015. En los primeros días de septiembre, las redes con identificadores 120, 200 y 220 se desconectaron. Sin embargo, volvieron a estar en línea en octubre y se agregaron nuevas redes: 121, 122, 123, 301, 302 y 303.

En particular, los cibercriminales intensificaron las medidas de seguridad en ese momento. Específicamente, introdujeron el filtrado geográfico en el que apareció un campo de IP en los paquetes de solicitud de C&C, que luego se usó para identificar el par del país. Si no estaba en la lista de países objetivo, el par recibió un mensaje de error.

En 2016, el cargador se volvió más complicado y se cambiaron los métodos de cifrado. Se introdujo un protocolo de cargador binario, junto con una sección , que contenía el archivo de configuración en formato binario.

Dridex 4.x. Regreso al futuro

Dridex: La evolución del troyano bancario- Azul Web

La cuarta versión de Dridex se detectó a principios de 2017. Tiene capacidades similares a la tercera versión, pero los ciberdelincuentes dejaron de usar el formato XML en el archivo de configuración y los paquetes y volvieron a la versión binaria. El análisis de nuevas muestras se vuelve significativamente más difícil por el hecho de que el cargador ahora funciona durante dos días, como máximo. Esto es similar a Lurk, excepto que el cargador de Lurk solo estuvo activo durante un par de horas.

Una nueva variante de Dridex observada en julio de 2019 se disfraza como procesos legítimos del sistema de Windows para evitar la detección.

La variante utiliza cinco técnicas de inyección de código durante el ciclo de vida de la infección: AtomBombing, secuestro de órdenes DLL, vaciado de procesos, inyección de PE y secuestro de ejecución de subprocesos.

Las técnicas de inyección de código se usaron contra ejecutables legítimos de Windows. Se proporciona un valor entero incremental a la línea de comando al proceso suspendido para realizar tareas específicas.

Los desarrolladores de Dridex buscan víctimas potenciales en Europa. Entre el 1 de enero y principios de abril de 2017, se detectaron actividad de Dridex en varios países europeos. El Reino Unido representó más de la mitad (casi el 60%) de todas las detecciones, seguido de Alemania y Francia. Al mismo tiempo, el malware nunca funciona en Rusia, ya que los C&C detectan el país a través de la dirección IP y no responden si el país es Rusia.

En los varios años que ha existido la familia Dridex, ha habido numerosos intentos fallidos de bloquear la actividad de la botnet. La evolución continua del malware demuestra que los cibercriminales no se quieren despedir de su creación, lo que les proporciona un flujo constante de ingresos. Los hackers continúan implementando nuevas técnicas para evadir el sistema de Control de cuentas de usuario (UAC). Estas técnicas permiten que el malware ejecute sus componentes maliciosos en los sistemas Windows.

Se supone que los mismos hackers que desarrollaron Dridex, son los mismos que desarrollaron Zeus Gameover, pero no se sabe a ciencia cierta. El daño hecho por los cibercriminales también es imposible de evaluar con precisión. Basado en una estimación muy aproximada, ya ha alcanzado cientos de millones de dólares. Además, dada la forma en que evoluciona el malware, se puede suponer que una parte importante de las «ganancias» se reinvierte en el desarrollo del troyano bancario.

Fuentes: bromium, Cert, Stop Malvertising, Lifars



Ernesto Mota
Ernesto Mota
Nací en el d.f., sigo siendo defeño, hoy radico en la hermosa ciudad de Cuernavaca, Morelos, soy Ing. en Sistemas computacionales, con un posgrado en Tecnologías de información, Doctorando en ambientes virtuales de aprendizaje y realidad aumentada, Tecnólogo es mi categoría laboral, y mi linea de investigación es la realidad aumentada aplicada a nuevos entornos de aprendizaje.
RELATED ARTICLES

Most Popular

Recent Comments

×
Accede a cursos profesionales de tecnología Más información
¿Quieres ganar una membresía anual? ¡Claro!