Identificata una nuova campagna di phishing per la diffusione di una variante di Dridex, il malware nato per colpire online banking, POS e criptovalute
I ricercatori dei
Forcepoint Security Labs hanno rilevato una nuova campagna di phishing per la diffusione di una variante del malware
Dridex, un trojan molto noto in ambito bancario. La versione originale di Dridex è stata infatti sviluppata in modo da rilevare la presenza, sui computer infettati, di specifici software per l'
online banking e più in generale per gestire
pagamenti digitali, terminali POS e portafogli di criptovalute. Una volta rilevati questi software, esfiltra i loro dati più importanti e li trasmette a server remoti.
La campagna rilevata da Forcepoint è stata
relativamente limitata sia nel tempo che nel volume di mail inviate: circa 9.500 in sette ore. Si ipotizza che la sua brevità sia legata in parte alla volontà di non farsi rilevare dai sistemi di threat intelligence e in parte al fatto che potrebbe essersi trattato solo di
una campagna di test. Ha infatti una peculiarità:
usare server FTP compromessi come deposito dei malware.
I messaggi di posta elettronica inviati per diffondere Dridex contengono un link per scaricare due tipi diversi di documenti (un file Excel e uno Word) che portano poi al download vero e proprio del malware. I documenti sono conservati in siti FTP
leciti ma compromessi, di cui la mail tra l'altro permette di vedere le credenziali di accesso. In questo modo i siti possono essere usati anche da altri malintenzionati, se non vengono subito protetti dai rispettivi proprietari.
La diffuzione di Dridex via FTP è stata scelta probabilmente perché alcune piattaforme anti-malware
considerano i link FTP come affidabili, mentre sono molto più "sospettose" sui link HTTP inseriti nelle email. L'attacco limitato, ipotizza Forcepoint, serve a capire quali piattaforme e quali reti lo identificano e lo bloccano, come anche quali sono meno solide di fronte a questo tipo di approccio.
L'attacco è purtroppo anche una dimostrazione di come la criminalità informatica sia
disposta a investire nello sviluppo costante di uno "strumento" che
ha dimostrato la sua efficacia. Dridex ha già visto la nascita di diverse sue varianti che ne hanno progressivamente aumentato la pericolosità.
Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di
ImpresaCity.it iscriviti alla nostra
Newsletter gratuita.