# Dridex - O Trojan Bancario que Evoluiu para Loader de Ransomware > **ATIVO (evolução continua) | Trojan Bancario + Loader | Windows | Global** - Dridex e um dos malwares financeiros mais prolíficos da historia, desenvolvido pelo grupo russo [[g0119-indrik-spider|Evil Corp]] (Indrik Spider). Originando-se em 2012 como evolução do Cridex/Bugat, tornou-se o principal veculo de fraude bancaria por anos e depois evoluiu para loader de ransomware como WastedLocker, Hades e DoppelPaymer. Responsavel por perdas superiores a US$ 100 milhões globalmente. > [!danger] Sancionado pelo Tesouro dos EUA > O [[g0119-indrik-spider|Evil Corp]] e seu lider Maksim Yakubets foram sancionados pelo OFAC em dezembro de 2019. O grupo migrou de Dridex para SocGholish e outras ferramentas após as sancoes, mas continua operacionalmente ativo em 2024-2025. ## Visão Geral **Dridex** (alias Bugat, Cridex, Feodo) e um banking trojan modular com arquitetura peer-to-peer (P2P) desenvolvido pelo grupo russo [[g0119-indrik-spider|Evil Corp]], rastreado como **Indrik Spider** pela CrowdStrike e **Manatee Tempest** pela Microsoft. Distribuido pelo grupo [[ta505|TA505]] em campanhas massivas de spam, tornou-se um dos malwares com maior volume de distribuição observado entre 2014 e 2020. A trajetoria do Dridex e um estudo de caso na evolução do cibercrime: de trojan bancario simples para plataforma modular capaz de distribuir ransomware, explorar vulnerabilidades de navegadores e servir como base para toda a familia Evil Corp de malwares. | Campo | Detalhe | |-------|---------| | **Tipo** | Banking Trojan + Loader modular | | **Desenvolvedor** | Evil Corp (Maksim Yakubets) - sancionado OFAC 2019 | | **Linguagem** | C++ (modular, P2P) | | **Primeira observacao** | 2012 (como Bugat/Cridex) | | **Status** | Ativo - Evil Corp usa variantes continuamente | | **C2** | P2P + HTTP/HTTPS; botnet IDs por regiao | | **Escala** | Maior campanha: dezenas de milhões de emails/dia | | **MITRE** | Atribuido a G0119 (Indrik Spider), G0092 (TA505) | ## Visão Geral Técnica ### Arquitetura Modular P2P Dridex e construido em módulos carregados dinâmicamente pelo bot principal: - **Bot principal**: persistência, download de módulos, injecao em navegadores - **networkDll**: captura de credenciais bancarias via web injects - **wormDll**: propagação por redes locais e drives USB - **tabDll**: captura de screenshots e keylogging - **shareDll**: propagação por compartilhamentos SMB - **Anchor toolset**: DNS tunneling (anchor_dns) para APT operations A arquitetura P2P torna o Dridex resistente a takedowns: nao ha C2 centralizado. Cada bot se comúnica com outros bots, que por sua vez se comúnicam com servidores de segundo nivel. ### Web Injects e Fraude Bancaria O módulo networkDll injeta código HTML/JavaScript em paginas bancarias ([[t1185-browser-session-hijacking|T1185]]) para: - Capturar credenciais antes da criptografia SSL - Adicionar campos falsos para coletar dados adicionais - Redirecionar transações ACH e wire transfers ### Cadeia de Infecção ```mermaid graph TB A["📧 Email com anexo malicioso<br/>Word/Excel com macro VBA<br/>Distribuido por Necurs botnet"] --> B["📎 Usuario habilita macros<br/>ou abre ZIP/VBS/JS"] B --> C["⚙️ PowerShell / Regsvr32<br/>Executa downloader<br/>T1059.001 / T1218.010"] C --> D["⬇️ Download do bot Dridex<br/>Injetado em navegador<br/>explorer.exe / iexplore.exe"] D --> E["🔗 Conexão P2P<br/>Sync com outros bots<br/>Recebe módulos"] E --> F["💰 Web Injects bancarios<br/>Captura credenciais<br/>Fraude em tempo real"] F --> G["💥 Deploy de ransomware<br/>DoppelPaymer / WastedLocker<br/>Hades / Macaw Locker"] ``` ## Timeline ```mermaid timeline title Dridex - Evolução (2012-2024) 2012 : Surgimento como Bugat/Cridex : Primeiras campanhas EUA/Europa 2014 : Rebatizado Dridex por TA505 : Volume massivo via Necurs botnet 2015 : Maior prevalencia - perdas £20mi UK : Operation Tovar - disrupcao parcial 2016 : Diversificacao para Locky ransomware : Pico de volume - dezenas de milhoes/dia 2019 : OFAC sanciona Evil Corp : Dridex descontinuado temporariamente 2020 : Migracao para SocGholish / WastedLocker : CryptOne packer compartilhado com Dridex 2022 : Evil Corp usa LockBit como afiliado : IBM liga Raspberry Robin ao Dridex 2024 : Continua em uso por variantes Evil Corp ``` ## TTPs MITRE ATT&CK | ID | Técnica | Uso | |----|---------|-----| | [[t1566-001-spearphishing-attachment\|T1566.001]] | Spearphishing Attachment | Emails com Word/Excel maliciosos | | [[t1204-002-malicious-file\|T1204.002]] | Malicious File | Execução de macros VBA pelo usuario | | [[t1059-005-vba\|T1059.005]] | Visual Basic | Macros VBA nos documentos Office | | [[t1059-001-powershell\|T1059.001]] | PowerShell | Download cradles para payload Dridex | | [[t1218-010-regsvr32\|T1218.010]] | Regsvr32 | Excel spawna regsvr32 para execução | | [[t1574-001-dll-search-order-hijacking\|T1574.001]] | DLL Search Order Hijacking | Persistência e evasão pos-infecção | | [[t1053-005-scheduled-task\|T1053.005]] | Scheduled Task | Persistência via schtasks em pastas sistema | | [[t1185-browser-session-hijacking\|T1185]] | Browser Session Hijacking | Web injects em bancos via hook de API | | [[t1055-process-injection\|T1055]] | Process Injection | Injecao em explorer.exe / iexplore.exe | | [[t1090-proxy\|T1090]] | Proxy | Arquitetura P2P - nenhum C2 centralizado | | [[t1027-obfuscated-files\|T1027]] | Obfuscated Files | Código poliformico para evasão AV | ## Impacto no Brasil / LATAM Dridex afetou o Brasil principalmente através de campanhas do [[ta505|TA505]] e do ecossistema Evil Corp: - **Setor financeiro**: Web injects direcionados a bancos brasileiros foram documentados em campanhas de 2017-2020 - **LATAM regional**: Campanhas com botnet IDs específicas para a América do Sul foram identificadas - **Vetor downstream**: Organizacoes brasileiras comprometidas por Dridex sofreram deploy de ransomware DoppelPaymer em 2020-2021 > [!warning] Vetor de Ransomware > Dridex serviu de precursor para ransomware [[doppelpaymer|DoppelPaymer]] em múltiplas organizacoes, incluindo empresas brasileiras. O padrao e: phishing → Dridex → Cobalt Strike → DoppelPaymer com ransomware em 1-2 semanas. ## Detecção e Caca a Ameaças ### Indicadores Comportamentais - Excel ou Word spawna `regsvr32.exe`, `mshta.exe` ou `wscript.exe` - Criação de tarefa agendada com caminho em `system32` ou `syswow64` - Processo `explorer.exe` realizando conexoes HTTP/HTTPS incomuns - DLL search order hijacking em diretorios do usuario - Conexoes P2P para IPs nao-usuais em portas padrao (80, 443, 8080) ### Assinatura de Detecção (YARA resumido) ``` rule Dridex_Loader { strings: $pdb = "dridex" nocase wide ascii $cfg1 = "/images/" wide ascii $cfg2 = "group_tag" wide ascii condition: uint16(0) == 0x5A4D and any of them } ``` ## Referências - [Red Canary Threat Detection Report - Dridex](https://redcanary.com/threat-detection-report/threats/dridex/) - [Wikipedia - Dridex](https://en.wikipedia.org/wiki/Dridex) - Historia e Evil Corp - [SentinelOne - From Dridex to Macaw](https://www.sentinelone.com/labs/sanctions-be-damned-from-dridex-to-macaw-the-evolution-of-evil-corp/) - [Proofpoint - TA505 Profile](https://www.proofpoint.com/us/threat-insight/post/threat-actor-profile-ta505-dridex-globeimposter) - [Malpedia - win.dridex](https://malpedia.caad.fkie.fraunhofer.de/details/win.dridex)