Sembrava fosse stato sradicato questo malware, come riportava TrendMicro in questo post, invece è ancora più vivo che mai e si colloca tra i primi malware bancari come diffusione e pericolosità.
Questo malware si propaga principalmente tramite SPAM: in questi ultimi anni lo SPAM complessivo a livello mondiale è radicalmente diminuito, ma questo malware ha aumentato la sua diffusione proprio tramite questo strumento. I paesi colpiti, principalmente, sono quelli in lingua inglese quindi USA e Gran Bretagna in testa, ma può colpire anche paesi come l’Italia.
Ogni giorno possono esserci da 1 a 3 campagne di SPAM, ciascuna delle quali può inviare 200-300 mila email, giusto per far capire la portata delle campagne messe in atto.
Inoltre, il messaggio usato per adescare le vittima è molto ben strutturato, ovvero:
- soggetto della mail valido ed attendibile
- non vi sono errori di grammatica e di sintassi
- allegato solitamente una fattura che nasconde una macro maligna
Il malware una volta aperto, cerca di captare i dati di accesso bancari e li invia a server esterni.
Come funziona?
Dridex, una volta aperto in memoria, penetra nei browser installati nel sistema e carpisce i dati utilizzando la tecnica Man-In-The-Browser (mitb), ove rimarrà in attesa che l’utente acceda a sistemi bancari: le informazioni copiate tramite screenshot, keylogger o tramite form online vengono intercettate dal malware che userà una connessione crittografata per inviarle a server esterni.
Fonte per alcuni dati: Is Dridex the Most Dangerous Banking Trojan? – BankInfoSecurity
