Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Il Ritorno di Dridex: Il Malware Bancario Che Sta Mettendo in Pericolo le Finanze Online

Ricardo Nardini : 9 Ottobre 2023 07:20

Nel corso del 2014 e 2015 Dridex ha causato perdite milionarie dai conti correnti in diversi paesi europei e negli Stati Uniti, prima di scomparire. Tuttavia sembra che il malware trojan Dridex sia nei paraggi, mutato e apparentemente con versioni più difficili da rilevare adeguandosi alle attuali tecnologie bancarie.

Dridex utilizzava allegati di posta elettronica, per esempio una fattura in formato Word o Excel che chiedeva di attivare le macro per aprirla. Una volta scaricato ed eseguito l’allegato infettava il dispositivo e riusciva a rubare le password del home banking se memorizzate nel browser. Se le password non erano memorizzate nel browser, il malware attendeva finché si accedeva al sito web della banca e prendeva possesso della password. Una volta in possesso delle credenziali, otteneva pieno accesso ai conti ed eseguiva bonifici su un conto provvisorio di sua convenienza.

Molti clienti di diverse entità bancarie spagnole sono stati vittime di questo malware. Ai tempi Dridex era uno dei ladri virtuali più sofisticati conosciuti, dedito a rubare dal conto corrente con operazioni di sembianze totalmente umane.

Sponsorizza la prossima Red Hot Cyber Conference!

Il giorno Lunedì 18 maggio e martedì 19 maggio 2026 9 maggio 2026, presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la V edizione della la RHC Conference
Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico. 
Se sei interessato a sponsorizzare l'evento e a rendere la tua azienda protagonista del più grande evento della Cybersecurity Italiana, non perdere questa opportunità. E ricorda che assieme alla sponsorizzazione della conferenza, incluso nel prezzo, avrai un pacchetto di Branding sul sito di Red Hot Cyber composto da Banner più un numero di articoli che saranno ospitati all'interno del nostro portale. 
Quindi cosa stai aspettando? Scrivici subito a [email protected] per maggiori informazioni e per accedere al programma sponsor e al media Kit di Red Hot Cyber.



Supporta RHC attraverso:
 

  1. L'acquisto del fumetto sul Cybersecurity Awareness
  2. Ascoltando i nostri Podcast
  3. Seguendo RHC su WhatsApp
  4. Seguendo RHC su Telegram
  5. Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber

Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.
 

La sicurezza bancaria implementata attualmente all’interno delle proprie applicazioni mobili è totalmente incompatibile con malware di questo tipo. Oggi le transazioni bancarie vengono elaborate ed il traffico da e per i dispositivi mobili viene effettuato con un livello di cifrato e decrittazione altissimo, aggiungendo dalle filiali i nostri numeri di telefono “autorizzati”, dispositivi smartphone idonei ed autenticazione a due fattori cablata all’interno di queste applicazioni e pressoché impensabile una manovra come quella del 2015.

Nel gennaio del 2018, i ricercatori di Forcepoint Security Labs hanno scoperto che Dridex aveva espanso la propria catena di infezione non solo prendendo di mira gli utenti attraverso campagne di phishing ma anche attraverso siti Web FTP compromessi. Parliamo solo di infezioni e permanenza latente presso i dispositivi degli utenti.

A metà del 2019 il ricercatore informatico Brad Duncan sosteneva che quella variante del trojan sfrutta la tecnica dell’Application Whitelisting per bloccare gli elementi del Windows Script Host. In questo modo il malware era di nuovo in grado di utilizzare script XLS per aggirare ogni tentativo di mitigazione. 

La società di sicurezza informatica eSentire nel 2019 scrisse che la funzionalità principale di Dridex aveva ricevuto un ulteriore aggiornamento fornendo ulteriori dettagli relativi su quel ceppo. Sempre in quell’anno il FBI ha pubblicato i nomi di alcuni presunti autori di Dridex, tutti sotto un organizzazione con le basi in Russia chiamata Evil Corp.

Nel 2020 il malware era stato capace di sfuggire a molti antivirus basati sulle firme e questo ha reso difficile fermare la diffusione dello stesso. Ad oggi la maggior parte degli antivirus è in grado di rilevarlo ma anche se la sicurezza bancaria ha fatto ottimi passi avanti, quanti sono ad oggi gli smartphone senza antivirus in circolazione per l’Italia?

L’attuale situazione

Durante l’ultima diffusione del malware eSentire sostiene che gli autori non hanno ancora finito, ed è possibile che “questa variante di Dridex continuerà a mutare durante l’attuale campagna”.

