▾ G11 Media Network: | ChannelCity | ImpresaCity | SecurityOpenLab | GreenCity | Italian Channel Awards | Italian Project Awards | ...

Anno nuovo, Dridex nuovo (o quasi)

Identificata una nuova campagna di phishing per la diffusione di una variante di Dridex, il malware nato per colpire online banking, POS e criptovalute

Sicurezza
I ricercatori dei Forcepoint Security Labs hanno rilevato una nuova campagna di phishing per la diffusione di una variante del malware Dridex, un trojan molto noto in ambito bancario. La versione originale di Dridex è stata infatti sviluppata in modo da rilevare la presenza, sui computer infettati, di specifici software per l'online banking e più in generale per gestire pagamenti digitali, terminali POS e portafogli di criptovalute. Una volta rilevati questi software, esfiltra i loro dati più importanti e li trasmette a server remoti.

La campagna rilevata da Forcepoint è stata relativamente limitata sia nel tempo che nel volume di mail inviate: circa 9.500 in sette ore. Si ipotizza che la sua brevità sia legata in parte alla volontà di non farsi rilevare dai sistemi di threat intelligence e in parte al fatto che potrebbe essersi trattato solo di una campagna di test. Ha infatti una peculiarità: usare server FTP compromessi come deposito dei malware.

I messaggi di posta elettronica inviati per diffondere Dridex contengono un link per scaricare due tipi diversi di documenti (un file Excel e uno Word) che portano poi al download vero e proprio del malware. I documenti sono conservati in siti FTP leciti ma compromessi, di cui la mail tra l'altro permette di vedere le credenziali di accesso. In questo modo i siti possono essere usati anche da altri malintenzionati, se non vengono subito protetti dai rispettivi proprietari.

dridex mail malware

La diffuzione di Dridex via FTP è stata scelta probabilmente perché alcune piattaforme anti-malware considerano i link FTP come affidabili, mentre sono molto più "sospettose" sui link HTTP inseriti nelle email. L'attacco limitato, ipotizza Forcepoint, serve a capire quali piattaforme e quali reti lo identificano e lo bloccano, come anche quali sono meno solide di fronte a questo tipo di approccio.

L'attacco è purtroppo anche una dimostrazione di come la criminalità informatica sia disposta a investire nello sviluppo costante di uno "strumento" che ha dimostrato la sua efficacia. Dridex ha già visto la nascita di diverse sue varianti che ne hanno progressivamente aumentato la pericolosità.
Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di ImpresaCity.it iscriviti alla nostra Newsletter gratuita.
Tags: malware forcepoint banking dridex phishing

Notizie correlate

Microsoft, un copilot per la sicurezza

Commvault, più cyber resilienza con Appranix

IDC: aumenta la spesa europea in cybersecurity

La stampa sicura secondo Brother

Servono nuove regole per un software più sicuro

Gartner: il futuro della cybersecurity in otto punti

Attacchi guidati dall’AI: quale protezione?

Acronis, nuovi livelli di cybersecurity e protezione dati 

Speciali Tutti gli speciali

Speciale

L’Ecommerce B2B in azione

Speciale

Speciale Mobile World Congress 2024

Webinar

Dopo CentOS, tutto quello che serve sapere sull’evoluzione del sistema operativo enterprise

Speciale

Speciale Digitale e PA

Reportage

Red Hat Summit Connect 2023

Calendario Tutto

Mag 07
Huawei Italy Enterprise Roadshow 2024 - Roma
Mag 08
Road to NIS2 - Padova
Mag 09
IDC Future of Digital Infrastructure Forum 2024
Mag 09
Huawei Italy Enterprise Roadshow 2024 - Caserta
Mag 14
Huawei Italy Enterprise Roadshow 2024 - Aci Castello
Mag 16
Road to NIS2 - Roma
Mag 23
AWS Summit 2024 - Milano
Mag 30
Be Connected Day
Mag 30
Fortinet Security Day - Milano

Magazine Tutti i numeri

ImpresaCity Magazine


Leggi il Magazine

Iscriviti alla nostra newsletter

Soluzioni B2B per il Mercato delle Imprese e per la Pubblica Amministrazione

Iscriviti alla newsletter

G11 Media Networks

ImpresaCity

ImpresaCity e' un canale di BitCity, testata giornalistica registrata presso il tribunale di Como ,
n. 21/2007 del 11/10/2007- Iscrizione ROC n. 15698

G11 MEDIA S.R.L. Sede Legale Via NUOVA VALASSINA, 4 22046 MERONE (CO) - P.IVA/C.F.03062910132 Registro imprese di Como n. 03062910132 - REA n. 293834 CAPITALE SOCIALE Euro 30.000 i.v.