Con la mayoría de los bancos ofreciendo banca en línea para el año 2000, no pasó mucho tiempo antes de que los atacantes encontraran formas de explotar esta nueva superficie de ataque utilizando malware bancario. Los bancos se dieron cuenta rápidamente de que eran objetivos atractivos para los atacantes y respondieron reforzando sus sistemas. A su vez, los ciberdelincuentes pronto se dieron cuenta de que era difícil atacar a las propias instituciones, por lo que giraron y apuntaron a los clientes. Robar las credenciales de los clientes era una vía de ataque más factible y, a partir de esto, se crearon los primeros troyanos bancarios. Los troyanos bancarios se dirigían a los usuarios principalmente a través de spam, phishing, publicidad, descargas no autorizadas o ingeniería social. Vamos a hablar aquí de un peligroso troyano bancario llamado Dridex, te contamos qué es, cómo funciona, cómo protegerte y cómo eliminarlo.

¿Qué es el malware Dridex?

Dridex es un malware bancario en línea utilizado por piratas informáticos para robar datos personales mediante inyecciones de HTML. Con este malware, los piratas informáticos roban datos financieros y otros identificadores de los usuarios. El malware Dridex generalmente aparece como un correo electrónico no deseado con un documento de Microsoft Word adjunto.

Según los expertos en ciberseguridad, el malware Dridex se originó a partir de un producto anterior conocido como Zeus Trojan Horse. Un virus troyano parece un producto o una aplicación seguros, pero causa estragos cuando se descarga o se incluye en el sistema, principalmente sin el conocimiento del usuario final. Zeus Trojan Horse evolucionó hasta convertirse en el malware Cridex, un tipo de malware bancario que contiene puntos de entrada de puerta trasera que se auto-replica y deja espacio para la entrada de otros productos de malware. Dridex personifica la evolución hacia un producto de malware transportado por correo electrónico no deseado.

Dridex ingresa a una PC a través de programas fuente que llevan una carga útil troyana que instalas por error.

Las primeras apariciones de Dridex en septiembre de 2011 fueron bajo el nombre de Cidex. Causó destrucción a los bancos hasta junio de 2014 cuando Dridex versión 1.1 apareció en estado salvaje. Dridex surgió casi exactamente un mes después del derribo de Operation Tovar de la botnet Gameover ZeuS, que también marcó el final de los ataques de Cidex. Dridex y Gameover ZeuS tienen muchas similitudes en su código y atribución para Dridex está vinculado a una banda de habla rusa que puede ser un derivado del «Business Club», una banda organizada de delitos informáticos que desarrolló la botnet Gameover ZeuS.

En septiembre de 2015 se realizaron varios arrestos, pero eso hizo poco para detener a Dridex. En febrero de 2016, F5 labs publicó informes sobre la campaña Dridex Botnet 220 señalando la evolución del malware, y luego, en abril de 2016, notó que Dridex cambió el enfoque de los bancos del Reino Unido a los bancos de EE. UU. En diciembre de 2018, los investigadores encontraron conexiones entre el malware Dridex, Emotet y Ursnif / Gozi. Continúa evolucionando técnicamente y sigue siendo una amenaza activa.

¿Cuáles son sus características?

Los ciberdelincuentes que usan Dridex se dirigen principalmente a organizaciones pequeñas y medianas, en lugar de individuos.

A diferencia de otros programas maliciosos, conocidos como «gusanos», Dridex no se propaga por sí solo. Se usa una base de datos de direcciones de correo electrónico escogida para comenzar el ataque. Sus objetivos están repartidos por todo el mundo.

Dridex no usa una vulnerabilidad de seguridad específica para infectar computadoras: el usuario debe iniciar la infección de manera activa. Si el usuario no abre el archivo adjunto infectado, si las macros están desactivadas o si se rechaza la notificación de la macro que solicita permiso para ejecutarse, Dridex no puede infectar la computadora.

Dridex es considerado muy peligroso por su capacidad para mantener sus rastros y pistas en el sistema infectado mediante la creación de un registro de inicio automático al apagar el sistema, así como la eliminación del archivo de configuración en el registro.

¿Para qué lo utilizan los ciberdelincuentes?

Dridex tiene como objetivo el acceso bancario y financiero al aprovechar las macros de Microsoft Office para infectar sistemas. Una vez que una computadora ha sido infectada, los atacantes Dridex pueden robar credenciales bancarias y otra información personal en el sistema para obtener acceso a los registros financieros de un usuario.

Como ha sido el caso del malware Emotet, Dridex también ha tenido muchas iteraciones. Durante la última década, Dridex se sometió a una serie de aumento de funciones, incluida una transición a scripts XML, algoritmos hash, cifrado de igual a igual y cifrado de control y comando de igual a igual. Al igual que Emotet, cada nueva versión de Dridex representa un paso más en la carrera armamentista mundial a medida que la comunidad de seguridad responde con nuevas detecciones y mitigaciones.

Se cree que Dridex seguirá viendo más variaciones.

