ANALISIS DEL TROYANO BANCARIO DRIDEX

Dridex es un troyano bancario financiero, que se considera el sucesor del malware GameOver Zeus.

Dridex era el más activo entre 2014 y 2015, y se observo en campañas más pequeñas durante 2016 con su actividad al máximo en mayo de 2016.

El 25 de enero de 2017, piratas informaticos detrás del Dridex empezarón otra pequeña campaña dirigida a las instituciones financieras del Reino Unido.

Flashpoint identificó un método de derivación no observado previamente, el control de cuentas de usuario Dridex (UAC) que se caracteriza por el uso de recdisc .Exe, una recuperación predeterminado ejecutable de disco de Windows, y su carga de código malicioso a través de SPP .DLL suplantado.

La nueva infección Dridex utiliza svchost y spoolsrv para comunicarse con sus compañeros y servidores de primera capa de comando y control (C2).

Dridex utiliza una versión mejorada de la arquitectura de GoZ peer-to-peer para proteger sus servidores de comando y control (C2) en contra de la detección por los investigadores de seguridad y cumplimiento de la ley.

Después de la infección de malware, los módulos grabber y WebInject simbólicos Dridex permite a los operadores de fraude solicitar rápidamente cualquier información adicional que se requiere para subvertir la autenticación y autorización de impuestos por los sistemas de lucha contra el fraude en las instituciones financieras. Los operadores de fraude son capaces de crear una ventana de diálogo personalizado y consultar las víctimas infectadas para obtener información adicional como si fue enviado por el propio banco.

Una muestra típica Dridex a menudo viene a través como un documento de Word con macros, que se descargan y luego ejecutados. Dridex se compone de dos módulos: un módulo inicial descarga el módulo principal.

Flashpoint analizó el malware en la arquitectura x64 de Windows.

  • Nombre del archivo Qqwed.exe
  • Tamaño 151416 bytes
  • Tipo PE32 ejecutable (GUI) Intel 80386, para MS Windows
  • Arquitectura 32 bits binarios
  • idioma Inglés
  • El malware se borra a sí mismo desde el lugar y se copia en% TEMP% actual.

Dridex ejecuta los siguientes comandos: C:\Windows\System32\svchost.exe "C:\Users\%USUARIO%\AppData\Local\Temp\dridex exe" y C:\Windows\System32\spoolsv.exe "C:\Users\%USUARIO%\AppData\Local\Temp\dridex exe"

Windows 7 eleva automáticamente una lista hecha a mano de aplicaciones, siendo una de ellas recdisc, lo que reduce aún más la UAC de cuadros de diálogo de un usuario de Windows. Estas aplicaciones se denominan como para auto-elevación de la lista blanca. Dridex aprovecha esta característica para evitar UAC.

El nuevo método UAC de derivación funciona como sigue

1. Dridex crea un directorio en Windows \System32\6886.

2. Copias Dridex binarios de Windows \System32\ recdisc.exe para Windows \System32\6886\.

3. Sí Dridex copia a %APPDATA%\Local\Temp como un archivo tmp y el propio Windows\System32\6886\SPP.DLL se mueve.

4. Dridex elimina cualquier .exe y .dll po * * wu desde Windows\System32.

5. Dridex ejecuta recdisc. Exe y carga a sí misma como SPP suplantado .DLL con privilegios administrativos.

Dridex no pasa por UAC copiando recdisc exe en la nueva carpeta, titulado "6886," imitando el directorio de Windows legítimo en 686 para la arquitectura x64 de Windows:


C:\Windows\System32\6886
copy C:\Windows\System32\recdisc.exe C:\Windows\System32\6886
move C:\Users\Admin\AppData\Local\Temp\G8F2.tmp C:\Windows\System32\6886\SPP.dll
move C:\Users\Admin\AppData\Local\Temp\Iq3903.tmp
C:\Windows\System32\6886\A3hwpMKr.x3m
del %0 & exit

La siguiente secuencia de comandos ejecuta el archivo por lotes cmd:C:\Windows\System32\cmd exe/c C:\Users\Admin\AppData\Local\Temp\3Dlej2 cmd del C:\Windows\System32\sysprep\wi * exe del C:\Windows\System32\sysprep\ po * DLL del 0% y salir

Dridex crea una regla de cortafuegos permitiendo que los oyentes ICMPv4 para las comunicaciones de protocolo peer-to-peer en %AppData%\Local\Temp\:


netsh advfirewall firewall add rule name=”Core Networking – Multicast Listener Done (ICMPv4-In)” program=”C:\Windows\explorer[.]exe” dir=in action=allow protocol=TCP localport=any
del C:\Windows\System32\sysprep\wi*.exe
del C:\Windows\System32\sysprep\po*.dll
del %0 & exit
Fecha actualización el 2017-6-17. Fecha publicación el . Categoría: Malware. Autor: Mapa del sitio
troyano bancario dridex