Os autores do Dridex frequentemente lançam atualizações, como novas funções de ofuscação e nova codificação de configuração para continuar evitando técnicas de detecção e mitigação de fornecedores de segurança. Eles mudaram o foco do seu malware de instituições financeiras europeias para novas instituições bancárias nos Estados Unidos.
Evidentemente, os desenvolvedores do malware demonstram grande proficiência em paradigmas de cliente e servidor, bem como em ofuscação. A pesquisa a seguir descreve esse conjunto de habilidades. Isso, junto com o comprometimento dos autores do Dridex com as atualizações constantes e frequentes nos recursos do malware, torna o Dridex muito ágil e, consequentemente, difícil de detectar, descriptografar e analisar.
Então, como é que o Dridex está te observando sem sua permissão e você não sabe?
Ele se conecta à máquina do usuário infectado durante transações bancárias com uma sessão remota. Esta sessão é invisível para o usuário porque é realizada em outra instância da área de trabalho que o malware abre usando o protocolo VNC. Esta instância é duplicada, mas não compartilhada, o que significa que o invasor não pode ver o movimento do mouse e do teclado do usuário e vice-versa.
Após o malware ser instalado na máquina da vítima, ele "liga para casa" para o Comando e Controle (C&C) da botnet para obter a lista de alvos e solicitar os seguintes módulos: VNC e MEIAS.
O processo de ativação pode ser acionado de duas maneiras:
Esta pesquisa se concentra na abordagem de módulo injetado. (A maneira como a iniciação do VNC foi acionada dentro da configuração do Dridex foi descrita em um artigo anterior do F5.)
O fluxo envolve interação entre o navegador infectado e o processo explorer.exe infectado.
O sinalizador VNC na configuração é inspecionado pelo código malicioso no gancho de função de rede que o Dridex injetou no navegador.
Então, uma URL segmentada foi acessada e um script malicioso foi enviado ao usuário. O que vem depois?
Quando o script é recebido, o sinalizador VNC é inspecionado.
Se o sinalizador VNC estiver ativado, o malware espera receber dados criptografados. Esses dados criptografados contêm informações que o malware usa posteriormente:
Abaixo está um exemplo de uma resposta HTML simples do servidor com IP + Porta anexados (após a rotina descriptografada):
O navegador infectado armazena esses registros de IP criptografados no registro sob a mesma chave da configuração, mas em uma subchave separada.
O navegador infectado usa a API de objetos de eventos do Windows para informar o explorer.exe infectado para iniciar o VNC. A partir deste ponto, o processo do explorer infectado assume o processo de ativação.
Papel do Explorador
Após isso, se todas as etapas forem bem-sucedidas, uma sessão remota VNC é iniciada e o fraudador pode executar ações na máquina da vítima sem que ela saiba.
Esse recurso geralmente é usado como uma ação complementar após o roubo de credenciais para contornar produtos de segurança dentro do banco. Esses produtos visam identificar o usuário usando a impressão digital exclusiva do navegador.
A corrida constante entre fornecedores de segurança e criminosos cibernéticos leva os criminosos a criar malwares mais ofuscados e com muitos componentes diferentes e independentes. Esses componentes ajudam os autores de malware a superar os obstáculos e as proteções que as instituições bancárias e os fornecedores de segurança implementam. Esses componentes também adicionam uma camada de complexidade ao processo de análise, pois agora é necessário entender a interação entre os módulos.
Esta corrida também nos impulsiona, como pesquisadores, a monitorar e estar vigilantes em relação às campanhas e à evolução do Dridex.