Menú Cerrar

La evolución del troyano bancario

La evolución del troyano bancario



El troyano bancario Dridex, que se ha convertido en una amenaza cibernética financiera importante en los últimos años (en 2015, el daño causado por el troyano se estimó en más de $ 40 millones), se distingue de otros programas maliciosos porque ha evolucionado continuamente y se ha vuelto más sofisticado desde entonces. hizo su primera aparición en 2011. Dridex ha podido escapar de la justicia durante tanto tiempo al ocultar sus principales servidores de comando y control (C&C) detrás de las capas proxy. Dado que las versiones antiguas dejan de funcionar cuando aparecen nuevas y que cada nueva mejora es un paso más en el desarrollo sistemático del malware, se puede concluir que las mismas personas han estado involucradas en el desarrollo del troyano todo este tiempo.

Cómo empezó todo

Dridex hizo su primera aparición como un programa malicioso independiente (bajo el nombre de “Cridex”) alrededor de septiembre de 2011. Un análisis de una muestra de Cridex (MD5: 78cc821b5acfc017c855bc7060479f84) demostró que, en sus primeros días, el malware podía recibir archivos de configuración dinámica, usar inyecciones en la web para robar dinero y poder infectar dispositivos USB. Esta habilidad influyó en el nombre bajo el cual se detectó la versión “cero” de Cridex: Worm.Win32.Cridex.

Esa versión tenía un archivo de configuración binario de Dridex

Las secciones denominadas databefore, datainject y data después hicieron que las inyecciones web se parecieran al malware Zeus generalizado (pudo existir una conexión entre esto y la fuga del código fuente de Zeus 2011).

Cridex 0.77–0.80

En 2012, se lanzó una variante Cridex significativamente modificada (MD5: 45ceacdc333a6a49ef23ad87196f375f). Los ciberdelincuentes habían eliminado la funcionalidad relacionada con la infección de los medios USB y reemplazaron el formato binario del archivo de configuración y los paquetes con XML. Las solicitudes enviadas por el malware al servidor de C&C tenían el siguiente aspecto

La etiqueta era el elemento raíz XML. La etiqueta contenía información sobre el sistema, el identificador y la versión del bot.

Configuración de muestra

Con la excepción del elemento raíz , el archivo de configuración Dridex 0.8 permaneció prácticamente sin cambios hasta la versión 3.0.

Dridex 1.10

La versión “cero” se mantuvo hasta junio de 2014. Ese mes se llevó a cabo una operación importante ( Operación Tovar ) para eliminar otro programa malicioso generalizado, Gameover Zeus. Casi tan pronto como Zeus fue eliminado, la versión “cero” de Cridex dejó de funcionar y la versión 1.100 de Dridex apareció casi exactamente un mes después (el 22 de junio).

Configuración de muestra

Esta muestra ya tiene redireccionamientos para scripts .js inyectados que son característicos de Dridex.

Aquí hay una comparación entre las inyecciones de Dridex y Gameover Zeus:

Por lo tanto, la eliminación de una botnet popular (Gameover Zeus) condujo a un gran avance en el desarrollo de otra, que tenía muchas semejanzas con su predecesora.

Dridex había comenzado a usar PCRE, mientras que sus versiones anteriores usaban SLRE. Sorprendentemente, el único malware bancario que también utilizó SLRE fue Trojan-Banker.Win32.Shifu. Ese troyano se descubrió en agosto de 2015 y se distribuyó a través del correo no deseado a través de las mismas botnets que Dridex. Además, ambos troyanos bancarios utilizaron archivos de configuración XML.

Existen motivos para creer que, al menos en 2014, los ciberdelincuentes detrás de Dridex eran hablantes de ruso. Esto está respaldado por comentarios en el código fuente del servidor de comando y control:

Y por los volcados de la base de datos

Dridex: de la versión 2 a la versión 3

A principios de 2015, Dridex implementó una especie de red P2P, que también recuerda al troyano Gameover Zeus. En esa red, algunos pares (supernodos) tenían acceso a los C&C y le enviaban solicitudes de otros nodos de la red. El archivo de configuración todavía se almacenaba en formato XML, pero tenía una nueva sección, , que contenía una lista de pares actualizada. Además, el protocolo utilizado para la comunicación con los C&C estaba encriptado.

Dridex: de la Versión 3 a la Versión 4

Uno de los administradores de la red Dridex fue arrestado el 28 de agosto de 2015. En los primeros días de septiembre, las redes con identificadores 120, 200 y 220 se desconectaron. Sin embargo, volvieron a estar en línea en octubre y se agregaron nuevas redes: 121, 122, 123, 301, 302 y 303.

En particular, los cibercriminales intensificaron las medidas de seguridad en ese momento. Específicamente, introdujeron el filtrado geográfico en el que apareció un campo de IP en los paquetes de solicitud de C&C, que luego se usó para identificar el par del país. Si no estaba en la lista de países objetivo, el par recibió un mensaje de error.

En 2016, el cargador se volvió más complicado y se cambiaron los métodos de cifrado. Se introdujo un protocolo de cargador binario, junto con una sección , que contenía el archivo de configuración en formato binario.

Dridex 4.x. Regreso al futuro

La cuarta versión de Dridex se detectó a principios de 2017. Tiene capacidades similares a la tercera versión, pero los ciberdelincuentes dejaron de usar el formato XML en el archivo de configuración y los paquetes y volvieron a la versión binaria. El análisis de nuevas muestras se vuelve significativamente más difícil por el hecho de que el cargador ahora funciona durante dos días, como máximo. Esto es similar a Lurk, excepto que el cargador de Lurk solo estuvo activo durante un par de horas.

Una nueva variante de Dridex observada en julio de 2019 se disfraza como procesos legítimos del sistema de Windows para evitar la detección.

La variante utiliza cinco técnicas de inyección de código durante el ciclo de vida de la infección: AtomBombing, secuestro de órdenes DLL, vaciado de procesos, inyección de PE y secuestro de ejecución de subprocesos.

Las técnicas de inyección de código se usaron contra ejecutables legítimos de Windows. Se proporciona un valor entero incremental a la línea de comando al proceso suspendido para realizar tareas específicas.

Los desarrolladores de Dridex buscan víctimas potenciales en Europa. Entre el 1 de enero y principios de abril de 2017, se detectaron actividad de Dridex en varios países europeos. El Reino Unido representó más de la mitad (casi el 60%) de todas las detecciones, seguido de Alemania y Francia. Al mismo tiempo, el malware nunca funciona en Rusia, ya que los C&C detectan el país a través de la dirección IP y no responden si el país es Rusia.

En los varios años que ha existido la familia Dridex, ha habido numerosos intentos fallidos de bloquear la actividad de la botnet. La evolución continua del malware demuestra que los cibercriminales no se quieren despedir de su creación, lo que les proporciona un flujo constante de ingresos. Los hackers continúan implementando nuevas técnicas para evadir el sistema de Control de cuentas de usuario (UAC). Estas técnicas permiten que el malware ejecute sus componentes maliciosos en los sistemas Windows.

Se supone que los mismos hackers que desarrollaron Dridex, son los mismos que desarrollaron Zeus Gameover, pero no se sabe a ciencia cierta. El daño hecho por los cibercriminales también es imposible de evaluar con precisión. Basado en una estimación muy aproximada, ya ha alcanzado cientos de millones de dólares. Además, dada la forma en que evoluciona el malware, se puede suponer que una parte importante de las “ganancias” se reinvierte en el desarrollo del troyano bancario.

Fuentes: bromium, Cert, Stop Malvertising, Lifars

Fuente: www.azulweb.net / Ernesto Mota

Noticias relacionadas

Tiktok suspende su aplicación en China; gigantes de EE.UU. resisten

Tiktok suspende su aplicación en China; gigantes de EE.UU. resisten

  julio 7, 2020 - 10:17 am Internacionales | Tecnología Ilustración: Dado Ruvic vía REUTERS Los crecientes poderes para censurar ... Leer más
EE.UU. analiza prohibición de redes sociales chinas, incluido TikTok; revela Pompeo

EE.UU. analiza prohibición de redes sociales chinas, incluido TikTok; revela Pompeo

Foto de Kon Karampelas para UnsplashMike Pompeo reveló que el gobierno de Estados Unidos analiza la prohibición de aplicaciones de ... Leer más
El impactante VIDEO de la Nasa que condensa una década del sol en una hora

El impactante VIDEO de la Nasa que condensa una década del sol en una hora

Lapatilla julio 02 2020, 9:22 am Foto: Captura de video  En junio de 2020 se cumplieron 10 años de observación ... Leer más
Este cargador inalámbrico además desinfecta tu móvil

Este cargador inalámbrico además desinfecta tu móvil

Foto: SamsungLo último de Samsung es un dispositivo muy acorde con los tiempos que corren. se trata de un cargador ... Leer más
Cargando...
Publicado en Tecnología

Otras noticias de interés

Volver al inicio