Dridex, el troyano que roba tu cuenta bancaria

La ciberseguridad está proporcionando el pegamento a medida que la innovación explota en cada esquina. Puede disminuir lo malo y apoyar lo bueno para aplicar la innovación de vanguardia. También puede reducir el riesgo de vulnerabilidades más antiguas.

¿Cuál es el gran tema de conversación en 2021? La seguridad cibernética. Es hora de revisar las amenazas en línea más peligrosas.

Con la creciente popularidad de los servicios bancarios en línea, el robo de credenciales financieras se ha convertido en una actividad delictiva popular en la web. Además de robar códigos de acceso para cuentas bancarias personales, los piratas informáticos ahora quieren robar los detalles de las tarjetas de crédito y otros modos de pago.

Un método popular que utilizan estos ciberdelincuentes en la actualidad es el llamado virus Dridex. En este post hablamos del troyano Dridex, qué es, cómo funciona, cómo protegernos y cómo eliminar este malware.

¿Qué es Dridex?

Dridex es una forma de malware que se dirige a la información bancaria de su víctima. El software malicioso, o software malintencionado, es un tipo de software destinado a causar daño a un usuario. Específicamente, el malware Dridex se clasifica como un troyano, que oculta la codificación maliciosa dentro de datos aparentemente inofensivos.

El objetivo principal del malware Dridex es robar información confidencial de las cuentas bancarias de sus víctimas, por ejemplo, sus credenciales bancarias en línea y acceso financiero.

Este malware se dirigirá a los usuarios de Windows mediante el envío de campañas de correo electrónico no deseado para engañar a las personas para que abran un archivo adjunto de correo electrónico para un archivo de Word o Excel. Escondido dentro de estos archivos se encuentra el malware Dridex, que luego infectará computadoras para robar información personal, principalmente credenciales bancarias.

Se puede apuntar a instituciones financieras y clientes dentro de los servicios financieros, principalmente de países de habla inglesa. En 2020, Dridex se volvió más relevante, impactando entre el 3% y el 4% de las organizaciones en todo el mundo.

Este troyano bancario es un tipo de malware que debe tenerse en cuenta, ya que expone a las personas a posibles robos bancarios. El malware también se ha actualizado meticulosamente durante los últimos 10 años, lo que significa que es probable que un grupo de personas lo desarrolle y actualice. EvilCorp es el grupo presuntamente responsable de Dridex .

Historia y evolución

Dridex apareció por primera vez alrededor de 2011-2012. Inicialmente, era capaz de recibir archivos de configuración dinámica y usar inyecciones web para robar dinero. En ese momento, el malware se llamaba Cridex; el malware Cridex en sí se basaba en el malware del caballo de Troya Zeus.

Desde entonces, lo que eventualmente se convertiría en el malware Dridex ha ido cambiando y evolucionando continuamente. Ha podido evitar la detección ocultando sus servidores principales detrás de capas de proxy. A medida que aparecen nuevas versiones, las antiguas dejan de funcionar, dando a entender que es un grupo de personas el que está detrás de este ataque.

Una variante significativa de Cridex se lanzó en 2012. En particular, esta versión infectó los medios USB y reemplazó el formato binario del archivo de configuración y los paquetes con XML. Después de la variante 0.8, Cridex se mantuvo prácticamente sin cambios hasta la versión 3.4.

En 2014, el malware bancario se propagó en una campaña de spam que se extendió hasta 15.000 correos electrónicos al día. Los ataques se centraron en sistemas ubicados en el Reino Unido. Un año más tarde, el Reino Unido tenía un robo estimado de £ 20 millones y $ 10 millones en los Estados Unidos debido al malware.

El 28 de agosto de 2015 fue detenido uno de los administradores de la red Dridex. Después de esto, en septiembre, tres de las redes de Dridex cayeron. Más tarde en octubre, sin embargo, las mismas redes volvieron a estar en línea con seis redes adicionales agregadas. Para 2016, el cargador utilizado se volvió más complicado y los métodos de cifrado cambiaron.

La cuarta versión se detectó por primera vez en 2017. El gran cambio en esta versión fue que el formato XML utilizado se cambió de nuevo a binario. La estructura del paquete era similar a las utilizadas en la tercera versión.

Desde su creación hasta ahora, Dridex ha tenido muchas iteraciones que agregaron características como el cifrado P2P y algoritmos hash.

Sin embargo, en diciembre de 2019, el FBI había acusado a dos sospechosos que creían que habían creado el troyano Dridex. Dos ciudadanos rusos, Maksim V. Yakubets e Igor Turashev, fueron sospechosos de su creación. Ambos fueron acusados ​​posteriormente de conspiración para cometer fraude bancario, entre una serie de otros cargos. Además, Yakubets fue acusado de otro cargo de conspiración para cometer fraude bancario, emitido por otro estado de EE. UU. Por su participación en la variante de malware Zeus.

¿Cómo actúa Dridex?

Los ciberdelincuentes difundirán Dridex a través de correos electrónicos no deseados. Los correos electrónicos se presentan como oficiales y pedirán a la víctima que abra un archivo adjunto de Microsoft Word o Excel. Una macro incrustada dentro del archivo se activará cuando se abra el archivo e iniciará una descarga de Dridex. A partir de ahí, el malware comenzará a robar credenciales bancarias y realizará transacciones financieras fraudulentas.

