Quando si parla di Trojan in grado di catturare le informazioni bancarie, Dridex è attualmente quello più famoso. Questa non è una sorpresa dato che ha ereditato la popolarità dell’antico Trojan Zeus e si è diffuso talmente tanto da diventare una delle più grandi minacce di questo periodo. Purtroppo questo malware continua a evolversi per diventare sempre più efficiente.
Come funziona Dridex?
Il funzionamento di Dridex (noto anche come Bugat e Cridex) può sembrare semplice, ma rappresenta l’evoluzione di Trojan bancari precedenti, come Zeus (e le sue numerose varianti). I criminali utilizzano file allegati per diffondere il malware a tutti i tipi di utenti, dai privati ai grandi istituti finanziari.
Può sembrare strano, quasi antiquato nel suo modo di agire, ma Dridex per diffondersi utilizza un vettore di attacco molto popolare negli ultimi anni ’90: macro infette inserite in file di MS Word ed Excel. Forse si è pensato che questo tipo di vettore fosse ormai impossibile da utilizzare, ma sembra non sia così. Una volta che l’utente esegue il file pericoloso, Dridex infetta i sistemi con una botnet che viene controllata da utenti malintenzionati.
Da questo momento, i criminali saranno in grado di rubare informazioni private dai sistemi come quelle relative ai conti bancari online e potranno anche inviare comandi ai computer infetti ormai sotto il loro controllo.
Nuova campagna di diffusione
Ogni settimana viene rilevata una nuova campagna Dridex lanciata da qualche banda criminale, che colpisce gli utenti di tutto il mondo. Grazie a Virus Radar di ESET, siamo in grado di monitorare quali paesi sono più colpiti o addirittura quelli che verranno presi di mira. Ognuna di queste campagne può costare milioni agli utenti che usufruiscono di servizi bancari online, quindi è estremamente importante avvisarli non appena viene rilevata una nuova variante che inizia a diffondersi.
Da qualche tempo abbiamo controllato alcune di queste campagne Dridex. In particolare, da Agosto in poi, a causa di un picco di queste attività criminali rilevato durante questo mese e in quelli successivi. Settembre e Ottobre sono stati mesi di frenetica attività per i criminali autori del Dridex e la situazione non sembra affatto cambiata a Novembre.
Consultando il rapporto fornito da Virus Radar, notiamo come tra le prime tre minacce in ordine di rilevazione compaia una di queste nuove minacce.
Questo malware non era nemmeno presente nell’elenco fino a un paio di giorni fa, ma ora rappresenta la minaccia più rilevata in diversi paesi, la maggior parte dei quali in Europa, e con delle percentuali particolarmente elevate in Spagna e in Slovacchia, ma anche in Sud Africa.
I dati contenuti in questo grafico rappresentano il numero di utenti che ha cercato di aprire il file allegato infetto, ma che le soluzioni ESET hanno bloccato rilevando i file come pericolosi. Gli attacchi hanno interessato paesi di diverse lingue, ciò dimostra che l’email utilizzata per diffondere la minaccia è scritta in Inglese.
Allora, perché un utente spagnolo dovrebbe aprire un messaggio in Inglese? Spesso gli utenti sono solo curiosi e aprono ogni singolo messaggio che ricevono, non importa da dove provenga e cosa contenga. Fortunatamente, alcuni di loro utilizzano una soluzione di sicurezza in grado di fermare questa minaccia prima che possa causare danni.
Analizzando la cronologia di questa infezione, osserviamo che dalla sua creazione la scorsa settimana, ha avuto già due picchi di attività il 13 e il 16 Novembre :
Conclusioni
Ogni volta che una nuova minaccia come Dridex diventa così popolare, richiama l’attenzione delle autorità. Abbiamo visto esempi di agenzie di sicurezza, come la NSA, l’FBI, l’Europol, il GCHQ, il Metropolitan Police Service, il CERT del Regno Unito, il BKA in Germania, la Guardia Civil spagnola e le autorità moldave che hanno arrestato bande di criminali informatici o individui che hanno usato Dridex per rubare denaro ai clienti infettati.
Ma non possiamo semplicemente aspettare che le autorità si interessino a queste minacce dal momento che le loro risorse sono spesso limitate. Come utenti di Internet dovremmo essere in grado di stabilire quando una mail ricevuta può essere pericolosa, come quelle utilizzate per diffondere Dridex, e acquisire queste conoscenze è più semplice di quanto si possa pensare. Basterà dedicare pochi minuti nella ricerca delle ultime novità in materia di sicurezza informatica, collegandosi a siti specializzati come il blog di ESET Italia o alle pagine dedicate alla tecnologia dei maggiori quotidiani online.
Lascia un commento