Un fantasma si aggira per gli istituti di credito mondiali. Non è la crisi economica, ma il trojan Dridex, definito da Symantec come una delle “più serie minacce finanziarie attualmente in circolazione”. Dietro questo temibile malware si cela una rete di hacker, probabilmente con base in Moldavia, che prende di mira i clienti di alto livello delle banche. Ad oggi, si stima che siano stati colpiti oltre trecento istituti in più di quaranta Paesi, con “un’affinità” maggiore per le aree anglofone e per l’Europa occidentale, Italia compresa (quarta per numero di vittime). L’approccio dei pirati informatici è estremamente sofisticato e il gruppo di cybercriminali affina continuamente il trojan per trarre in inganno le persone. Il principale mezzo di diffusione di Dridex è rappresentato dai messaggi di posta elettronica. Il malware, nonostante i duri interventi delle forze dell’ordine e al contrario di quanto si pensasse, è infatti ancora oggi in grado di inviare milioni di email di spam ogni giorno.
L’obiettivo è provare a circuire le vittime per convincerle, grazie a sofisticate tecniche di ingegneria sociale, ad aprire quelli che a tutti gli effetti sembrano normali allegati. Si parla di fatture, ricevute o altri “banali” documenti, che in realtà nascondono tutto il potenziale devastante del malware sotto forma di macro. Dridex, dopo aver infettato il computer target, prova infatti a intercettare le operazioni di online banking del malcapitato con lo scopo di rubare le credenziali di accesso ai vari servizi Web.
Fonte: Symantec
Le campagne di spam del gruppo di hacker vengono attivate su larghissima scala: Symantec ha rilevato almeno 145 campagne in un periodo di sole dieci settimane, con una media di 271.019 messaggi inviati per singola operazione. In totale, sono state decine di migliaia le infezioni imputabili a Dridex nel corso del 2015 e nel 74% dei casi le mail riportavano nomi e indirizzi aziendali realmente esistenti.
“Tra gennaio e aprile queste erano meno di duemila al mese”, si legge nel report “Dridex: Tidal waves of spam pushing dangerous financial Trojan” realizzato dalla società di sicurezza statunitense. “Il numero di infezioni è schizzato verso l’alto in modo sensibile nei mesi successivi, prima di calare e di stabilizzarsi a un tasso di tremila, cinquemila per mese nell’ultimo trimestre dell’anno”.
Fonte: Symantec
Ma come funziona Dridex? Come detto, lo scopo principale del malware è rubare le credenziali di accesso ai servizi di banking online, aggiungendo poi il computer della vittima alla propria botnet. I dati vengono carpiti principalmente tramite attacchi di tipo man-in-the-browser (Mitb), in quanto il trojan è capace di inserirsi dentro Internet Explorer, Chrome e Firefox. Una volta penetrato, Dridex monitora le attività degli utenti sui browser, in attesa che la vittima acceda all’home banking. Le informazioni copiate tramite form online, keylogger o screenshot vengono poi trasmesse ai server command and control tramite comunicazioni crittografate.