Dyreza ha preso di mira la supply chain dell’informatica

Nel corso di quest’ultimo anno, la gamma degli obiettivi bersagliati dal malware Dyreza si è notevolmente ampliata. Di fatto, il Trojan in questione si interessa ancora alle credenziali che consentono l’accesso ai conti bancari online; esso, tuttavia, ha ugualmente iniziato ad attaccare gli esperti che operano nel settore occupazionale (ricordiamo, a tal proposito, Salesforce.com), i provider di servizi di hosting, i registrar di domini, i rivenditori online, e molti altri ancora.

I ricercatori di Proofpoint hanno di recente condiviso una nuova scoperta: Dyreza ha aperto “ufficialmente” la caccia alle credenziali relative a vari attori della supply chain del settore IT. All’interno dei nuovi file di configurazione del Trojan, i ricercatori hanno in effetti individuato i nominativi di 20 organizzazioni – da sottoporre ad attacco – riconducibili a tale profilo; citiamo, tra di esse, una serie di software house impegnate in attività di fornitura e magazzinaggio prodotti, così come alcuni distributori di attrezzature informatiche.

“L’aspetto inquietante riguardo ad una simile scelta di obiettivi risiede proprio nel fatto che quest’ultima abbraccia, chiaramente, l’intero ciclo della supply chain, dalla produzione alla commercializzazione – dichiara in merito Kevin Epstein, vice-presidente della divisione di Proofpoint che si occupa delle operazioni di risposta alle minacce Internet. – Se si guarda all’effettivo potenziale di tale catena di distribuzione, risulta ben evidente come la stessa possa costituire un bersaglio particolarmente appetibile per gli attacker, visto che essa presenta un numero decisamente elevato di account “pregiati”. Ottenendo l’accesso a tali account, si può ad esempio modificare l’indirizzo di consegna delle merci, oppure emettere una serie di ordini di pagamento e fatture in favore di società fittizie, magari organizzare una produzione in massa di buoni regalo. Si tratta di una minaccia davvero seria, sebbene la stessa non appaia in forma così manifesta come, ad esempio, l’esplicita violazione degli account bancari. Il rischio è comunque enorme: la catena logistica rappresenta, in effetti, un elemento chiave per molte aziende”.

Il Trojan-banker Dyreza, noto anche con l’appellativo di “Dyre”, è perfettamente in grado di sostituire le pagine web ed i form che vengono aperti nel browser dell’utente-vittima. Esso si diffonde attraverso lo spam; le informazioni raccolte “on the fly” vengono poi inviate ai malintenzionati di turno. Il suddetto Trojan può essere acquistato sul mercato nero della cybercriminalità; l’insidioso malware può essere inoltre “opportunamente” modificato per la conduzione di attacchi di natura mirata. “Storicamente, Dyreza ha sempre evidenziato alte percentuali di riuscita, – riconosce Epstein. – I cicli di release sono brevi; gli aggiornamenti – peraltro con relativa correzione degli eventuali bug – sono frequenti. Si tratta di un modello di successo”.

Proofpoint ha pubblicato un elenco di indicatori di compromissione, ed una lista dei nuovi obiettivi presi di mira dal trojan Dyreza. Quest’ultima comprende, oltre ai produttori e agli specialisti del magazzinaggio, società che si occupano di gestione degli inventari e aziende specializzate nel commercio elettronico; sono inoltre presenti Apple, Iron Mountain, Otterbox e Badger Graphics.

“Gli specifici cambiamenti da noi osservati riflettono una chiara e deliberata strategia da parte dei malintenzionati: questi ultimi intendono attaccare un nuovo settore industriale, andando ad interessare tutti gli “anelli” che compongono la relativa catena di distribuzione, – constatano gli esperti nell’ambito del report da essi stilato. – Riteniamo che, nel caso specifico, la motivazione sia di natura finanziaria. L’ottenimento delle credenziali di login necessarie per accedere ai sistemi informatici presi di mira offre all’attacker immense possibilità per ciò che riguarda la successiva raccolta delle informazioni di pagamento, l’effettuazione di transazioni fraudolente e l’eventuale modifica delle condizioni previste per la consegna della merce”.

I messaggi di spam più recenti, nel quadro della diffusione del trojan Dyreza (riportati a titolo esemplificativo nel blog di Proofpoint), risultano provvisti di un allegato dannoso in formato .doc. Il malware viene scaricato tramite un apposito downloader VBA, inserito all’interno del suddetto documento, secondo lo schema BartalexUpatre–Dyre. Nell’anno in corso, i mailing di spam che ricorrono all’utilizzo di macro malevole hanno acquisito una notevole popolarità presso i cybercriminali intenti a distribuire temibili Trojan bancari quali Dyre e Dridex.

Fonte: Threatpost

Post correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *