[{"@context":"http:\/\/schema.org\/","@type":"BlogPosting","@id":"https:\/\/ayudaleyprotecciondatos.es\/2021\/08\/02\/dridex\/#BlogPosting","mainEntityOfPage":"https:\/\/ayudaleyprotecciondatos.es\/2021\/08\/02\/dridex\/","headline":"Dridex, un troyano bancario muy peligroso","name":"Dridex, un troyano bancario muy peligroso","description":"Todo lo que debes saber sobre el troyano bancario Dridex, qu\u00e9 es, c\u00f3mo funciona, c\u00f3mo protegerte y c\u00f3mo eliminarlo \u00a1Descubre m\u00e1s aqu\u00ed!","datePublished":"2021-08-02","dateModified":"2021-08-03","author":{"@type":"Person","@id":"https:\/\/ayudaleyprotecciondatos.es\/author\/agonzar34\/#Person","name":"Ana Gonz\u00e1lez","url":"https:\/\/ayudaleyprotecciondatos.es\/author\/agonzar34\/","image":{"@type":"ImageObject","@id":"https:\/\/secure.gravatar.com\/avatar\/9d20ce04c893956aaa747aa424b64675?s=96&d=blank&r=g","url":"https:\/\/secure.gravatar.com\/avatar\/9d20ce04c893956aaa747aa424b64675?s=96&d=blank&r=g","height":96,"width":96}},"publisher":{"@type":"Organization","name":"AyudaLeyProteccionDatos","logo":{"@type":"ImageObject","@id":"https:\/\/ayudaleyprotecciondatos.es\/wp-content\/uploads\/2016\/01\/ayuda-ley-proteccion-datos.png","url":"https:\/\/ayudaleyprotecciondatos.es\/wp-content\/uploads\/2016\/01\/ayuda-ley-proteccion-datos.png","width":600,"height":60}},"image":{"@type":"ImageObject","@id":"https:\/\/ayudaleyprotecciondatos.es\/wp-content\/uploads\/2021\/08\/drilex-malware.jpg","url":"https:\/\/ayudaleyprotecciondatos.es\/wp-content\/uploads\/2021\/08\/drilex-malware.jpg","height":1000,"width":1500},"url":"https:\/\/ayudaleyprotecciondatos.es\/2021\/08\/02\/dridex\/","about":["CIBERSEGURIDAD"],"wordCount":2689,"articleBody":"              if (typeof BingeIframeRan === \"undefined\") {                window.addEventListener(\"message\", receiveMessage, false);                function receiveMessage(event) {                  try {                    var parsed = JSON.parse(event.data)                    if (parsed.context === \"iframe.resize\") {                      var iframes = document.getElementsByClassName(\"binge-iframe\");                      for (let i = 0; i < iframes.length; ++i) {                        if (iframes[i].src == parsed.src || iframes[i].contentWindow === event.source) {                          iframes[i].height = parsed.height; }                         iframes[i].style.opacity = 1;                     }                    }                  } catch (error) {                  }                }                var BingeIframeRan = true;              }              Con la mayor\u00eda de los bancos ofreciendo banca en l\u00ednea para el a\u00f1o 2000, no pas\u00f3 mucho tiempo antes de que los atacantes encontraran formas de explotar esta nueva superficie de ataque utilizando malware bancario. Los bancos se dieron cuenta r\u00e1pidamente de que eran objetivos atractivos para los atacantes y respondieron reforzando sus sistemas. A su vez, los ciberdelincuentes pronto se dieron cuenta de que era dif\u00edcil atacar a las propias instituciones, por lo que giraron y apuntaron a los clientes. Robar las credenciales de los clientes era una v\u00eda de ataque m\u00e1s factible y, a partir de esto, se crearon los primeros troyanos bancarios. Los troyanos bancarios se dirig\u00edan a los usuarios principalmente a trav\u00e9s de spam, phishing, publicidad, descargas no autorizadas o ingenier\u00eda social. Vamos a hablar aqu\u00ed de un peligroso troyano bancario llamado Dridex, te contamos qu\u00e9 es, c\u00f3mo funciona, c\u00f3mo protegerte y c\u00f3mo eliminarlo.\u00bfQu\u00e9 es el malware Dridex?\u00bfCu\u00e1les son sus caracter\u00edsticas?\u00bfPara qu\u00e9 lo utilizan los ciberdelincuentes?\u00bfCu\u00e1l es la estructura de este malware?\u00bfC\u00f3mo infecta los equipos?\u00bfQui\u00e9nes han sido sus principales v\u00edctimas?\u00bfC\u00f3mo protegerse de Dridex?UsuariosEmpresasEliminar software malicioso Dridex\u00bfQu\u00e9 es el malware Dridex?Dridex es un malware bancario en l\u00ednea utilizado por piratas inform\u00e1ticos para robar datos personales mediante inyecciones de HTML. Con este malware, los piratas inform\u00e1ticos roban datos financieros y otros identificadores de los usuarios. El malware Dridex generalmente aparece como un correo electr\u00f3nico no deseado con un documento de Microsoft Word adjunto.Seg\u00fan los expertos en ciberseguridad, el malware Dridex se origin\u00f3 a partir de un producto anterior conocido como Zeus Trojan Horse. Un virus troyano parece un producto o una aplicaci\u00f3n seguros, pero causa estragos cuando se descarga o se incluye en el sistema, principalmente sin el conocimiento del usuario final. Zeus Trojan Horse evolucion\u00f3 hasta convertirse en el malware Cridex, un tipo de malware bancario que contiene puntos de entrada de puerta trasera que se auto-replica y deja espacio para la entrada de otros productos de malware. Dridex personifica la evoluci\u00f3n hacia un producto de malware transportado por correo electr\u00f3nico no deseado.Dridex ingresa a una PC a trav\u00e9s de programas fuente que llevan una carga \u00fatil troyana que instalas por error.Las primeras apariciones de Dridex en septiembre de 2011 fueron bajo el nombre de Cidex. Caus\u00f3 destrucci\u00f3n a los bancos hasta junio de 2014 cuando Dridex versi\u00f3n 1.1 apareci\u00f3 en estado salvaje. Dridex surgi\u00f3 casi exactamente un mes despu\u00e9s del derribo de Operation Tovar de la botnet Gameover ZeuS, que tambi\u00e9n marc\u00f3 el final de los ataques de Cidex. Dridex y Gameover ZeuS tienen muchas similitudes en su c\u00f3digo y atribuci\u00f3n para Dridex est\u00e1 vinculado a una banda de habla rusa que puede ser un derivado del \u00abBusiness Club\u00bb, una banda organizada de delitos inform\u00e1ticos que desarroll\u00f3 la botnet Gameover ZeuS.En septiembre de 2015 se realizaron varios arrestos, pero eso hizo poco para detener a Dridex. En febrero de 2016, F5 labs public\u00f3 informes sobre la campa\u00f1a Dridex Botnet 220 se\u00f1alando la evoluci\u00f3n del malware, y luego, en abril de 2016, not\u00f3 que Dridex cambi\u00f3 el enfoque de los bancos del Reino Unido a los bancos de EE. UU. En diciembre de 2018, los investigadores encontraron conexiones entre el malware Dridex, Emotet y Ursnif \/ Gozi. Contin\u00faa evolucionando t\u00e9cnicamente y sigue siendo una amenaza activa.\u00bfCu\u00e1les son sus caracter\u00edsticas?Los ciberdelincuentes que usan Dridex se dirigen principalmente a organizaciones peque\u00f1as y medianas, en lugar de individuos.A diferencia de otros programas maliciosos, conocidos como \u00abgusanos\u00bb, Dridex no se propaga por s\u00ed solo. Se usa una base de datos de direcciones de correo electr\u00f3nico escogida para comenzar el ataque. Sus objetivos est\u00e1n repartidos por todo el mundo.Dridex no usa una vulnerabilidad de seguridad espec\u00edfica para infectar computadoras: el usuario debe iniciar la infecci\u00f3n de manera activa. Si el usuario no abre el archivo adjunto infectado, si las macros est\u00e1n desactivadas o si se rechaza la notificaci\u00f3n de la macro que solicita permiso para ejecutarse, Dridex no puede infectar la computadora.Dridex es considerado muy peligroso por su capacidad para mantener sus rastros y pistas en el sistema infectado mediante la creaci\u00f3n de un registro de inicio autom\u00e1tico al apagar el sistema, as\u00ed como la eliminaci\u00f3n del archivo de configuraci\u00f3n en el registro.