El malware Dridex, y sus diversas iteraciones, tiene la capacidad de afectar la confidencialidad de los datos del cliente y la disponibilidad de datos y sistemas para los procesos comerciales. Según los informes de la industria, la versión original de Dridex apareció por primera vez en 2012 y en 2015 se había convertido en uno de los troyanos financieros más frecuentes. Se espera que los actores que utilizan el malware Dridex y sus derivados continúen apuntando al sector de servicios financieros, incluidas tanto las instituciones financieras como los clientes.

¿Cuál es la estructura de este malware?

El malware Dridex opera desde varios módulos que se pueden descargar juntos o después de la descarga inicial de un módulo «cargador». Los módulos incluyen disposiciones para realizar capturas de pantalla, actuar como una máquina virtual o incorporar la máquina víctima a una botnet. A lo largo de su historia y desarrollo, Dridex ha utilizado varios exploits y métodos de ejecución, incluida la modificación de archivos de directorio, el uso de la recuperación del sistema para escalar privilegios y la modificación de las reglas del firewall para facilitar la comunicación entre pares para la extracción de datos. Las versiones recientes de Dridex aprovechan la vulnerabilidad CVE-2017-0199, que permite la ejecución remota de código. Esta vulnerabilidad es específica de Microsoft Office y WordPad. Microsoft lanzó un parche en 2017.

Una vez descargado y activo, Dridex tiene una amplia gama de capacidades, desde descargar software adicional hasta establecer una red virtual y eliminar archivos. La principal amenaza para la actividad financiera es la capacidad de Dridex para infiltrarse en los navegadores, detectar el acceso a aplicaciones y sitios web de banca en línea e inyectar software malicioso o de registro de teclas, a través del enlace de API, para robar la información de inicio de sesión del cliente. Los módulos Dridex empaquetan, cifran y transmiten información capturada, capturas de pantalla, etc., a través de redes peer-to-peer (P2P) en formato XML o en formato binario, como se ve en las versiones más recientes. Después de robar los datos de inicio de sesión, los atacantes tienen el potencial de facilitar la cámara de compensación automatizada (ACH) fraudulenta y las transferencias electrónicas, abrir cuentas fraudulentas,

El malware Dridex ha evolucionado a través de varias versiones desde su inicio, en parte para adaptarse a los navegadores actualizados. Aunque las características descritas reflejan algunas de las configuraciones más recientes, los actores continúan identificando y explotando vulnerabilidades en software ampliamente utilizado.

¿Cómo infecta los equipos?

En un ataque de malware Dridex, la víctima recibe un correo electrónico que contiene un archivo adjunto en forma de un documento de Excel o un documento de Microsoft Word. Este documento viene con una carga útil que descarga el malware Dridex, que está diseñado específicamente para apuntar a los datos bancarios en línea de la víctima. En estos ataques, la víctima se ve tentada a abrir el archivo adjunto utilizando los nombres de empresas válidas. Algunos de estos correos electrónicos también pueden tener una factura adjunta que indique que provienen de un minorista en línea, un banco o una empresa de software.

El malware Dridex se instala inmediatamente después de que la víctima abre el archivo adjunto que se envía por correo electrónico. Después de instalarse correctamente, el atacante sigue adelante y ejecuta las siguientes acciones:

  • Ejecutar archivos.
  • Subir archivos.
  • Descargar archivos.
  • Supervisar el tráfico de la red.
  • Toma capturas de pantalla del navegador.
  • Agrega la computadora comprometida a una botnet.
  • Descarga y ejecuta archivos adicionales.
  • Descarga y ejecuta módulos adicionales.
  • Se comunica con otros nodos pares a través del protocolo peer-to-peer (P2P) para recuperar los detalles de configuración.
  • Inyectarse en los procesos del navegador para Chrome, Firefox e Internet Explorer para monitorizar las comunicaciones y robar datos.

Los mensajes de phishing emplean una combinación de dominios y nombres comerciales legítimos, terminología profesional y lenguaje que implica la urgencia de persuadir a las víctimas para que activen los archivos adjuntos abiertos. Las direcciones de correo electrónico del remitente pueden simular partes individuales (nombre@dominio.com), administrativas (admin@dominio.com, soporte@dominio.com) o partes locales comunes de «no responder» (norespuesta@dominio.com). Los títulos de asunto y adjunto pueden incluir términos típicos como «factura», «pedido», «escaneo», «recibo», «nota de débito», «itinerario» y otros.

Los mensajes de correo electrónico varían ampliamente. El cuerpo del correo electrónico puede no contener ningún texto, excepto para incluir archivos adjuntos con nombres que son cadenas de números, aparentemente confiando en la línea de asunto y la curiosidad de la víctima para forzar la apertura del archivo malicioso. Cuando hay un cuerpo de mensaje, el cuerpo puede indicar específicamente que el contenido del correo electrónico se sometió a un análisis de virus o simplemente dirige a la víctima hacia el enlace o archivo adjunto. En otros casos, el cuerpo puede incluir un mensaje largo y sustantivo, que proporciona múltiples puntos de contacto y contexto para el adjunto malicioso. Los nombres de archivos adjuntos e hipervínculos varían desde conjuntos aleatorios de números o nombres de archivos automáticos de imitación de escáneres hasta nombres de archivos que pretenden hacer referencia a registros financieros.

