Ricardo Nardini : 9 Ottobre 2023 07:20
Nel corso del 2014 e 2015 Dridex ha causato perdite milionarie dai conti correnti in diversi paesi europei e negli Stati Uniti, prima di scomparire. Tuttavia sembra che il malware trojan Dridex sia nei paraggi, mutato e apparentemente con versioni più difficili da rilevare adeguandosi alle attuali tecnologie bancarie.
Dridex utilizzava allegati di posta elettronica, per esempio una fattura in formato Word o Excel che chiedeva di attivare le macro per aprirla. Una volta scaricato ed eseguito l’allegato infettava il dispositivo e riusciva a rubare le password del home banking se memorizzate nel browser. Se le password non erano memorizzate nel browser, il malware attendeva finché si accedeva al sito web della banca e prendeva possesso della password. Una volta in possesso delle credenziali, otteneva pieno accesso ai conti ed eseguiva bonifici su un conto provvisorio di sua convenienza.
Molti clienti di diverse entità bancarie spagnole sono stati vittime di questo malware. Ai tempi Dridex era uno dei ladri virtuali più sofisticati conosciuti, dedito a rubare dal conto corrente con operazioni di sembianze totalmente umane.
Sponsorizza la prossima Red Hot Cyber Conference!Il giorno Lunedì 18 maggio e martedì 19 maggio 2026 9 maggio 2026, presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la V edizione della la RHC Conference. Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico. Se sei interessato a sponsorizzare l'evento e a rendere la tua azienda protagonista del più grande evento della Cybersecurity Italiana, non perdere questa opportunità. E ricorda che assieme alla sponsorizzazione della conferenza, incluso nel prezzo, avrai un pacchetto di Branding sul sito di Red Hot Cyber composto da Banner più un numero di articoli che saranno ospitati all'interno del nostro portale. Quindi cosa stai aspettando? Scrivici subito a [email protected] per maggiori informazioni e per accedere al programma sponsor e al media Kit di Red Hot Cyber.  Supporta RHC attraverso:
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
La sicurezza bancaria implementata attualmente all’interno delle proprie applicazioni mobili è totalmente incompatibile con malware di questo tipo. Oggi le transazioni bancarie vengono elaborate ed il traffico da e per i dispositivi mobili viene effettuato con un livello di cifrato e decrittazione altissimo, aggiungendo dalle filiali i nostri numeri di telefono “autorizzati”, dispositivi smartphone idonei ed autenticazione a due fattori cablata all’interno di queste applicazioni e pressoché impensabile una manovra come quella del 2015.
Nel gennaio del 2018, i ricercatori di Forcepoint Security Labs hanno scoperto che Dridex aveva espanso la propria catena di infezione non solo prendendo di mira gli utenti attraverso campagne di phishing ma anche attraverso siti Web FTP compromessi. Parliamo solo di infezioni e permanenza latente presso i dispositivi degli utenti.
A metà del 2019 il ricercatore informatico Brad Duncan sosteneva che quella variante del trojan sfrutta la tecnica dell’Application Whitelisting per bloccare gli elementi del Windows Script Host. In questo modo il malware era di nuovo in grado di utilizzare script XLS per aggirare ogni tentativo di mitigazione.
La società di sicurezza informatica eSentire nel 2019 scrisse che la funzionalità principale di Dridex aveva ricevuto un ulteriore aggiornamento fornendo ulteriori dettagli relativi su quel ceppo. Sempre in quell’anno il FBI ha pubblicato i nomi di alcuni presunti autori di Dridex, tutti sotto un organizzazione con le basi in Russia chiamata Evil Corp.
Nel 2020 il malware era stato capace di sfuggire a molti antivirus basati sulle firme e questo ha reso difficile fermare la diffusione dello stesso. Ad oggi la maggior parte degli antivirus è in grado di rilevarlo ma anche se la sicurezza bancaria ha fatto ottimi passi avanti, quanti sono ad oggi gli smartphone senza antivirus in circolazione per l’Italia?
Durante l’ultima diffusione del malware eSentire sostiene che gli autori non hanno ancora finito, ed è possibile che “questa variante di Dridex continuerà a mutare durante l’attuale campagna”.
Per quanto ne sappiamo Evil Corp si specializza attualmente in ransomware Lockbit e potrebbe specializzarsi nel cracking specifico di solo alcune applicazioni bancarie di cui sul mercato del DarkWeb si conoscono e si vendono informazioni. Di certo Evil Corp possiede il know how per evolvere Dridex al punto di riuscire a raggirare moltissimi controlli ed autenticazioni a due fattori di certe applicazioni bancarie per dispositivi mobili. Da fonti affidabili di intelligence, Evil Corp è una delle organizzazioni che collabora attivamente con l’attuale regime statale Russo quindi per quanto possiamo immaginare conta con ingenti fondi e risorse che li permettono di continuare le sue attività di sviluppo presso i suoi territori.
Di conseguenza oggi Red Hot Cyber ripropone nuovamente un briefing sintetico di alcune delle misure di prevenzione necessarie per mitigare questo tipo di malware:
a. Se si utilizzano applicazioni di home banking, evitare di salvare le password e PIN dentro i block notes del dispositivo mobile e quando si utilizzano, assicurarsi di essere sull’applicazione ufficiale della banca e che questa sia aggiornata all’ultima versione presso lo store. Già oggi molti istituti bancari non permettono neppure l’esecuzione delle loro applicazioni che non siano all’ultima versione, quindi al momento del login, l’applicazione avviserà di aggiornare prima e poi eseguire il login.
b. Come scritto sopra, installare un antivirus valido sul dispositivo. La spesa del costo di un buon antivirus ne vale sempre la pena e alla fine si ripaga da se. Ricordate che siete voi stessi i responsabili della cybersecurity dei vostri dispositivi.
c. La buona praxis di non aprire mai allegati contenenti macro neppure da mail presumibilmente genuine è alla base del miglior comportamento di autotutela. Sembra sciocco ma di solito la porta d’ingresso del malware viene quasi sempre spalancata dalla persona che utilizza il dispositivo.
d. Assicurarsi sempre di non dire ne trasmettere mai password in telefonate a colleghi o superiori, meglio trovare metodi alternativi per svolgere un attività, o ritardare di qualche ora un compito lavorativo, che trasmettere password per telefono, via mail o sms.
Non è il tentativo d’insegnare il già saputo, ma quello di tenere costantemente alta la guardia su comportamenti e situazioni deleterie per la propria sicurezza.
Ricardo NardiniIn un settore un tempo dominato da star dal vivo, i personaggi digitali si stanno facendo sempre più strada. Durante un summit a Zurigo, Ellin van der Velden, attrice, comica e tecnologa, ha annuncia...
La Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti ha aggiunto una vulnerabilità critica nella popolare utility Sudo, utilizzata su sistemi Linux e Unix-like, al suo catalog...
Negli ultimi anni gli attacchi informatici sono diventati una delle principali minacce per le aziende, indipendentemente dal settore. Se i reparti tecnici si concentrano sulla risoluzione dei problemi...
Nel 2025 l’Unione Europea vuole avere il controllo totale sulle chat private. Il Regolamento “Chat Control” (proposta COM(2022)209) promette di combattere la pornografia minorile con la scansion...
Qualche produttore di spyware starà probabilmente facendo ginnastica… strappandosi i capelli. Ma ormai è il solito teatrino: c’è chi trova, chi incassa, chi integra e poi arriva il ricercatore ...