\u00bfPara qu\u00e9 lo utilizan los ciberdelincuentes?Dridex tiene como objetivo el acceso bancario y financiero al aprovechar las macros de Microsoft Office para infectar sistemas. Una vez que una computadora ha sido infectada, los atacantes Dridex pueden robar credenciales bancarias y otra informaci\u00f3n personal en el sistema para obtener acceso a los registros financieros de un usuario.Como ha sido el caso del malware Emotet, Dridex tambi\u00e9n ha tenido muchas iteraciones. Durante la \u00faltima d\u00e9cada, Dridex se someti\u00f3 a una serie de aumento de funciones, incluida una transici\u00f3n a scripts XML, algoritmos hash, cifrado de igual a igual y cifrado de control y comando de igual a igual. Al igual que Emotet, cada nueva versi\u00f3n de Dridex representa un paso m\u00e1s en la carrera armamentista mundial a medida que la comunidad de seguridad responde con nuevas detecciones y mitigaciones.Se cree que Dridex seguir\u00e1 viendo m\u00e1s variaciones.El malware Dridex, y sus diversas iteraciones, tiene la capacidad de afectar la confidencialidad de los datos del cliente y la disponibilidad de datos y sistemas para los procesos comerciales. Seg\u00fan los informes de la industria, la versi\u00f3n original de Dridex apareci\u00f3 por primera vez en 2012 y en 2015 se hab\u00eda convertido en uno de los troyanos financieros m\u00e1s frecuentes. Se espera que los actores que utilizan el malware Dridex y sus derivados contin\u00faen apuntando al sector de servicios financieros, incluidas tanto las instituciones financieras como los clientes.\u00bfCu\u00e1l es la estructura de este malware?El malware Dridex opera desde varios m\u00f3dulos que se pueden descargar juntos o despu\u00e9s de la descarga inicial de un m\u00f3dulo \u00abcargador\u00bb. Los m\u00f3dulos incluyen disposiciones para realizar capturas de pantalla, actuar como una m\u00e1quina virtual o incorporar la m\u00e1quina v\u00edctima a una botnet. A lo largo de su historia y desarrollo, Dridex ha utilizado varios exploits y m\u00e9todos de ejecuci\u00f3n, incluida la modificaci\u00f3n de archivos de directorio, el uso de la recuperaci\u00f3n del sistema para escalar privilegios y la modificaci\u00f3n de las reglas del firewall para facilitar la comunicaci\u00f3n entre pares para la extracci\u00f3n de datos. Las versiones recientes de Dridex aprovechan la vulnerabilidad CVE-2017-0199, que permite la ejecuci\u00f3n remota de c\u00f3digo. Esta vulnerabilidad es espec\u00edfica de Microsoft Office y WordPad. Microsoft lanz\u00f3 un parche en 2017.Una vez descargado y activo, Dridex tiene una amplia gama de capacidades, desde descargar software adicional hasta establecer una red virtual y eliminar archivos. La principal amenaza para la actividad financiera es la capacidad de Dridex para infiltrarse en los navegadores, detectar el acceso a aplicaciones y sitios web de banca en l\u00ednea e inyectar software malicioso o de registro de teclas, a trav\u00e9s del enlace de API, para robar la informaci\u00f3n de inicio de sesi\u00f3n del cliente. Los m\u00f3dulos Dridex empaquetan, cifran y transmiten informaci\u00f3n capturada, capturas de pantalla, etc., a trav\u00e9s de redes peer-to-peer (P2P) en formato XML o en formato binario, como se ve en las versiones m\u00e1s recientes. Despu\u00e9s de robar los datos de inicio de sesi\u00f3n, los atacantes tienen el potencial de facilitar la c\u00e1mara de compensaci\u00f3n automatizada (ACH) fraudulenta y las transferencias electr\u00f3nicas, abrir cuentas fraudulentas,El malware Dridex ha evolucionado a trav\u00e9s de varias versiones desde su inicio, en parte para adaptarse a los navegadores actualizados. Aunque las caracter\u00edsticas descritas reflejan algunas de las configuraciones m\u00e1s recientes, los actores contin\u00faan identificando y explotando vulnerabilidades en software ampliamente utilizado.