¿Quiénes han sido sus principales víctimas?

Los criminales detrás de este malware parecen haber cambiado sus formas y ahora están enviando campañas de spam Dridex más pequeñas. En lugar de enviar correos electrónicos a usuarios aleatorios, las campañas han comenzado a dirigirse a empresas.

Se enfocan principalmente en servicios financieros y organizaciones de manufactura. Esta reciente explosión de Dridex se dirige a una serie de aplicaciones de gestión remota, punto de venta (POS) y procesamiento de pagos de back-end.

Parece que los delincuentes están tratando de comprometer a los empleados y a las personas con acceso a información valiosa. El troyano Dridex es capaz de suplantar las credenciales de las víctimas para muchas aplicaciones financieras.

¿Cómo protegerse de Dridex?

Afortunadamente, es más fácil protegerse contra Dridex que detectarlo. Aquí tienes una serie de consejos para protegerte del troyano bancario Dridex.

Usuarios

Si eres un usuario particular, así es como puedes protegerte de Dridex:

  • Mantén actualizado el software de seguridad, aplicaciones y utilidades.
  • Utiliza la autenticación de dos actores siempre que la opción esté disponible.
  • Descarga solo aplicaciones y archivos de fuentes confiables.
  • Utiliza un navegador en el que confíess cuando realice compras y operaciones bancarias en línea.
  • Usa todas las funciones de seguridad que ofrecen los bancos.
  • Utiliza un administrador de contraseñas. La mayoría de los troyanos bancarios pueden registrar pulsaciones de teclas. Al usar un administrador de contraseñas para completar las contraseñas, evitas ingresar físicamente las credenciales, lo que esencialmente hace que un keylogger sea inútil.
  • Compara la pantalla de inicio de sesión de tu banco en tu computadora con la misma pantalla de inicio de sesión en la de otra persona para asegurarte de que tengan el mismo aspecto.
  • Utiliza soluciones de filtrado de tráfico para evitar la fuga de datos.
  • Realiza cualquier formación de concienciación sobre seguridad que ofrezca tu empresa u organización.
  • Aprende a detectar correos electrónicos de phishing y no hagas clic en enlaces sospechosos. Así es como se instalan la mayoría de los troyanos bancarios.
  • Aprende a detectar sitios web falsos.

Empresas

Las empresas deben considerar implementar los siguientes controles de seguridad en función de sus circunstancias específicas:

  • Implementa un firewall de aplicaciones web.
  • Implementa la autenticación multifactor.
  • Introduce protección contra fraudes web para detectar clientes infectados que inician sesión en sus aplicaciones.
  • Utiliza un sistema de detección de intrusos para detectar malware troyano.
  • Cambia las direcciones de correo electrónico de los empleados específicos.
  • Revisa los controles de acceso.
  • Notifica a los clientes sobre el malware detectado en sus sistemas durante el inicio de sesión para que puedan tomar medidas para limpiar sus sistemas.
  • Brinda capacitación sobre concienciación sobre seguridad a empleados y clientes.

Eliminar software malicioso Dridex

Sabiendo lo que puede hacer el virus Dridex, definitivamente vale la pena saber cómo deshacerse de él. Lo bueno es que es fácil hacerlo en tu dispositivo Windows. El método de eliminación implica el uso del Administrador de tareas. Aquí hay una guía paso a paso sobre qué hacer:

  • Iniciq el Administrador de tareas presionando las teclas CTRL + Shift + ESC juntas. También puedes llevar el cursor a la barra de tareas, hacer clic con el botón derecho en cualquier espacio vacío y luego seleccionar Administrador de tareas.
  • Revisa la lista y haz clic con el botón derecho en cualquier archivo que parezca sospechoso.
  • Selecciona Abrir ubicación de archivo.
  • Aparecerá una nueva ventana con el archivo. Haz clic derecho en el archivo y presiona Eliminar.

Alternativamente, puedes seguir estos pasos:

  • Abre el Administrador de tareas.
  • Ve a la pestaña Inicio.
  • Haz clic en los procesos sospechosos y pulsa en el botón Desactivar ubicado en la esquina inferior derecha del Administrador de tareas.

Si nada de lo anterior ha funcionado, tu último recurso es utilizar una herramienta de detección y eliminación de malware de terceros. En primer lugar, descarga e instala una. Después de eso, ejecuta un escaneo rápido. Una vez que encuentre una amenaza potencial, te alertará y podrás decidir si poner en cuarentena la amenaza o eliminarla por completo.

Escribe aquí tu comentario

Deja un comentario

Este sitio está protegido por reCAPTCHA y se aplican la política de privacidad y los términos de servicio de Google.

Las siguientes reglas del RGPD deben leerse y aceptarse:
Este formulario recopila tu nombre, correo electrónico y contenido para que podamos realizar un seguimiento de los comentarios dejados en la web. Para más información revisa nuestra política de privacidad, donde encontrarás más información sobre dónde, cómo y por qué almacenamos tus datos.