La imagen muestra un fondo azul con un texto centrado en letras blancas que muestra la palabra Dridex (2014)

Última modificación: 2024-06-24

Historia

Dridex es un tipo de malware bancario que apareció por primera vez aproximadamente a finales de 2014. Surgió como una evolución del malware Cridex (también conocido como Bugat o Feodo), que estuvo activo en los años anteriores. La banda detrás de Dridex, comúnmente referida como la "Banda Evil Corp", ha sido altamente sofisticada en su enfoque, demostrando una capacidad para adaptarse y evolucionar rápidamente frente a los esfuerzos de mitigación de la industria de la ciberseguridad .

El malware ha tenido un impacto significativo a nivel global, con muchas instituciones bancarias y usuarios individuales afectados por sus actividades. En diciembre de 2015, las autoridades, junto con compañías de ciberseguridad , lograron desmantelar ciertas partes de la botnet de Dridex y arrestar a algunos miembros del grupo, sin embargo, el malware reapareció posteriormente, lo que subraya la persistencia y resiliencia de su estructura.

Efectos

Dridex está diseñado principalmente para robar credenciales bancarias, pero sus capacidades han evolucionado y ahora también puede:

  1. Robo de Información: El malware roba credenciales de cuentas bancarias, nombres de usuario y contraseñas, detalles de tarjetas de crédito y otra información financieramente sensible.
  2. Movimientos Financieros: Permite a los atacantes realizar transacciones fraudulentas desde las cuentas comprometidas.
  3. Distribución de Otros Malwares: Dridex también se utiliza como una "cargador" para descargar e instalar otros tipos de malware en las computadoras infectadas.
  4. Persistencia: Emplea técnicas avanzadas de persistencia, incluyendo inyección de código en procesos legítimos y el uso de rootkits para mantenerse oculto y activo en los sistemas comprometidos.
  5. Deshabilitación de Seguridad: Intenta deshabilitar software de seguridad en el sistema infectado para evitar su detección y remoción.

Métodos de Infección

Dridex principalmente se distribuiu a través de campañas de correos electrónicos maliciosos (phishing) en grandes volúmenes. Aquí se detallan los pasos comunes de su infección:

  1. Correo Electrónico con Adjuntos: Los correos electrónicos distribuidos por los atacantes suelen tener asuntos y contenidos diseñados para atraer o engañar al destinatario. Estos correos vienen adjuntos con documentos de Microsoft Office (Word o Excel) a menudo disfrazados como facturas, órdenes de compra, avisos de entrega, etc.

  2. Macros Maliciosas: Los documentos adjuntos contienen macros maliciosas. Cuando el usuario abre el documento, se le solicita habilitar macros para poder visualizar su contenido. Si el usuario cae en la trampa y habilita las macros, el código malicioso se ejecuta.

  3. Descarga del Payload: Las macros maliciosas descargan el payload principal de Dridex desde un servidor controlado por los atacantes. Este payload puede estar encriptado para evitar la detección.

  4. Ejecución y Persistencia: Una vez descargado, el malware se instala en el sistema, realiza cambios en el registro para asegurar su persistencia y comienza a operar en segundo plano. Puede inyectarse en procesos del sistema o ejecutar procesos propios en segundo plano.

  5. Comunicaciones con C&C (Command and Control): El malware establece comunicación con un servidor de comando y control desde el cual recibe instrucciones y al cual envía la información robada.

Mitigación y Defensa

Debido a la sofisticación y la evolución constante de Dridex, defenderse de este malware requiere una estrategia en múltiples capas:

  1. Educación y Conciencia: Los usuarios deben ser educados sobre los riesgos de abrir archivos adjuntos no solicitados y habilitar macros en documentos de Office.

  2. Seguridad del Correo Electrónico: Utilizar soluciones avanzadas de filtrado de correo electrónico para detectar y bloquear correos electrónicos de phishing y maliciosos.

  3. Políticas de Macros: Configurar políticas de grupo para deshabilitar el uso de macros o habilitar solo macros firmadas digitalmente de fuentes confiables.

  4. Software Antimalware: Mantener software antivirus y antimalware actualizado, capaz de detectar y bloquear Dridex.

  5. Seguridad en Redes: Emplear firewalls y sistemas de prevención/detección de intrusiones (IPS/IDS) para monitorear tráfico inusual hacia y desde la red.

  6. Parcheo y Actualización: Asegurarse de que todos los sistemas operativos y aplicaciones estén actualizados con los últimos parches de seguridad.

Dridex sigue siendo una amenaza persistente y polimórfica, lo que subraya la importancia de una conciencia continua y esfuerzos constantes en ciberseguridad para prevenir su propagación y minimizar sus efectos.




Colaboraciónes de nuestros usuarios

¿Tienes algo que agregar? ¡Déjanos tu colaboración!