Dridex fa propri i “trucchi” adottati dal Trojan bancario Dyre e prende di mira gli utenti britannici

È stato osservato, da parte di alcuni ricercatori, come i malintenzionati che si celano dietro al temibile Trojan Dridex abbiano recentemente ristretto il loro campo di azione, concentrandosi, di fatto, sugli istituti bancari britannici frequentati da una clientela business di elevato profilo. Due settimane fa è stata in effetti rilasciata una nuova versione di tale programma Trojan; ad essa ha fatto immediatamente seguito una serie di campagne malevole volte ad infettare i computer degli utenti ubicati entro i confini del Regno Unito.

Secondo Limor Kessem, tra i principali esperti di sicurezza IT del team di ricerca e sviluppo X-Force di IBM, la versione più recente di Dridex viene distribuita attraverso la botnet Andromeda. Inizialmente, la lista dei potenziali bersagli della versione aggiornata del Trojan risultava limitata a due sole banche britanniche; entro pochi giorni, tuttavia, il malware in causa ha esteso il proprio raggio di azione a ben 13 istituti bancari, situati in Gran Bretagna.

Gli attacchi condotti da Dridex nei confronti dei clienti di numerose banche del Regno Unito non costituiscono di certo motivo di particolare sorpresa: questo insidioso Trojan-Banker, in effetti, si è sempre dimostrato molto “interessato” al denaro…altrui. IBM ritiene che gli autori del Trojan abbiano semplicemente deciso di concentrare la loro attività cybercriminale su target di particolare “pregio”, ovvero banche che dispongono di sottodomini dedicati per l’accesso agli account business e corporate.

Il nuovo Dridex viene attualmente diffuso con le stesse modalità adottate in precedenza dai malintenzionati; gli attacker, in effetti, distribuiscono messaggi e-mail contraffatti contenenti, in allegato, un file Microsoft Office elaborato sotto forma di fattura fasulla e provvisto di apposita macro malevola. Quando la vittima dell’infezione informatica intende poi accedere al sito web della propria banca, il malware reindirizza furtivamente la richiesta effettuata dall’utente verso un altro sito, allo scopo di carpire login e password.

Il metodo che prevede il furto dei dati sensibili per mezzo del redirecting non rappresenta di certo una novità; tale tecnica malevola viene in effetti utilizzata da un altro Trojan bancario, Dyre; tuttavia, mentre quest’ultimo si avvale, per tale scopo, di un proxy server locale, la versione aggiornata di Dridex provvede a sostituire i record a livello di cache DNS locale.

L’utilizzo di una simile tecnica, secondo quanto asserisce Limor Kessem, richiede una lunga e “laboriosa” fase preparatoria. “Per allestire l’attacco tramite redirecting, la gang cybercriminale deve innanzitutto investire molto tempo e considerevoli risorse per la creazione di repliche esatte dei siti web appartenenti alle banche sottoposte ad attacco, – scrive l’esperta di cybersecurity nel blog di X-Force. – Quando Dyre ha iniziato a servirsi dello schema sopra descritto, facevano parte dell’elenco dei potenziali target del Trojan più di una dozzina di banche. Un’operazione del genere richiedeva l’impiego di notevoli risorse da parte dei malintenzionati; gli “operatori” del Trojan Dyre, quindi, sono dovuti necessariamente tornare alla pratica della web injection e alla sostituzione delle pagine”.

La nuova campagna Dridex, ad ogni caso, ha rapidamente guadagnato slancio, assumendo proporzioni decisamente consistenti; questo ha indotto Limor Kessem a ritenere che entrambi i gruppi criminali siano collegati allo stesso identico sviluppatore od organizzatore. È ugualmente possibile che gli operatori di Dridex abbiano semplicemente acquistato le copie relative ad alcuni siti web presso il gruppo che tiene le fila del Trojan Dyre.

I mass media hanno riferito in merito a Dridex, l’ultima volta, alla fine dello scorso mese di ottobre; in quel momento, il banker risultava particolarmente attivo, ed attaccava gli utenti francesi, nonostante, non molto tempo prima, l’FBI e l’Agenzia nazionale britannica per la lotta contro la criminalità (NCA) avessero condotto un’operazione congiunta volta a smantellare e sequestrare le infrastrutture utilizzate dal Trojan. Visto che Dridex continua la sua “marcia” attraverso l’Europa, il duro colpo inflitto al Trojan, probabilmente, è riuscito ad arrestare solo temporaneamente le devastanti “scorrerie” realizzate da quest’ultimo.

Fonte: Threatpost

Post correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *