Trojan Dridex: cos’è, come funziona e i consigli del nostro Team per stare alla larga dal Malware più diffuso in Italia.
Il nostro Team del Security Operation Center ha scoperto una fuga di dati sensibili durante le analisi di alcuni payload veicolati dalla famiglia di malware Dridex. Il SOC, sfruttando l’azione del malware, ha accesso a una lista contenente decine di migliaia di indirizzi email e password rubate ai malcapitati infettati. La lista è destinata a crescere, essendo continuamente alimentata dai payload protagonisti di nuovi attacchi.
Che cos’è Dridex?
Dridex è un Trojan bancario ed è il malware più diffuso in Italia. Utilizza come metodo di propagazione gli indirizzi email degli infetti per allegarsi in risposta a tutti i loro contatti. Riesce così a diffondere payload malevoli, che nella maggior parte dei casi vanno a rubare tutti i dati sensibili, comprese le credenziali di autenticazione dei contatti (email e password).
Come funziona Dridex?
Il malware si presenta all’utente come un allegato “.doc” all’interno di una mail ricevuta da un contatto reale in risposta ad una conversazione già esistente. Il nome dell’allegato fa spesso riferimento a pagamenti insoluti, fatture o quant’altro possa far leva sul senso d’urgenza del ricevente.
Questi sono alcuni nomi di files realmente inviati.
Una volta aperto l’allegato, questo ci informa che i dati all’interno di esso sono protetti e ci chiede di cliccare su “Enable Editing” o “Enable Content”.
Se il destinatario clicca sul bottone, il danno è fatto!
All’istante si attiverà una macro di Microsoft Office che utilizzerà “powershell.exe” e “wmiprvse.exe” per eseguire del codice cifrato utile a scaricare ed eseguire il payload, quindi altri Malware.
Il codice malevolo all’interno delle macro contenute nel “Trojan.Downloader.DridexXX” è offuscato appositamente per eludere i controlli di Antivirus e Sandboxes in quanto molto spesso questo tipo di malware ha dei metodi che verificano se l’ambiente in cui vengono eseguiti può essere riconducibile ad un’automated Sanbox o comunque un ambiente d’analisi controllato .
Di seguito a titolo di esempio mostriamo il codice “offuscato” all’interno del Dridex.
Di seguito condividiamo i processi eseguiti e le loro dipendenze fino a scaricare ed eseguire il payload.
Parte del comando Powershell Cifrato “non visibile” ai sistemi Antimalware.
Parte del comando decifrato.
Solitamente il payload scarica malware della famiglia “Banker” o “Spyware” che resta undetected nei vari sistemi ottenendo delle solide persistenze tramite “RunKeys” o “Tasks” che se ignorati possono portare a Data Breach di dimensioni considerevoli.
A questo punto, molto probabilmente l’azienda infettata verrà contattata da clienti/fornitori, in quanto questi cominceranno a ricevere continue mail con la stessa dinamica spiegata all’inizio dell’articolo.
Cosa consigliano di fare i nostri esperti?
Se si ha il sospetto di essere stati attaccati in un contesto analogo a quello descritto, è necessario un intervento repentino al fine di eliminare l’infezione. Se invece non si sospetta dell’infezione è comunque utile adottare misure di sicurezza idonee affidandoti alle competenze di un Team esperto. Nella rete nulla è al sicuro, neanche tu!