Para robar información, el malware inyectará un registrador de teclas , que controlará y registrará cada pulsación de tecla que se escriba en el teclado de una computadora. Esto permitirá a los atacantes robar información de inicio de sesión y contraseña, incluidas las credenciales bancarias en línea.

Dridex también tiene una variedad de otras capacidades. También se pueden habilitar los ataques de inyección, lo que permite la descarga de más malware para ejecutar comandos remotos o inyectar código en un programa específico.

Luego, el malware empaquetará y cifrará los datos robados antes de transmitirlos a través de redes P2P en XML o binario , según la versión.

Dridex es difícil de detectar, ya que generalmente puede eludir las detecciones antivirus.

¿Qué tiene de especial?

Los piratas informáticos Dridex parecían centrarse particularmente en organizaciones pequeñas y medianas, en lugar de individuos.

A diferencia de otros programas maliciosos, conocidos como «gusanos», Dridex no se propaga por sí solo. En cambio, los autores utilizan su base de datos de direcciones de correo electrónico que eligieron para inicializar el ataque. Sus objetivos están repartidos por todo el mundo.

Dridex no utiliza ninguna vulnerabilidad de seguridad en particular para infectar computadoras: el usuario debe iniciar la infección de manera activa. Si el usuario no abre el archivo adjunto infectado, si las macros están desactivadas o si se rechaza la notificación de la macro que solicita permiso para ejecutarse, Dridex no puede infectar la computadora.

Dridex también se considera peligroso debido a su capacidad para mantener sus rastros y pistas en el sistema infectado mediante la creación de un registro de inicio automático al apagar el sistema, así como la eliminación del archivo de configuración en el registro.

¿Cómo se detecta una infección de malware Dridex?

Es posible que el software de detección de amenazas basado en firmas no pueda detectar Dridex. La amenaza está en constante evolución, utilizando firmas previamente desconocidas, lo que dificulta su detección.

Para detectar posiblemente Dridex, las personas pueden usar herramientas que no funcionan principalmente en la detección de amenazas basada en firmas. Por ejemplo, algunas herramientas pueden utilizar el aprendizaje automático, que puede modelar el tráfico de la red para comprender los patrones de actividad normal de los usuarios.

A continuación, se puede señalar el tráfico inusual y observarlo más de cerca. Algunos software de detección de malware también pueden funcionar si identifica comportamientos poco comunes o archivos .exe. Como tal, algunas herramientas antimalware funcionarán para detectar Dridex.

¿Cómo te proteges contra Dridex?

Afortunadamente, es más fácil protegerse contra Dridex que detectarlo.

Algunas opciones defensivas incluyen:

  • Ten cuidado al abrir archivos adjuntos de correo electrónico de remitentes desconocidos.
  • Deja sin abrir los archivos enviados desde direcciones de correo electrónico desconocidas y sospechosas.
  • Descarga archivos solo de fuentes confiables.
  • Mantén las aplicaciones y los navegadores actualizados.
  • Utiliza un software de detección de malware que utilice otros métodos además de la detección de amenazas basada en firmas.
  • Educa a otras personas o empleados sobre cómo identificar el spam malicioso.

¿Cómo saber si su PC está infectado?

Estos son algunos de los síntomas obvios del virus Dridex:

  • Velocidad de red deficiente: debido a que el virus intenta acceder a los recursos de su red para descargar un programa malicioso, es probable que experimentes una velocidad de Internet lenta.
  • Cambios en el registro: el virus puede intentar agregar entradas de registro nuevas pero innecesarias. También puede modificar los existentes.
  • Rendimiento lento del sistema: debido a los programas maliciosos instalados por el virus, es posible que experimentes un rendimiento lento del sistema.
  • Configuración alterada del navegador: el virus Dridex puede modificar la configuración de tu navegador, haciendo que aparezcan ventanas emergentes en tu navegador activo.

¿Cómo eliminarlo?

Sabiendo lo que puede hacer el virus Dridex, definitivamente vale la pena saber cómo deshacerse de él. Lo bueno es que es fácil hacerlo en tu dispositivo Windows. El método de eliminación implica el uso del Administrador de tareas.

Aquí hay una guía paso a paso sobre qué hacer:

  • Inicia el Administrador de tareas presionando las teclas CTRL + Shift + ESC juntas. También puedes llevar el cursor a la barra de tareas, hacer clic con el botón derecho en cualquier espacio vacío y luego seleccionar Administrador de tareas.
  • Revisa la lista y haz clic con el botón derecho en cualquier archivo que parezca sospechoso.
  • Selecciona Abrir ubicación de archivo.
  • Aparecerá una nueva ventana con el archivo. Haz clic derecho en el archivo y presiona Eliminar .

Alternativamente, puedes seguir estos pasos:

  • Abre el Administrador de tareas.
  • Ve a la pestaña Inicio.
  • Haz clic en los procesos sospechosos y luego en el botón Desactivar ubicado en la esquina inferior derecha del Administrador de tareas.

Si nada de lo anterior funcionó, tu último recurso es utilizar una herramienta de detección y eliminación de malware de terceros. Descarga e instala una. Después de eso, ejecuta un escaneo rápido. Una vez que encuentre una amenaza potencial, te alertará y podrás decidir si poner en cuarentena la amenaza o eliminarla por completo.