\u00bfC\u00f3mo infecta los equipos?En un ataque de malware Dridex, la v\u00edctima recibe un correo electr\u00f3nico que contiene un archivo adjunto en forma de un documento de Excel o un documento de Microsoft Word. Este documento viene con una carga \u00fatil que descarga el malware Dridex, que est\u00e1 dise\u00f1ado espec\u00edficamente para apuntar a los datos bancarios en l\u00ednea de la v\u00edctima. En estos ataques, la v\u00edctima se ve tentada a abrir el archivo adjunto utilizando los nombres de empresas v\u00e1lidas. Algunos de estos correos electr\u00f3nicos tambi\u00e9n pueden tener una factura adjunta que indique que provienen de un minorista en l\u00ednea, un banco o una empresa de software.El malware Dridex se instala inmediatamente despu\u00e9s de que la v\u00edctima abre el archivo adjunto que se env\u00eda por correo electr\u00f3nico. Despu\u00e9s de instalarse correctamente, el atacante sigue adelante y ejecuta las siguientes acciones:Ejecutar archivos.Subir archivos.Descargar archivos.Supervisar el tr\u00e1fico de la red.Toma capturas de pantalla del navegador.Agrega la computadora comprometida a una botnet.Descarga y ejecuta archivos adicionales.Descarga y ejecuta m\u00f3dulos adicionales.Se comunica con otros nodos pares a trav\u00e9s del protocolo peer-to-peer (P2P) para recuperar los detalles de configuraci\u00f3n.Inyectarse en los procesos del navegador para Chrome, Firefox e Internet Explorer para monitorizar las comunicaciones y robar datos.Los mensajes de phishing emplean una combinaci\u00f3n de dominios y nombres comerciales leg\u00edtimos, terminolog\u00eda profesional y lenguaje que implica la urgencia de persuadir a las v\u00edctimas para que activen los archivos adjuntos abiertos. Las direcciones de correo electr\u00f3nico del remitente pueden simular partes individuales (nombre@dominio.com), administrativas (admin@dominio.com, soporte@dominio.com) o partes locales comunes de \u00abno responder\u00bb (norespuesta@dominio.com). Los t\u00edtulos de asunto y adjunto pueden incluir t\u00e9rminos t\u00edpicos como \u00abfactura\u00bb, \u00abpedido\u00bb, \u00abescaneo\u00bb, \u00abrecibo\u00bb, \u00abnota de d\u00e9bito\u00bb, \u00abitinerario\u00bb y otros.Los mensajes de correo electr\u00f3nico var\u00edan ampliamente. El cuerpo del correo electr\u00f3nico puede no contener ning\u00fan texto, excepto para incluir archivos adjuntos con nombres que son cadenas de n\u00fameros, aparentemente confiando en la l\u00ednea de asunto y la curiosidad de la v\u00edctima para forzar la apertura del archivo malicioso. Cuando hay un cuerpo de mensaje, el cuerpo puede indicar espec\u00edficamente que el contenido del correo electr\u00f3nico se someti\u00f3 a un an\u00e1lisis de virus o simplemente dirige a la v\u00edctima hacia el enlace o archivo adjunto. En otros casos, el cuerpo puede incluir un mensaje largo y sustantivo, que proporciona m\u00faltiples puntos de contacto y contexto para el adjunto malicioso. Los nombres de archivos adjuntos e hiperv\u00ednculos var\u00edan desde conjuntos aleatorios de n\u00fameros o nombres de archivos autom\u00e1ticos de imitaci\u00f3n de esc\u00e1neres hasta nombres de archivos que pretenden hacer referencia a registros financieros.\u00bfQui\u00e9nes han sido sus principales v\u00edctimas?Los criminales detr\u00e1s de este malware parecen haber cambiado sus formas y ahora est\u00e1n enviando campa\u00f1as de spam Dridex m\u00e1s peque\u00f1as. En lugar de enviar correos electr\u00f3nicos a usuarios aleatorios, las campa\u00f1as han comenzado a dirigirse a empresas.Se enfocan principalmente en servicios financieros y organizaciones de manufactura. Esta reciente explosi\u00f3n de Dridex se dirige a una serie de aplicaciones de gesti\u00f3n remota, punto de venta (POS) y procesamiento de pagos de back-end.Parece que los delincuentes est\u00e1n tratando de comprometer a los empleados y a las personas con acceso a informaci\u00f3n valiosa. El troyano Dridex es capaz de suplantar las credenciales de las v\u00edctimas para muchas aplicaciones financieras.