Der Banking-Trojaner Dridex ist eine der notorischsten Cyberbedrohungen und die verantwortliche Hackergruppe dahinter, EvilCorp, ist mittlerweile für einen Schaden von über 100 Millionen US-Dollar am internationalen Bankenwesen verantwortlich. Doch wie schaffte es die Malware, im März 2020 sogar Emotet von der Spitze der Top-Malware zeitweise zu verdrängen? Wir werfen einen Blick auf die Ursprünge und die Entwicklung des Serientäters.









Bild 1: Infektionskette von Dridex.









Bild 2: Infrastruktur des Dridex-Botnetzes.

der Computer-Name

die Botnetz-ID-Nummer

der Typus der Anfrage

die Betriebssystemarchitektur

die Liste der installierten Software





Zur Verteilung der eigenen Malware nutzen die Kriminellen hinter Dridex die Spambots anderer Gruppen, die in der Lage sind, große Mengen mit Malware infizierter E-Mails gezielt zu versenden. Dafür wird das Schadprogramm in Anhängen, wie Dokumenten, versteckt und wird tätig, sobald ein unvorsichtiger Nutzer diese öffnet. Zusätzlich hatte Dridex in der Vergangenheit auch andere Botnetze zur eigenen Verteilung genutzt, unter anderem Necurs, Cutwail und Andromeda.Die Angriffe laufen stets gleich ab: Öffnet der Anwender die infizierte Datei, so werden VBA-Makros (Visual Basics for Application) ausgeführt. Diese wiederum starten automatisch ein PowerShell-Skript, das die Nutzdateien (Payload) für Dridex von einem Command-and-Control-Server (C&C) der Hacker herunterlädt. Anschließend wird diese Datei ausgeführt und der Rechner infiziert. Ziel der Angriffe waren bisher unter anderem US-Bankkonten, US-Kreditkartengesellschaften, US-Finanzinvestitionsgesellschaften, europäische Bankkonten, Regierungsbehörden in Saudi-Arabien, Katar und Oman sowie Anwaltskanzleien in Deutschland.Um die Opfer gleichzeitig in Sicherheit zu wiegen, nutzen die mit Malware verseuchten E-Mails den Deckmantel legitimer Geschäfte und Dienstleister. Entsprechend lauten die Betreffzeilen sowie die Texte in der Nachricht und entsprechend täuschend echt wirkt die oft sehr professionell gestaltete graphische Aufmachung der E-Mails. Besonders beliebt sind Paketlieferdienste wie FedEx oder DHL, die mit falschen Sendungsinformationen locken – besonders angesichts der aktuellen gesellschaftlichen Lage wegen der Corona-Krise und dem Zuwachs des Versandhandels. Einer der bekanntesten Zwischenfälle in Deutschland war eine Kampagne, die Anwaltskanzleien ins Visier nahm. Die Kriminellen versuchten dabei, sich und die Malware-Mails als Korrespondenzen mit anderen Anwaltskanzleien zu tarnen und so über Dridex einen Zugang zu den Kanzleisystemen zu erlangen.Der wichtigste Teil der Infektionskette von Dridex aber ist die Konfiguration in der Payload. Sie enthält wichtige Informationen wie die Bot-ID oder die Anzahl der C&C-Server und eine Liste der C&C-Server selbst. Die Malware sendet eine POST-Anfrage an die in der Konfiguration vermerkten C&C-Server, sobald sie auf dem Zielrechner installiert wurde, und wartet auf eine Empfangsbestätigung derselben. Um die Nachverfolgung dieser verräterischen Kommunikation zu erschweren, nutzt Dridex den Umweg über mehrere Reihen von Proxy-Servern, um die C&C-Server zu kontaktieren.Ist der Kontakt hergestellt, werden die Befehle an die Malware ausgegeben und sie beginnt damit, Informationen über den infizierten Rechner zu sammeln, zu verschlüsseln und an das die Server des Botnetzes zu übermitteln. Zu den attraktiven und überaus nützlichen Informationen gehörenZusätzlich fungiert Dridex als Keylogger, was bedeutet, dass die Malware die Tastaturanschläge des infizierten Rechners aufzeichnet. Das ermöglicht den Angreifern den Diebstahl von Zugangsinformationen wie Passwörtern und personenbezogenen Daten der Opfer, darunter Bankkonto-Details.