▾ G11 Media: | ChannelCity | ImpresaCity | SecurityOpenLab | Italian Channel Awards | Italian Project Awards | Italian Security Awards | ...

Anno nuovo, Dridex nuovo (o quasi)

Identificata una nuova campagna di phishing per la diffusione di una variante di Dridex, il malware nato per colpire online banking, POS e criptovalute

Sicurezza
I ricercatori dei Forcepoint Security Labs hanno rilevato una nuova campagna di phishing per la diffusione di una variante del malware Dridex, un trojan molto noto in ambito bancario. La versione originale di Dridex è stata infatti sviluppata in modo da rilevare la presenza, sui computer infettati, di specifici software per l'online banking e più in generale per gestire pagamenti digitali, terminali POS e portafogli di criptovalute. Una volta rilevati questi software, esfiltra i loro dati più importanti e li trasmette a server remoti.

La campagna rilevata da Forcepoint è stata relativamente limitata sia nel tempo che nel volume di mail inviate: circa 9.500 in sette ore. Si ipotizza che la sua brevità sia legata in parte alla volontà di non farsi rilevare dai sistemi di threat intelligence e in parte al fatto che potrebbe essersi trattato solo di una campagna di test. Ha infatti una peculiarità: usare server FTP compromessi come deposito dei malware.

I messaggi di posta elettronica inviati per diffondere Dridex contengono un link per scaricare due tipi diversi di documenti (un file Excel e uno Word) che portano poi al download vero e proprio del malware. I documenti sono conservati in siti FTP leciti ma compromessi, di cui la mail tra l'altro permette di vedere le credenziali di accesso. In questo modo i siti possono essere usati anche da altri malintenzionati, se non vengono subito protetti dai rispettivi proprietari.

dridex mail malware

La diffuzione di Dridex via FTP è stata scelta probabilmente perché alcune piattaforme anti-malware considerano i link FTP come affidabili, mentre sono molto più "sospettose" sui link HTTP inseriti nelle email. L'attacco limitato, ipotizza Forcepoint, serve a capire quali piattaforme e quali reti lo identificano e lo bloccano, come anche quali sono meno solide di fronte a questo tipo di approccio.

L'attacco è purtroppo anche una dimostrazione di come la criminalità informatica sia disposta a investire nello sviluppo costante di uno "strumento" che ha dimostrato la sua efficacia. Dridex ha già visto la nascita di diverse sue varianti che ne hanno progressivamente aumentato la pericolosità.
Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di ImpresaCity.it iscriviti alla nostra Newsletter gratuita.
Tags: malware forcepoint banking dridex phishing

Notizie correlate

La cultura della data resiliency parte dall'alto

NIS2: una sfida e uno stimolo per la cybersecurity

Come evitare i disservizi applicativi

CrowdStrike rafforza la sicurezza del cloud

Trend Micro: solo un’azienda su tre riesce a gestire la sicurezza IT 24 ore su 24

Claroty per la cybersecurity di ASL Roma 1

Lo stato del mercato NDR secondo il Gigaom Radar 2024

Commvault: investimenti e cyber recovery fanno risparmiare milioni in caso di violazioni

Speciali Tutti gli speciali

Reportage

Cybertech Europe 2024

Speciale

Speciale Data Analitycs

Speciale

Speciale Multicloud

Speciale

Speciale Storage

Speciale

Speciale Networking

Calendario Tutto

Nov 07
Red Hat Summit: Connect 2024 - Roma
Nov 07
Dell Technologies Forum 2024
Nov 07
Panasonic Toughbook Innovation Forum
Nov 19
Red Hat Summit: Connect 2024 - Milano
Nov 26
WPC 2024
Nov 26
IDC CIO Forum, Milano
Dic 03
Dynatrace Innovate Italy
Dic 05
Nutanix Cloud Day Roadshow - Torino
Dic 11
NetApp INSIGHT Xtra

Magazine Tutti i numeri

ImpresaCity Magazine


Leggi il Magazine

Iscriviti alla nostra newsletter

Soluzioni B2B per il Mercato delle Imprese e per la Pubblica Amministrazione

Iscriviti alla newsletter

G11 Media Networks

ImpresaCity

ImpresaCity e' un canale di BitCity, testata giornalistica registrata presso il tribunale di Como ,
n. 21/2007 del 11/10/2007- Iscrizione ROC n. 15698

G11 MEDIA S.R.L. Sede Legale Via NUOVA VALASSINA, 4 22046 MERONE (CO) - P.IVA/C.F.03062910132 Registro imprese di Como n. 03062910132 - REA n. 293834 CAPITALE SOCIALE Euro 30.000 i.v.