Anno nuovo, Dridex nuovo (o quasi)
Identificata una nuova campagna di phishing per la diffusione di una variante di Dridex, il malware nato per colpire online banking, POS e criptovalute
I ricercatori dei Forcepoint Security Labs hanno rilevato una nuova campagna di phishing per la diffusione di una variante del malware Dridex, un trojan molto noto in ambito bancario. La versione originale di Dridex è stata infatti sviluppata in modo da rilevare la presenza, sui computer infettati, di specifici software per l'online banking e più in generale per gestire pagamenti digitali, terminali POS e portafogli di criptovalute. Una volta rilevati questi software, esfiltra i loro dati più importanti e li trasmette a server remoti.
La campagna rilevata da Forcepoint è stata relativamente limitata sia nel tempo che nel volume di mail inviate: circa 9.500 in sette ore. Si ipotizza che la sua brevità sia legata in parte alla volontà di non farsi rilevare dai sistemi di threat intelligence e in parte al fatto che potrebbe essersi trattato solo di una campagna di test. Ha infatti una peculiarità: usare server FTP compromessi come deposito dei malware.
I messaggi di posta elettronica inviati per diffondere Dridex contengono un link per scaricare due tipi diversi di documenti (un file Excel e uno Word) che portano poi al download vero e proprio del malware. I documenti sono conservati in siti FTP leciti ma compromessi, di cui la mail tra l'altro permette di vedere le credenziali di accesso. In questo modo i siti possono essere usati anche da altri malintenzionati, se non vengono subito protetti dai rispettivi proprietari.
La diffuzione di Dridex via FTP è stata scelta probabilmente perché alcune piattaforme anti-malware considerano i link FTP come affidabili, mentre sono molto più "sospettose" sui link HTTP inseriti nelle email. L'attacco limitato, ipotizza Forcepoint, serve a capire quali piattaforme e quali reti lo identificano e lo bloccano, come anche quali sono meno solide di fronte a questo tipo di approccio.
L'attacco è purtroppo anche una dimostrazione di come la criminalità informatica sia disposta a investire nello sviluppo costante di uno "strumento" che ha dimostrato la sua efficacia. Dridex ha già visto la nascita di diverse sue varianti che ne hanno progressivamente aumentato la pericolosità.
La campagna rilevata da Forcepoint è stata relativamente limitata sia nel tempo che nel volume di mail inviate: circa 9.500 in sette ore. Si ipotizza che la sua brevità sia legata in parte alla volontà di non farsi rilevare dai sistemi di threat intelligence e in parte al fatto che potrebbe essersi trattato solo di una campagna di test. Ha infatti una peculiarità: usare server FTP compromessi come deposito dei malware.
I messaggi di posta elettronica inviati per diffondere Dridex contengono un link per scaricare due tipi diversi di documenti (un file Excel e uno Word) che portano poi al download vero e proprio del malware. I documenti sono conservati in siti FTP leciti ma compromessi, di cui la mail tra l'altro permette di vedere le credenziali di accesso. In questo modo i siti possono essere usati anche da altri malintenzionati, se non vengono subito protetti dai rispettivi proprietari.
La diffuzione di Dridex via FTP è stata scelta probabilmente perché alcune piattaforme anti-malware considerano i link FTP come affidabili, mentre sono molto più "sospettose" sui link HTTP inseriti nelle email. L'attacco limitato, ipotizza Forcepoint, serve a capire quali piattaforme e quali reti lo identificano e lo bloccano, come anche quali sono meno solide di fronte a questo tipo di approccio.
L'attacco è purtroppo anche una dimostrazione di come la criminalità informatica sia disposta a investire nello sviluppo costante di uno "strumento" che ha dimostrato la sua efficacia. Dridex ha già visto la nascita di diverse sue varianti che ne hanno progressivamente aumentato la pericolosità.
Notizie correlate
G11 Media Networks
ImpresaCity e' un canale di BitCity, testata giornalistica registrata presso il tribunale di Como ,
n. 21/2007 del
11/10/2007- Iscrizione ROC n. 15698
G11 MEDIA S.R.L.
Sede Legale Via NUOVA VALASSINA, 4 22046 MERONE (CO) - P.IVA/C.F.03062910132
Registro imprese di Como n. 03062910132 - REA n. 293834 CAPITALE SOCIALE Euro 30.000 i.v.
