Ricardo Nardini : 9 Ottobre 2023 07:20
Nel corso del 2014 e 2015 Dridex ha causato perdite milionarie dai conti correnti in diversi paesi europei e negli Stati Uniti, prima di scomparire. Tuttavia sembra che il malware trojan Dridex sia nei paraggi, mutato e apparentemente con versioni più difficili da rilevare adeguandosi alle attuali tecnologie bancarie.
Dridex utilizzava allegati di posta elettronica, per esempio una fattura in formato Word o Excel che chiedeva di attivare le macro per aprirla. Una volta scaricato ed eseguito l’allegato infettava il dispositivo e riusciva a rubare le password del home banking se memorizzate nel browser. Se le password non erano memorizzate nel browser, il malware attendeva finché si accedeva al sito web della banca e prendeva possesso della password. Una volta in possesso delle credenziali, otteneva pieno accesso ai conti ed eseguiva bonifici su un conto provvisorio di sua convenienza.
Molti clienti di diverse entità bancarie spagnole sono stati vittime di questo malware. Ai tempi Dridex era uno dei ladri virtuali più sofisticati conosciuti, dedito a rubare dal conto corrente con operazioni di sembianze totalmente umane.
Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)?
Stiamo per avviare il corso intermedio in modalità "Live Class" del corso "Dark Web & Cyber Threat Intelligence".
A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente.
Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato.
Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile.
Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]
La sicurezza bancaria implementata attualmente all’interno delle proprie applicazioni mobili è totalmente incompatibile con malware di questo tipo. Oggi le transazioni bancarie vengono elaborate ed il traffico da e per i dispositivi mobili viene effettuato con un livello di cifrato e decrittazione altissimo, aggiungendo dalle filiali i nostri numeri di telefono “autorizzati”, dispositivi smartphone idonei ed autenticazione a due fattori cablata all’interno di queste applicazioni e pressoché impensabile una manovra come quella del 2015.
Nel gennaio del 2018, i ricercatori di Forcepoint Security Labs hanno scoperto che Dridex aveva espanso la propria catena di infezione non solo prendendo di mira gli utenti attraverso campagne di phishing ma anche attraverso siti Web FTP compromessi. Parliamo solo di infezioni e permanenza latente presso i dispositivi degli utenti.
A metà del 2019 il ricercatore informatico Brad Duncan sosteneva che quella variante del trojan sfrutta la tecnica dell’Application Whitelisting per bloccare gli elementi del Windows Script Host. In questo modo il malware era di nuovo in grado di utilizzare script XLS per aggirare ogni tentativo di mitigazione.
La società di sicurezza informatica eSentire nel 2019 scrisse che la funzionalità principale di Dridex aveva ricevuto un ulteriore aggiornamento fornendo ulteriori dettagli relativi su quel ceppo. Sempre in quell’anno il FBI ha pubblicato i nomi di alcuni presunti autori di Dridex, tutti sotto un organizzazione con le basi in Russia chiamata Evil Corp.
Nel 2020 il malware era stato capace di sfuggire a molti antivirus basati sulle firme e questo ha reso difficile fermare la diffusione dello stesso. Ad oggi la maggior parte degli antivirus è in grado di rilevarlo ma anche se la sicurezza bancaria ha fatto ottimi passi avanti, quanti sono ad oggi gli smartphone senza antivirus in circolazione per l’Italia?
Durante l’ultima diffusione del malware eSentire sostiene che gli autori non hanno ancora finito, ed è possibile che “questa variante di Dridex continuerà a mutare durante l’attuale campagna”.
Per quanto ne sappiamo Evil Corp si specializza attualmente in ransomware Lockbit e potrebbe specializzarsi nel cracking specifico di solo alcune applicazioni bancarie di cui sul mercato del DarkWeb si conoscono e si vendono informazioni. Di certo Evil Corp possiede il know how per evolvere Dridex al punto di riuscire a raggirare moltissimi controlli ed autenticazioni a due fattori di certe applicazioni bancarie per dispositivi mobili. Da fonti affidabili di intelligence, Evil Corp è una delle organizzazioni che collabora attivamente con l’attuale regime statale Russo quindi per quanto possiamo immaginare conta con ingenti fondi e risorse che li permettono di continuare le sue attività di sviluppo presso i suoi territori.
Di conseguenza oggi Red Hot Cyber ripropone nuovamente un briefing sintetico di alcune delle misure di prevenzione necessarie per mitigare questo tipo di malware:
a. Se si utilizzano applicazioni di home banking, evitare di salvare le password e PIN dentro i block notes del dispositivo mobile e quando si utilizzano, assicurarsi di essere sull’applicazione ufficiale della banca e che questa sia aggiornata all’ultima versione presso lo store. Già oggi molti istituti bancari non permettono neppure l’esecuzione delle loro applicazioni che non siano all’ultima versione, quindi al momento del login, l’applicazione avviserà di aggiornare prima e poi eseguire il login.
b. Come scritto sopra, installare un antivirus valido sul dispositivo. La spesa del costo di un buon antivirus ne vale sempre la pena e alla fine si ripaga da se. Ricordate che siete voi stessi i responsabili della cybersecurity dei vostri dispositivi.
c. La buona praxis di non aprire mai allegati contenenti macro neppure da mail presumibilmente genuine è alla base del miglior comportamento di autotutela. Sembra sciocco ma di solito la porta d’ingresso del malware viene quasi sempre spalancata dalla persona che utilizza il dispositivo.
d. Assicurarsi sempre di non dire ne trasmettere mai password in telefonate a colleghi o superiori, meglio trovare metodi alternativi per svolgere un attività, o ritardare di qualche ora un compito lavorativo, che trasmettere password per telefono, via mail o sms.
Non è il tentativo d’insegnare il già saputo, ma quello di tenere costantemente alta la guardia su comportamenti e situazioni deleterie per la propria sicurezza.
Ricardo NardiniSette italiani su dieci hanno il proprio numero di telefono incluso in questa banca dati. Ma cosa significa attualmente disporre di un tale quantitativo di numeri telefonici concentrati all’interno ...
I criminali informatici hanno lanciato una nuova ondata di attacchi che utilizzano file SVG per distribuire pagine di phishing. Gli esperti di VirusTotal hanno segnalato che gli aggressori si spaccian...
Il mondo dei supercomputer è entrato nell’era dell’exascale computing. La classifica TOP500 di giugno per il 2025 ha registrato tre sistemi americani ai vertici, un debutto clamoroso dall’Europ...
Il team di Darklab, la community di esperti di threat intelligence di Red Hot Cyber, ha individuato un annuncio sul marketplace del dark web “Tor Amazon”, l’analogo criminale del celebre e-comme...
Microsoft ha ufficialmente reso pubblico il codice sorgente della sua prima versione di BASIC per il processore MOS 6502, che per decenni è esistito solo sotto forma di fughe di notizie, copie da mus...
