# Dridex > Tipo: **malware** · S0384 · [MITRE ATT&CK](https://attack.mitre.org/software/S0384) ## Cadeia de Infecção ```mermaid graph TB A["📧 Phishing massivo<br/>Documento Office malicioso<br/>Macro VBA T1204.002"] --> B["💥 DLL hijacking<br/>T1574.001<br/>Regsvr32 T1218.010"] B --> C["🔧 Dridex implant<br/>Persistência via<br/>Scheduled Task T1053.005"] C --> D["📡 C2 multi-hop<br/>Proxy encadeado T1090.003<br/>Criptografia assimétrica"] D --> E["🔧 Browser hijacking<br/>Interceptação bancária<br/>Session hijack T1185"] E --> F["💀 Roubo financeiro<br/>Credenciais bancárias<br/>Entrega de ransomware"] classDef delivery fill:#e74c3c,color:#fff classDef exploit fill:#e67e22,color:#fff classDef install fill:#3498db,color:#fff classDef c2 fill:#9b59b6,color:#fff classDef impact fill:#2c3e50,color:#fff class A delivery class B exploit class C,E install class D c2 class F impact ``` ## Descrição [[s0384-dridex|Dridex]] é um prolífico Trojan bancário que surgiu pela primeira vez em 2014. Em dezembro de 2019, o Tesouro dos EUA estimava que o [[s0384-dridex|Dridex]] havia infectado computadores em centenas de bancos e instituições financeiras em mais de 40 países, resultando em mais de 100 milhões de dólares em roubos. O [[s0384-dridex|Dridex]] foi criado a partir do código-fonte do Trojan bancário Bugat (também conhecido como Cridex) e é operado pelo grupo [[ta505|TA505]] (também rastreado como [[g0119-indrik-spider|Indrik Spider]]). O Dridex utiliza uma arquitetura modular sofisticada que lhe permite atualizar suas capacidades dinâmicamente. Seus módulos incluem injeção em processos de navegador para interceptar transações bancárias online, captura de credenciais armazenadas, e um mecanismo de proxy em múltiplos saltos para ocultar a infraestrutura C2. O malware frequentemente serve como precursor de infecções por ransomware, sendo utilizado para reconhecimento inicial e entrega de cargas secundárias como BitPaymer e WastedLocker. A distribuição primária ocorre via campanhas massivas de phishing com documentos maliciosos do Microsoft Office. O Dridex emprega técnicas de evasão avançadas, incluindo comunicação C2 criptografada com chaves simétricas e assimétricas, hijacking de DLL para garantir persistência discreta e uso de Regsvr32 para execução de payloads sem acionar alertas de antivírus tradicionais. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1573-001-symmetric-cryptography|T1573.001 - Symmetric Cryptography]] - [[t1574-001-dll|T1574.001 - DLL]] - [[t1219-remote-access-tools|T1219 - Remote Access Tools]] - [[t1106-native-api|T1106 - Native API]] - [[t1053-005-scheduled-task|T1053.005 - Scheduled Task]] - [[t1185-browser-session-hijacking|T1185 - Browser Session Hijacking]] - [[t1518-software-discovery|T1518 - Software Discovery]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1218-010-regsvr32|T1218.010 - Regsvr32]] - [[t1573-002-asymmetric-cryptography|T1573.002 - Asymmetric Cryptography]] - [[t1027-obfuscated-files-or-information|T1027 - Obfuscated Files or Information]] - [[t1090-proxy|T1090 - Proxy]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1090-003-multi-hop-proxy|T1090.003 - Multi-hop Proxy]] - [[t1204-002-malicious-file|T1204.002 - Malicious File]] ## Grupos que Usam - [[ta505|TA505]] - [[g0119-indrik-spider|Indrik Spider]] ## Detecção - Monitorar uso de `regsvr32.exe` para execução de arquivos DLL remotos ou locais não assinados (T1218.010) - indicador frequente de distribuição do Dridex - Detectar injeção de DLL em processos de navegador (iexplore.exe, chrome.exe, firefox.exe) por processos não relacionados (T1574.001) - Alertar sobre documentos Office que executam macros e subsequentemente lançam PowerShell ou cmd.exe - Monitorar tráfego de rede com padrões de proxy em múltiplos saltos (T1090.003) saindo de estações de trabalho de usuários comuns - Analisar logs de DNS e HTTP em busca de domínios C2 do Dridex - conhecidos por rotação frequente (domain generation algorithm) ## Relevância LATAM/Brasil O [[s0384-dridex|Dridex]] foi identificado em múltiplas campanhas contra instituições financeiras no Brasil e na América Latina. O país, com um dos maiores setores bancários digitais do mundo e alta adoção de internet banking, representa alvo prioritário para trojans bancários. O [[ta505|TA505]], grupo operador do Dridex, conduz campanhas massivas de spam sem discriminação geográfica, e versões em português do Brasil de emails de phishing com documentos maliciosos foram registradas. A relação do Dridex com ransomware (BitPaymer, WastedLocker) torna sua detecção precoce crítica para organizações financeiras e empresas de médio e grande porte na região. ## Referências - [MITRE ATT&CK - S0384](https://attack.mitre.org/software/S0384)