Malware Dridex

O malware Dridex (também conhecido como Bugat e Cridex) é classificado como um infostealer e trojan com recursos sofisticados de botnet, o que o torna uma empresa de Malware como Serviço (MaaS) altamente lucrativa para o grupo criminoso cibernético Evil Corp. O tamanho da rede de bots do Dridex o distingue como uma das linhagens de malware mais ativas no ambiente global de ameaças.

O Dridex tem uma longa e célebre história e foi gerado a partir das mesmas origens do Emotet: Ambos se originaram como o prolífico malware trojan bancário Zeus, identificado pela primeira vez em 2006 e vazado publicamente como código-fonte em 2011. A primeira versão do Dridex surgiu junto com o Emtotet em 2014, das cinzas de uma operação do FBI que tentava derrubar um grupo de hackers russo, o Business Club. O Dridex ainda usa parte do código-fonte do Zeus e segue os passos do Zeus ao consolidar suas vítimas em um botnet zumbi global. 

A rede de bots global Dridex é segmentada em blocos e alugada para as afiliadas da Evil Corp, que usam a rede de bots para espalhar phishing e malspam para aumentar a rede de bots e lançar ataques de ransomware, geralmenteimportando o ransomware BitPaymer, outro produto da Evil Corp. Os afiliados da Evil Corp pagam uma taxa mensal fixa por bloco de bots zumbis e supostamente devolvem metade de qualquer resgate extorquido à Evil Corp. O modelo de MaaS baseado na botnet Dridex gerou à Evil Corp mais de US$ 100 milhões de lucro ilícito e, embora o Departamento de Justiça dos EUA e o FBI tenham acusado dois russos de hacking e fraude bancária em 2019, nenhuma prisão foi feita, apesar de uma recompensa de US$ 3 milhões.

Os ataques de primeiro estágio do Dridex são normalmente implantados em campanhas de phishing e malspam que usam um documento do Microsoft Office protegido por senha contendo uma macro VBA maliciosa, mas são distribuídos em outros formatos. Depois de comprometer uma vítima, o Dridex aproveita seu design modular para importar componentes, dependendo da tarefa que o operador deseja que o sistema infectado execute.

As táticas de segundo estágio do Dridex incluem:

• Manter a persistência injetando chamadas para seu executável nas tarefas agendadas do Windows e nas chaves de registro do Autorun 
• Atuar como um bot de spam para que os atacantes operem campanhas de phishing e malspam remotamente, protegendo efetivamente a identidade dos atacantes
• Roubo e exfiltração de senhas e dados de e-mail de centenas de aplicativos
• Uso de várias técnicas diferentes de injeção na Web para infectar navegadores e roubar dados de login, tokens de autenticação multifator (MFA) e tokens de sessão de sites de bancos e criptomoedas
• Uso de várias combinações de protocolos para burlar firewalls; geralmente, TCP/HTTP para mascarar suas comunicações como tráfego regular da Internet, mas também protocolo de streaming UDP e Secured Over Credential-Based Kerberos Services (SOCKS) para conexões de proxy
• Instalação de módulos VNC para obter conexões de área de trabalho remota
• Recursos de vigilância, como exfiltração de pressionamentos de teclas e capturas de tela
• Ataque a ambientes de pesquisa de malware apagando o registro mestre de inicialização (MBR) para desativar o sistema

A capacidade mais impressionante da Dridex são seus recursos avançados de botnet ponto a ponto (P2P), que compreendem várias camadas hierárquicas de infraestrutura e cadeias de proxy de vários saltos. Essa arquitetura dificulta a identificação da fonte de comando e controle (C2) de backend mais distante, pois os front-ends intermediários de C2 se comunicam diretamente com os nós mestres locais comprometidos que, por sua vez, gerenciam um grupo de bots zumbis locais. Essa infraestrutura em camadas também reduz efetivamente o tráfego que precisa passar pelo perímetro da rede, mantendo caches locais de módulos.

O Dridex também introduziu várias técnicas nunca vistas que contribuíram para seu sucesso, como o AtomBombing, que injeta e executa código em outro processo sem usar as chamadas de API padrão usadas por malware. Em vez disso, o AtomBombing sequestra as "tabelas de átomos" do Windows, locais de memória onde um aplicativo armazena funções temporariamente. O Dridex foi o pioneiro da técnica AtomBombing, injetando seus comandos furtivamente.

A proteção contra o Dridex exige um sólido programa de segurança cibernética empresarial, incluindo segurança de endpoint que detecte e bloqueie novas técnicas. Veja a seguir as táticas defensivas para atenuar um ataque do Dridex:

• Verifique se os aplicativos do Office estão configurados para desativar todas as macros sem notificação ou desativar todas as configurações de macros, exceto as assinadas digitalmente 
• Preste atenção especial às notificações de aviso em clientes de e-mail e aplicativos do Office que podem alertá-lo sobre contextos suspeitos, como arquivos que não foram verificados quanto a malware ou que contêm macros VBA
• Considere o treinamento de conscientização do usuário para instruir o pessoal sobre técnicas de phishing e desenvolva procedimentos operacionais padrão (SOP) para lidar com e-mails e documentos suspeitos
• Configure os clientes de e-mail para notificar os usuários quando os e-mails forem originados de fora da organização
• Implemente uma estratégia de backup confiável com backups off-line bem protegidos e pratique procedimentos de recuperação de desastres para garantir que as metas de tempo médio de recuperação (MTTR) possam ser atingidas
• Use um proxy de conteúdo para monitorar o uso da Internet e restringir o acesso do usuário a sites suspeitos ou de risco
• Realizar varreduras regulares de vulnerabilidades e testes de penetração em toda a infraestrutura de rede e corrigir as vulnerabilidades descobertas o mais rápido possível
• Instalar e configurar produtos de segurança de endpoint que examinam documentos criptografados imediatamente após eles serem descriptografados
• Instale e mantenha os dispositivos de segurança de detecção e prevenção de intrusões (IDS/IPS) totalmente atualizados para detectar comportamentos anormais na rede