News

Dridex fa propri i “trucchi” adottati dal Trojan bancario Dyre e prende di mira gli utenti britannici

È stato osservato, da parte di alcuni ricercatori, come i malintenzionati che si celano dietro al temibile Trojan Dridex abbiano recentemente ristretto il loro campo di azione, concentrandosi, di fatto, sugli istituti bancari britannici frequentati da una clientela business di elevato profilo. Due settimane fa è stata in effetti rilasciata una nuova versione di tale programma Trojan; ad essa ha fatto immediatamente seguito una serie di campagne malevole volte ad infettare i computer degli utenti ubicati entro i confini del Regno Unito.

Secondo Limor Kessem, tra i principali esperti di sicurezza IT del team di ricerca e sviluppo X-Force di IBM, la versione più recente di Dridex viene distribuita attraverso la botnet Andromeda. Inizialmente, la lista dei potenziali bersagli della versione aggiornata del Trojan risultava limitata a due sole banche britanniche; entro pochi giorni, tuttavia, il malware in causa ha esteso il proprio raggio di azione a ben 13 istituti bancari, situati in Gran Bretagna.

Gli attacchi condotti da Dridex nei confronti dei clienti di numerose banche del Regno Unito non costituiscono di certo motivo di particolare sorpresa: questo insidioso Trojan-Banker, in effetti, si è sempre dimostrato molto “interessato” al denaro…altrui. IBM ritiene che gli autori del Trojan abbiano semplicemente deciso di concentrare la loro attività cybercriminale su target di particolare “pregio”, ovvero banche che dispongono di sottodomini dedicati per l’accesso agli account business e corporate.

Il nuovo Dridex viene attualmente diffuso con le stesse modalità adottate in precedenza dai malintenzionati; gli attacker, in effetti, distribuiscono messaggi e-mail contraffatti contenenti, in allegato, un file Microsoft Office elaborato sotto forma di fattura fasulla e provvisto di apposita macro malevola. Quando la vittima dell’infezione informatica intende poi accedere al sito web della propria banca, il malware reindirizza furtivamente la richiesta effettuata dall’utente verso un altro sito, allo scopo di carpire login e password.

Il metodo che prevede il furto dei dati sensibili per mezzo del redirecting non rappresenta di certo una novità; tale tecnica malevola viene in effetti utilizzata da un altro Trojan bancario, Dyre; tuttavia, mentre quest’ultimo si avvale, per tale scopo, di un proxy server locale, la versione aggiornata di Dridex provvede a sostituire i record a livello di cache DNS locale.

L’utilizzo di una simile tecnica, secondo quanto asserisce Limor Kessem, richiede una lunga e “laboriosa” fase preparatoria. “Per allestire l’attacco tramite redirecting, la gang cybercriminale deve innanzitutto investire molto tempo e considerevoli risorse per la creazione di repliche esatte dei siti web appartenenti alle banche sottoposte ad attacco, – scrive l’esperta di cybersecurity nel blog di X-Force. – Quando Dyre ha iniziato a servirsi dello schema sopra descritto, facevano parte dell’elenco dei potenziali target del Trojan più di una dozzina di banche. Un’operazione del genere richiedeva l’impiego di notevoli risorse da parte dei malintenzionati; gli “operatori” del Trojan Dyre, quindi, sono dovuti necessariamente tornare alla pratica della web injection e alla sostituzione delle pagine”.

La nuova campagna Dridex, ad ogni caso, ha rapidamente guadagnato slancio, assumendo proporzioni decisamente consistenti; questo ha indotto Limor Kessem a ritenere che entrambi i gruppi criminali siano collegati allo stesso identico sviluppatore od organizzatore. È ugualmente possibile che gli operatori di Dridex abbiano semplicemente acquistato le copie relative ad alcuni siti web presso il gruppo che tiene le fila del Trojan Dyre.

I mass media hanno riferito in merito a Dridex, l’ultima volta, alla fine dello scorso mese di ottobre; in quel momento, il banker risultava particolarmente attivo, ed attaccava gli utenti francesi, nonostante, non molto tempo prima, l’FBI e l’Agenzia nazionale britannica per la lotta contro la criminalità (NCA) avessero condotto un’operazione congiunta volta a smantellare e sequestrare le infrastrutture utilizzate dal Trojan. Visto che Dridex continua la sua “marcia” attraverso l’Europa, il duro colpo inflitto al Trojan, probabilmente, è riuscito ad arrestare solo temporaneamente le devastanti “scorrerie” realizzate da quest’ultimo.

Fonte: Threatpost

Dridex fa propri i “trucchi” adottati dal Trojan bancario Dyre e prende di mira gli utenti britannici

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

 

Report

Evoluzione dei malware mobile – 2016

Ha continuato a crescere in maniera davvero sensibile, nel corso del 2016, il numero dei Trojan pubblicitari in grado di utilizzare i diritti di superutente. Si è trattato, lungo tutto l’arco dell’anno, della minaccia informatica numero 1; al momento attuale non scorgiamo, peraltro, validi motivi ed argomenti che lascino intravedere qualche cambiamento riguardo a tale specifica tendenza.

Lo spam nell’anno 2016

Nel 2016, all’interno dei flussi di spam, si sono verificati diversi cambiamenti; tra di essi, quello più significativo riguarda il sensibile aumento del numero di mailing di massa preposte alla distribuzione dei temibili programmi ransomware. Considerando l’effettiva disponibilità, sul mercato nero, di simili software nocivi, è presumibile che tale tendenza continui a manifestarsi anche nell’anno in corso.

Kaspersky Security Bulletin 2016. Rassegna annuale. Le statistiche dell’anno 2016

Il 2016 è stato, nell’ambito della cyber sicurezza, un anno davvero intenso e turbolento, caratterizzato da imponenti botnet IoT, ransomware, attacchi mirati di cyber spionaggio, ingenti furti nella sfera finanziaria, “hacktivismo” e molto altro ancora. Il Kaspersky Security Bulletin 2016 e il report Statistics di Kaspersky Lab forniscono un quadro dettagliato della situazione; qui, invece, si può leggere l’Executive Summary.

Kaspersky Security Bulletin 2016. La rivoluzione del ransomware

Tra gennaio e settembre 2016 gli attacchi ransomware diretti alle imprese sono aumentati di tre volte, fino all’equivalente di un attacco ogni 40 secondi. Con il boom del ransomware-as-a-service, ed il lancio del progetto NoMoreRansom, Kaspersky Lab ha definito il ransomware come il proprio “tema chiave” per il 2016.

Iscriviti alle nostre e-mail settimanali

La ricerca più all'avanguardia, direttamente nella tua inbox