\u00bfC\u00f3mo protegerse de Dridex?Afortunadamente, es m\u00e1s f\u00e1cil protegerse contra Dridex que detectarlo. Aqu\u00ed tienes una serie de consejos para protegerte del troyano bancario Dridex.UsuariosSi eres un usuario particular, as\u00ed es como puedes protegerte de Dridex:Mant\u00e9n actualizado el software de seguridad, aplicaciones y utilidades.Utiliza la autenticaci\u00f3n de dos actores siempre que la opci\u00f3n est\u00e9 disponible.Descarga solo aplicaciones y archivos de fuentes confiables.Utiliza un navegador en el que conf\u00edess cuando realice compras y operaciones bancarias en l\u00ednea.Usa todas las funciones de seguridad que ofrecen los bancos.Utiliza un administrador de contrase\u00f1as. La mayor\u00eda de los troyanos bancarios pueden registrar pulsaciones de teclas. Al usar un administrador de contrase\u00f1as para completar las contrase\u00f1as, evitas ingresar f\u00edsicamente las credenciales, lo que esencialmente hace que un keylogger sea in\u00fatil.Compara la pantalla de inicio de sesi\u00f3n de tu banco en tu computadora con la misma pantalla de inicio de sesi\u00f3n en la de otra persona para asegurarte de que tengan el mismo aspecto.Utiliza soluciones de filtrado de tr\u00e1fico para evitar la fuga de datos.Realiza cualquier formaci\u00f3n de concienciaci\u00f3n sobre seguridad que ofrezca tu empresa u organizaci\u00f3n.Aprende a detectar correos electr\u00f3nicos de phishing y no hagas clic en enlaces sospechosos. As\u00ed es como se instalan la mayor\u00eda de los troyanos bancarios.Aprende a detectar sitios web falsos.EmpresasLas empresas deben considerar implementar los siguientes controles de seguridad en funci\u00f3n de sus circunstancias espec\u00edficas:Implementa un firewall de aplicaciones web.Implementa la autenticaci\u00f3n multifactor.Introduce protecci\u00f3n contra fraudes web para detectar clientes infectados que inician sesi\u00f3n en sus aplicaciones.Utiliza un sistema de detecci\u00f3n de intrusos para detectar malware troyano.Cambia las direcciones de correo electr\u00f3nico de los empleados espec\u00edficos.Revisa los controles de acceso.Notifica a los clientes sobre el malware detectado en sus sistemas durante el inicio de sesi\u00f3n para que puedan tomar medidas para limpiar sus sistemas.Brinda capacitaci\u00f3n sobre concienciaci\u00f3n sobre seguridad a empleados y clientes.Eliminar software malicioso DridexSabiendo lo que puede hacer el virus Dridex, definitivamente vale la pena saber c\u00f3mo deshacerse de \u00e9l. Lo bueno es que es f\u00e1cil hacerlo en tu dispositivo Windows. El m\u00e9todo de eliminaci\u00f3n implica el uso del Administrador de tareas. Aqu\u00ed hay una gu\u00eda paso a paso sobre qu\u00e9 hacer:Iniciq el Administrador de tareas presionando las teclas CTRL + Shift + ESC juntas. Tambi\u00e9n puedes llevar el cursor a la barra de tareas, hacer clic con el bot\u00f3n derecho en cualquier espacio vac\u00edo y luego seleccionar Administrador de tareas.Revisa la lista y haz clic con el bot\u00f3n derecho en cualquier archivo que parezca sospechoso.Selecciona Abrir ubicaci\u00f3n de archivo.Aparecer\u00e1 una nueva ventana con el archivo. Haz clic derecho en el archivo y presiona Eliminar.Alternativamente, puedes seguir estos pasos:Abre el Administrador de tareas.Ve a la pesta\u00f1a Inicio.Haz clic en los procesos sospechosos y pulsa en el bot\u00f3n Desactivar ubicado en la esquina inferior derecha del Administrador de tareas.Si nada de lo anterior ha funcionado, tu \u00faltimo recurso es utilizar una herramienta de detecci\u00f3n y eliminaci\u00f3n de malware de terceros. En primer lugar, descarga e instala una. Despu\u00e9s de eso, ejecuta un escaneo r\u00e1pido. Una vez que encuentre una amenaza potencial, te alertar\u00e1 y podr\u00e1s decidir si poner en cuarentena la amenaza o eliminarla por completo."},{"@context":"http:\/\/schema.org\/","@type":"BreadcrumbList","itemListElement":[{"@type":"ListItem","position":1,"item":{"@id":"https:\/\/ayudaleyprotecciondatos.es\/#breadcrumbitem","name":"Ayuda Ley Protecci\u00f3n Datos"}},{"@type":"ListItem","position":2,"item":{"@id":"https:\/\/ayudaleyprotecciondatos.es\/2021\/08\/02\/dridex\/#breadcrumbitem","name":"Dridex, un troyano bancario muy peligroso"}}]}]