¿Cómo funciona?
El malware Dridex se puede distribuir de varias formas. Algunos ejemplos comunes incluyen phishing emails, kits de exploits y entrega como infección de segunda etapa por malware de otras familias de malware como Emotet.
Una vez ejecutado en una máquina infectada, Dridex utiliza la inyección de proceso y la conexión para obtener acceso a capturas de pantalla e información sobre pulsaciones de teclas. También puede recopilar información de los navegadores web, ser controlado remotamente por el atacante y descargar y ejecutar otro malware. Con frecuencia, Dridex utiliza módulos de inyección web que llevan a cabo ataques “hombre en el navegador” y permiten a los ciberdelincuentes robar credenciales de cuentas bancarias, correos electrónicos y redes sociales.
Evolución del malware Dridex
El malware Dridex comenzó como un sistema bancario. troyano, recopilando credenciales de inicio de sesión para plataformas bancarias en línea de máquinas infectadas. Si bien esto sigue siendo una parte central de su funcionalidad, y la mayoría de los ataques de Dridex son dirigido a la industria de servicios financieros, ha ampliado sus capacidades en los últimos años.
Ahora, Dridex también incorpora capacidades de robo de información y botnet, similares a TrickBot y Qbot. Si bien el malware parece estar en declive en comparación con estos competidores, todavía está en desarrollo activo. En septiembre de 2021, una nueva variante del malware fue descubierto que amplió las capacidades de robo de información del malware y se utilizó en una nueva campaña de phishing que entregó documentos Excel maliciosos. Dridex también fue líder entre el malware que aprovechó la vulnerabilidad Log4J en diciembre de 2021.
Cómo protegerse contra el malware Dridex
Dridex combina la funcionalidad de un troyano bancario, un malware de botnet y un ladrón de información y se distribuye de varias maneras. Algunos métodos por los cuales una organización puede protegerse contra una infección por Dridex y manejar sus impactos incluyen:
- Anti-Phishing Protection: Dridex se distribuye principalmente a través de campañas de phishing dentro de un archivo adjunto malicioso. Para evitar que el malware llegue a los sistemas corporativos se necesitan soluciones antiphishing que puedan analizar e identificar el malware en un entorno aislado antes de que llegue a las bandejas de entrada de los empleados.
- Content Disarm and Reconstruction (CDR): A menudo, Dridex se incrusta en documentos maliciosos utilizando macros de Microsoft Office. El CDR permite que la funcionalidad maliciosa se desvíe de un documento antes de que la versión saneada se envíe al destinatario previsto.
- Actualización y administración de parches: Además de los ataques de phishing, Dridex también se propaga explotando vulnerabilidades no parcheadas como Log4J. La instalación inmediata de actualizaciones y parches puede ayudar a proteger los sistemas vulnerables contra la explotación y la infección por Dridex.
- Detección y respuesta del Endpoint (EDR): Una vez presente en un sistema, el malware Dridex utiliza varias técnicas para robar información confidencial y realizar otras funciones maliciosas. Una solución EDR puede identificar estas acciones e iniciar el proceso de remediación de la infección.
- autenticación de múltiples factores (MFA): El malware Dridex está diseñado para apoderarse de las cuentas de los empleados robando sus credenciales de inicio de sesión de una computadora comprometida. Hacer cumplir el uso de MFA en toda la empresa hace que sea más difícil para un atacante utilizar las credenciales robadas por el malware.
- Acceso de menor privilegio: Un ataque exitoso de Dridex da como resultado que el atacante controle una o más cuentas corporativas. Si una organización ha seguido los principios de confianza cero e implementado privilegios mínimos, el impacto de estas cuentas comprometidas se minimiza.
- Monitoreo del comportamiento de la cuenta: Si un atacante obtiene acceso a las cuentas corporativas, abusará de este acceso para llevar a cabo sus objetivos. El monitoreo del comportamiento de las cuentas corporativas puede permitir que una organización detecte anomalías que podrían apuntar a una cuenta comprometida.
- Employee Security Training: Las campañas de phishing, como las que se utilizan para difundir Dridex, se basan en engañar al destinatario para que ejecute el malware. Capacitar a los empleados para que reconozcan y respondan adecuadamente a los ataques de phishing reduce el riesgo que estos representan para la ciberseguridad corporativa.
¿Cómo se puede eliminar el malware Dridex?
Dridex es un malware sofisticado diseñado para evadir la detección y ser difícil de eliminar. No erradicar completamente el malware de un sistema infectado podría provocar una reinfección. Por este motivo, la mejor manera de eliminar el malware Dridex es utilizando una solución de seguridad de terminales. Estas herramientas pueden garantizar que el malware se elimine por completo de una computadora infectada.
Dridex Detección y Protección con Check Point
Dridex representa una amenaza significativa para los datos empresariales y la ciberseguridad con su infostealer, troyano bancario y funcionalidad de botnet. Para obtener más información sobre Dridex y otras amenazas de malware líderes a las que se enfrentan las organizaciones, consulte el 2022 Cybersecurity Report por Check Point Research.
La protección contra Dridex y otro malware requiere una sólida seguridad de terminales que pueda identificar amenazas nuevas y emergentes. Obtenga más información sobre cómo Harmony Endpoint puede ayudar a proteger el dispositivo de su organización al solicitando una demostración gratuita.
Comentarios