Seguridad Informática

FriedEx: el ransomware BitPaymer y su semejanza con Dridex

[et_pb_section bb_built=”1″ _builder_version=”3.0.47″][et_pb_row _builder_version=”3.0.47″ background_size=”initial” background_position=”top_left” background_repeat=”repeat”][et_pb_column type=”4_4″][/et_pb_column][/et_pb_row][et_pb_row _builder_version=”3.0.96″][et_pb_column type=”4_4″][et_pb_text _builder_version=”3.0.96″ background_layout=”light”]

Dridex ha sido una pesadilla para los usuarios de computadoras, compañías e instituciones financieras desde hace ya varios años, tal es así que para muchos, se ha convertido en lo primero que viene a su mente cuando se habla de troyanos bancarios.

Una reciente investigación de ESET muestra que los autores del infame troyano bancario Dridex están también detrás de otra familia de malware de alto perfil – un ransomware sofisticado detectado por los productos de ESET como Win32/Filecoder.FriedEx y Win64/ Filecoder.FriedEx, también conocido como BitPaymer.

Dridex

El troyano bancario Dridex apareció por primera vez en 2014 como un bot relativamente simple inspirada en antiguos proyectos, pero rápidamente los autores convirtieron este bot en uno de los troyanos bancarios más sofisticados del mercado. El desarrollo parece ser estable, con nuevas versiones del bot lanzándose cada semana, con pausas ocasionales, e incluyendo pequeñas correcciones y actualizaciones. De vez en cuando, los autores introducen una actualización importante que agrega alguna funcionalidad crucial o grandes cambios. La última gran actualización de la versión 3 a la versión 4, lanzada a comienzos de 2017, ganó atención al adoptar la técnica de inyección de Atom Bombing, y más adelante ese mismo año al introducir un nuevo exploit MS Word zero-day, que ayudó a difundir el troyano entre millones de víctimas.

Al momento de escribirse este artículo, la versión más reciente de Dridex es la 4.80, e incluye soporte para webinjects en la versión 63 de Chrome. Dridex 4.80 fue lanzado el 14 de diciembre de 2017.

Nota: El pasado año lanzamos una herramienta que permite identificar hooks maliciosos en conocidos buscadores web. La herramienta está diseñada para ayudar a los afectados por un incidente a descubrir potenciales infecciones de troyanos bancarios, incluyendo Dridex.

FriedEx

Inicialmente denominado BitPaymer, basado en texto en su sitio web de demanda de rescate, este ransomware fue descubierto a comienzos de julio de 2017 por Michael Gillespie. En agosto volvió a ser centro de atención y ocupó los titulares tras infectar hospitales del Servicio Nacional de Salud (NHS, por sus siglas en inglés) en Escocia.

FriedEx se enfoca en objetivos y compañías de alto perfil más que en usuarios finales, y suele ser entregado a través de un ataque de fuerza bruta mediante Protocolo de Escritorio Remoto (RDP, por sus siglas en inglés). El ransomware cifra cada archivo con una clave RC4 generada aleatoriamente, que luego es cifrada utilizando la clave pública codificada 1024-bit RSA y guardada en el .readme_txt file correspondiente.

En diciembre de 2017 nos detuvimos a observar de cerca una de las muestras de FriedEx y casi instantáneamente notamos la semejanza del código con Dridex. Intrigados por los hallazgos iniciales, profundizamos en las muestras de FriedEx, y descubrimos que éste utiliza las mismas técnicas que Dridex para ocultar la mayor cantidad de información posible acerca de su comportamiento.

¿Qué hace? Resuelve todas las llamadas hechas a la Interfaz de Programación de Aplicaciones (API, por sus siglas en inglés) del sistema en el momento a través de la función hash, almacena todas las cadenas de caracteres en un formato cifrado, busca claves de registro y valores mediante hash, etc. El binario resultante es de bajo perfil en términos de funciones estáticas, y es difícil saber qué está haciendo el malware sin un análisis más profundo.

Este análisis, rápido pero más a fondo, reveló un número de atributos adicionales que confirmaron nuestras sospechas iniciales – las dos familias de malware fueron creadas por los mismos desarrolladores.

Fuente: WeliveSecurity

[/et_pb_text][/et_pb_column][/et_pb_row][/et_pb_section]

1 Comment

Comments are closed.