Per quanto ne sappiamo Evil Corp si specializza attualmente in ransomware Lockbit e potrebbe specializzarsi nel cracking specifico di solo alcune applicazioni bancarie di cui sul mercato del DarkWeb si conoscono e si vendono informazioni. Di certo Evil Corp possiede il know how per evolvere Dridex al punto di riuscire a raggirare moltissimi controlli ed autenticazioni a due fattori di certe applicazioni bancarie per dispositivi mobili. Da fonti affidabili di intelligence, Evil Corp è una delle organizzazioni che collabora attivamente con l’attuale regime statale Russo quindi per quanto possiamo immaginare conta con ingenti fondi e risorse che li permettono di continuare le sue attività di sviluppo presso i suoi territori.

Comportamenti alla base della cybersecurity 

Di conseguenza oggi Red Hot Cyber ripropone nuovamente un briefing sintetico di alcune delle misure di prevenzione necessarie per mitigare questo tipo di malware:

a. Se si utilizzano applicazioni di home banking, evitare di salvare le password e PIN dentro i block notes del dispositivo mobile e quando si utilizzano, assicurarsi di essere sull’applicazione ufficiale della banca e che questa sia aggiornata all’ultima versione presso lo store. Già oggi molti istituti bancari non permettono neppure l’esecuzione delle loro applicazioni che non siano all’ultima versione, quindi al momento del login, l’applicazione avviserà di aggiornare prima e poi eseguire il login.

b. Come scritto sopra, installare un antivirus valido sul dispositivo. La spesa del costo di un buon antivirus ne vale sempre la pena e alla fine si ripaga da se. Ricordate che siete voi stessi i responsabili della cybersecurity dei vostri dispositivi.

c. La buona praxis di non aprire mai allegati contenenti macro neppure da mail presumibilmente genuine è alla base del miglior comportamento di autotutela. Sembra sciocco ma di solito la porta d’ingresso del malware viene quasi sempre spalancata dalla persona che utilizza il dispositivo.

d. Assicurarsi sempre di non dire ne trasmettere mai password in telefonate a colleghi o superiori, meglio trovare metodi alternativi per svolgere un attività, o ritardare di qualche ora un compito lavorativo, che trasmettere password per telefono, via mail o sms.

Non è il tentativo d’insegnare il già saputo, ma quello di tenere costantemente alta la guardia su comportamenti e situazioni deleterie per la propria sicurezza.

Ricardo Nardini
Specialista elettronico in telecomunicazioni, si dedicò all'informatica dal 1987. Prestò servizio per Ericsson, Harris e Nokia. Negli anni novanta ha lavorato per clienti come Agusta, Siai Marchetti, e per Euratom (JRC) Ispra. Negli anni 2000 era IT di secondo livello presso Vodafone. Lavorò per otto anni su sistemi AS400 presso Intesasanpaolo. Attualmente è un IT System Specialist, e si occupa anche esternamente di problematiche inerenti il perimetro della sicurezza informatica e la cybersecurity.

Lista degli articoli

Articoli in evidenza

Addio star di carne e ossa? Arriva Tilly Norwood, la prima attrice AI!
Di Redazione RHC - 30/09/2025

In un settore un tempo dominato da star dal vivo, i personaggi digitali si stanno facendo sempre più strada. Durante un summit a Zurigo, Ellin van der Velden, attrice, comica e tecnologa, ha annuncia...

Da user a root in un secondo! il CISA avverte: milioni di OS a rischio. Patchate!
Di Redazione RHC - 30/09/2025

La Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti ha aggiunto una vulnerabilità critica nella popolare utility Sudo, utilizzata su sistemi Linux e Unix-like, al suo catalog...

Gestione della crisi digitale: la comunicazione è la chiave tra successo o fallimento
Di Redazione RHC - 30/09/2025

Negli ultimi anni gli attacchi informatici sono diventati una delle principali minacce per le aziende, indipendentemente dal settore. Se i reparti tecnici si concentrano sulla risoluzione dei problemi...

Un’estensione barzelletta e cade Chat Control! Houston, abbiamo un problema… di privacy
Di Sergio Corpettini - 30/09/2025

Nel 2025 l’Unione Europea vuole avere il controllo totale sulle chat private. Il Regolamento “Chat Control” (proposta COM(2022)209) promette di combattere la pornografia minorile con la scansion...

0-day 0-click su WhatsApp! un’immagine basta per prendere il controllo del tuo iPhone
Di Redazione RHC - 29/09/2025

Qualche produttore di spyware starà probabilmente facendo ginnastica… strappandosi i capelli. Ma ormai è il solito teatrino: c’è chi trova, chi incassa, chi integra e poi arriva il ricercatore ...