Dridex malware, ook wel bekend als Bugat en Cridex, is een gevaarlijke vorm van informatie-diefstal malware die bekend staat om het verzamelen van gevoelige gegevens van geïnfecteerde machines en het afleveren en uitvoeren van kwaadaardige modules. Volgens recent onderzoek van cyberbeveiligingsbedrijf Trend Micro, is een variant van deze malware nu gericht op Apple’s macOS-besturingssysteem met behulp van een eerder ongedocumenteerde infectiemethode.
De malware heeft een nieuwe techniek geaccepteerd om gebruikers documenten te leveren die zijn ingebed met kwaadaardige macros zonder zich voor te doen als facturen of andere zakelijk gerelateerde bestanden,” aldus Trend Micro-onderzoeker Armando Nathaniel Pedragoza. De groep achter deze malware wordt toegeschreven aan een e-crime groep genaamd Evil Corp, ook wel Indrik Spider genoemd.
Dridex wordt beschouwd als een opvolger van Gameover Zeus, zelf een opvolger van een andere banking trojan genaamd Zeus. Eerdere Dridex-campagnes die gericht waren op Windows maakten gebruik van macro-ingeschakelde Microsoft Excel-documenten die werden verzonden via phishing-e-mails om de payload te implementeren.
Een door Europa en de VS geleide wet enforcement operatie onderbrak de botnet in oktober 2015 en een Moldavische nationale genaamd Andrey Ghinkul werd gearresteerd voor zijn rol als administrator van de operatie. Ondanks inspanningen van de overheid is Dridex blijft zich ontwikkelen en blijft het een hardnekkige dreiging.
Trend Micro’s analyse van de Dridex-samples betreft een Mach-O executable bestand, waarvan de eerste in april 2019 werd ingediend bij VirusTotal. Sindsdien zijn er 67 meer artefacten in het wild gedetecteerd, sommige recent zoals in december 2022. Het artefact bevat een kwaadaardig ingebed document – eerder gedetecteerd in 2015 – dat een Auto-Open macro bevat die automatisch wordt uitgevoerd bij het openen van een Word-document.
Het is belangrijk om op te merken dat, hoewel de impact op macOS-gebruikers voor deze Dridex-variant beperkt is omdat de payload een .EXE-bestand is (en daarom niet compatibel is met macOS-omgevingen), het toch documenten overschrijft die nu de drager zijn van Dridex’s kwaadaardige macros. Gebruikers worden aangeraden om alert te zijn voor verdachte e-mails.
Bovendien is het Mach-O executable bestand ontworpen om alle “.doc”-bestanden te zoeken en overschrijven in de huidige gebruikersmap (~/User/{gebruikersnaam}) met de kwaadaardige macro-code gekopieerd uit het ingebedde document in de vorm van een hexadecimale dump. Terwijl de macro-functie in Microsoft Word standaard is uitgeschakeld, zal de malware alle documentbestanden voor de huidige gebruiker overschrijven, inclusief de schone bestanden,” legde Pedragoza uit. “Dit maakt het moeilijker voor de gebruiker om te bepalen of het bestand kwaadaardig is, aangezien het niet afkomstig is van een externe bron.”
De macro’s die in het overschreven document zijn opgenomen, zijn ontworpen om contact op te nemen met een externe server om aanvullende bestanden op te halen, waaronder een Windows executable bestand dat niet zal werken in macOS, wat aangeeft dat de aanval keten mogelijk nog in ontwikkeling is. De binary probeert vervolgens de Dridex loader te downloaden naar de aangetaste machine.
Hoewel documenten met booby-trapped macro’s doorgaans worden geleverd via social engineering aanvallen, tonen de bevindingen opnieuw aan dat Microsoft’s beslissing om macro’s standaard te blokkeren dreigingsactoren heeft aangezet om hun tactieken te verfijnen en efficiëntere manieren te vinden om binnen te dringen.
“Op dit moment is de impact op macOS-gebruikers voor deze Dridex-variant beperkt omdat de payload een .EXE-bestand is (en daarom niet compatibel is met macOS-omgevingen),” zegt Trend Micro. “Maar het overschrijft nog steeds documentbestanden die nu de drager zijn van Dridex’s kwaadaardige macro’s.”
