Che cos’è il malware Dridex?
Dridex è un software maligno (malware) che mira all’accesso bancario e finanziario sfruttando le macro di Microsoft Office per infettare i sistemi. Una volta che un computer è stato infettato, gli aggressori di Dridex possono rubare le credenziali bancarie e altre informazioni personali sul sistema per ottenere l’accesso ai record finanziari di un utente.
Dridex opera arrivando prima sul computer di un utente come una e-mail di spam dannoso con un documento Microsoft Word allegato al messaggio. Se l’utente apre il documento, una macro incorporata nel documento innesca surrettiziamente un download del malware bancario Dridex, consentendogli di rubare prima le credenziali bancarie e poi di tentare di generare transazioni finanziarie fraudolente.
Evoluzione di Cridex e ZeuS
Dridex è un’evoluzione del malware Cridex, che a sua volta è basato sul malware ZeuS Trojan Horse. Il malware bancario Dridex si è diffuso inizialmente alla fine del 2014 attraverso una campagna di spam che ha generato fino a 15.000 e-mail ogni giorno. Gli attacchi si sono concentrati principalmente sui sistemi informatici situati nel Regno Unito.
Il cavallo di Troia Cridex si diffonde copiando se stesso su unità mappate e rimovibili sui computer infetti. Cridex crea un punto di ingresso backdoor sui sistemi infetti, consentendo la possibilità di scaricare ed eseguire ulteriore malware e condurre operazioni come l’apertura di siti web rogue.
Questa ultima capacità consente a Cridex di catturare le credenziali bancarie degli utenti su un sistema infetto quando l’utente tenta di visitare e accedere a un sito web finanziario. Cridex reindirizza surrettiziamente l’utente a una versione fraudolenta del sito finanziario e registra le credenziali di accesso man mano che vengono inserite.
Dridex è rilevabile?
Come nel caso del malware Emotet, anche Dridex ha avuto molte iterazioni. Nel corso dell’ultimo decennio, Dridex ha subito una serie di aumenti di funzionalità, tra cui una transizione a script XML, algoritmi di hashing, crittografia peer-to-peer e crittografia peer-to-command-and-control. Come Emotet, ogni nuova versione di Dridex traccia un ulteriore passo nella corsa agli armamenti globale mentre la comunità di sicurezza risponde con nuovi rilevamenti e mitigazioni”, hanno scritto i ricercatori.
Si ritiene che Dridex continuerà a vedere più variazioni. “Dato il dispiegamento dello stesso giorno e l’implementazione del dominio ssl-pertcom il 26 giugno e la tendenza a utilizzare variabili e directory URL generate in modo casuale, è probabile che gli attori dietro questa variante di Dridex continueranno a cambiare gli indicatori per tutta la campagna in corso”, ha detto il rapporto.
Luce alla fine del tunnel?
Il 05 dicembre 2019 l’FBI ha annunciato le accuse nella cospirazione malware di due cittadini russi.
Insieme a diversi co-cospiratori, Maksim V. Yakubets e Igor Turashev sono accusati di uno sforzo che ha infettato decine di migliaia di computer con un codice malevolo chiamato Bugat. Una volta installato, il codice del computer, noto anche come Dridex o Cridex, ha permesso ai criminali di rubare le credenziali bancarie e incanalare il denaro direttamente dai conti delle vittime. Lo schema di lunga durata ha coinvolto una serie di diverse varianti di codice, e la versione successiva ha anche installato un ransomware sui computer delle vittime. I criminali poi chiedevano il pagamento in criptovaluta per restituire dati vitali o ripristinare l’accesso ai sistemi critici.
Turashev e Yakubets sono stati entrambi incriminati nel Western District of Pennsylvania per associazione a delinquere finalizzata alla frode, frode telematica e frode bancaria, tra le altre accuse. Yakubets è stato anche legato alle accuse di cospirazione per commettere frodi bancarie emesse nel Distretto del Nebraska dopo che gli investigatori sono stati in grado di collegarlo al moniker incriminato “aqua” da quel caso, che ha coinvolto un’altra variante di malware conosciuta come Zeus.
Leggi l’articolo completo qui
Come prevenire il ransomware
Ci sono una serie di passi difensivi che puoi prendere per prevenire l’infezione ransomware. Questi passi sono naturalmente buone pratiche di sicurezza in generale, quindi seguirli migliora le tue difese da tutti i tipi di attacchi:
- Patching – Mantieni il tuo sistema operativo patchato e aggiornato per assicurarti di avere meno vulnerabilità da sfruttare.
- Application White listing – Non installare software o dargli privilegi amministrativi a meno che tu non sappia esattamente cos’è e cosa fa. Assicurati di mantenere un elenco di applicazioni approvate per l’intera organizzazione.
- Servizio Anti-virus/Malware, usa un servizio che rileva i programmi dannosi come il ransomware non appena arrivano. Alcuni includono capacità di whitelisting che impediscono l’esecuzione di applicazioni non autorizzate in primo luogo.
- Estendere il perimetro, utilizzare un servizio di filtraggio di e-mail e social media, preferibilmente basato su cloud. Questo rileverà gli allegati dannosi, i file e molti ‘come Spambrella’ scansionano anche gli URL per gli attori dannosi.
- Adotta l’approccio 3:2:1. Creare tre copie di backup, su due diversi tipi di media, e conservare una copia in modo sicuro fuori sede su un dispositivo con air-gapped – Uno che non è in rete o accessibile via internet
Tutto quello che dovete sapere sul Phishing…
Email spoofing: Cos’è e come prevenirlo
Lo studio del Michigan Brookside ENT chiude le porte dopo un attacco Ransomware