Dridex: temibile malware redivivo tra i più attivi

Sembrava fosse stato sradicato questo malware, come riportava TrendMicro in questo post, invece è ancora più vivo che mai e si colloca tra i primi malware bancari come diffusione e pericolosità. 
Questo malware si propaga principalmente tramite SPAM: in questi ultimi anni lo SPAM complessivo a livello mondiale è radicalmente diminuito, ma questo malware ha aumentato la sua diffusione proprio tramite questo strumento. I paesi colpiti, principalmente, sono quelli in lingua inglese quindi USA e Gran Bretagna in testa, ma può colpire anche paesi come l’Italia. 

Ogni giorno possono esserci da 1 a 3 campagne di SPAM, ciascuna delle quali può inviare 200-300 mila email, giusto per far capire la portata delle campagne messe in atto. 

Inoltre, il messaggio usato per adescare le vittima è molto ben strutturato, ovvero:

  • soggetto della mail valido ed attendibile
  • non vi sono errori di grammatica e di sintassi
  • allegato solitamente una fattura che nasconde una macro maligna
Il malware una volta aperto, cerca di captare i dati di accesso bancari e li invia a server esterni. 
Come funziona?
Dridex, una volta aperto in memoria, penetra nei browser installati nel sistema e carpisce i dati utilizzando la tecnica Man-In-The-Browser (mitb), ove rimarrà in attesa che l’utente acceda a sistemi bancari: le informazioni copiate tramite screenshot, keylogger  o tramite form online vengono intercettate dal malware che userà una connessione crittografata per inviarle a server esterni. 

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *