Nuova cyber-campagna malevola: Dridex è ancora attivo, attacca gli utenti francesi

Due settimane fa, i rappresentanti delle forze di cyber-polizia e delle autorità giudiziarie annunciavano l’avvenuto smantellamento della botnet allestita sulla base del famigerato malware bancario Dridex; una nuova ricerca condotta dagli esperti ha tuttavia dimostrato che questo temibile Trojan-Banker, purtroppo, è ancora vivo e vegeto.

Nell’arco di soli quattro giorni, in effetti, i ricercatori di Invincea, società specializzata in sicurezza IT, hanno rilevato, sul territorio francese, ben 60 casi di infezione informatica generata dal malware Dridex. Gli attacker distribuiscono messaggi e-mail contraffatti contenenti, in allegato, un file Microsoft Office, elaborato dai malintenzionati sotto forma di fattura, apparentemente emessa da un hotel o da un negozio. Quando il documento in questione viene aperto, si attiva una macro, attraverso la quale viene recapitato, alla vittima, il file maligno denominato PIDARAS.exe; quest’ultimo provvede a stabilire una connessione con alcuni host giapponesi, tramite il proprio server di comando e controllo.

Gli esperti sottolineano come una simile modalità di propagazione permetta ai malintenzionati di bypassare gli strumenti abitualmente utilizzati per il rilevamento delle minacce Internet. Inoltre, il malware in causa si avvale di un certificato digitale emesso da Comodo; per tale motivo, Dridex è in grado di eludere l’azione protettiva svolta dalle tecnologie di sicurezza IT basate sull’attendibilità del codice firmato.

Al momento attuale, la campagna malevola volta a diffondere l’insidioso Trojan bancario prende di mira gli utenti francofoni, come testimonia la denominazione stessa dell’allegato nocivo (“facture”, ovvero “fattura” in francese); il documento maligno, inoltre, si riferisce esplicitamente ad un negozio francese; lo stesso codice eseguibile, infine, presenta elementi analoghi. Non bisogna tuttavia escludere a priori l’eventualità che, con il trascorrere del tempo, la cyber-campagna Dridex possa essere orientata ad altre lingue ed altre realtà.

“Gli attacchi condotti in Francia potrebbero essere soltanto un’anticipazione, in vista di una campagna di proporzioni ben più vaste, rivolta agli utenti ubicati sul territorio degli Stati Uniti e di altri paesi; questo è avvenuto spesso, con Dridex”, – avvertono gli esponenti di Invincea nel proprio comunicato stampa.

In precedenza, nello scorso mese di ottobre, l’FBI, il Ministero della Giustizia degli Stati Uniti e l’Agenzia nazionale del Regno Unito per la lotta contro la criminalità (NCA) avevano riferito in merito alla conduzione di un’operazione congiunta, la quale aveva portato al sequestro della maggior parte delle infrastrutture utilizzate da Dridex. Nella circostanza, le autorità giudiziarie e le forze di cyber-polizia avevano beneficiato del supporto tecnico fornito dagli esperti di sicurezza IT di Dell SecureWorks, i quali avevano fatto ricorso al metodo “sinkhole” per rimpiazzare alcuni nodi delle reti P2P del Trojan, ed avevano poi rediretto verso gli stessi circa 4.000 bot situati sul territorio di Francia e Gran Bretagna. La pratica ha tuttavia dimostrato come alcune sottoreti fossero di fatto sfuggite a tale operazione.

Dridex è riapparso sulla scena all’inizio di questo mese; sono stati i ricercatori di Palo Alto Networks a scoprire per primi la ripresa dell’attività del Trojan-Banker, nel quadro di un mailing di massa maligno condotto dai cybercriminali sul territorio della Gran Bretagna. Nell’occasione, così come nell’ambito dell’attuale campagna francofona, i malintenzionati hanno invitato i destinatari delle e-mail ad attivare la macro dannosa, allo scopo di generare il download del programma Trojan in questione.

Purtroppo, gli effetti dell’operazione internazionale volta ad eliminare Dridex sono stati solo temporanei: come ha fatto notare la settimana scorsa Brad Duncan, di ISC SANS, il banker è rimasto quieto solo per un mese. Secondo l’esperto, nel mese di settembre l’istituto SANS non ha rilevato la conduzione di nessuna campagna di spam destinata alla diffusione di Dridex. Nel corso dello stesso periodo, nessun nuovo sample è apparso su VirusTotal; la presenza di nuovi campioni del malware si è manifestata soltanto il 1° ottobre, nel momento in cui Palo Alto ha registrato un evidente aumento dell’attività del banker.

Fonte: Threatpost

Post correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *