È stata isolata una nuova variante del trojan bancario Dridex che si sta diffondendo attraverso una campagna malspam a livello mondiale: gli attacchi di phishing mascherati da fatture QuickBooks (software di contabilità legittimo sviluppato da Intuit, che nulla a che fare con il malware) stanno prendendo di mira gli utenti dell’applicazione di contabilità utilizzata da diverse piccole e medie imprese.
Sebbene il software delle fatture sia legittimo, gli utenti sono tratti in inganno dalla tecnica di spoofing del mittente, dal falso oggetto dell’e-mail e dal testo che invita alla fretta e induce all’errore.
L’obiettivo è indurre le vittime ad aprire l’allegato che avvia una pericolosa serie di “azioni infettive”, tali da consentire la diffusione di Dridex che abilita gli attaccanti al furto di dati e informazioni riservate per effettuare frodi e furti.
Indice degli argomenti
La campagna di phishing mascherata da fattura lecita
I primi campioni del trojan bancario Dridex sono stati identificati lo scorso 19 aprile e la campagna malspam usata per attirare gli utenti di QuickBooks con false notifiche di pagamento e fatture è ancora attiva.
Individuata da Bitdefender Antispam Lab, questa recente campagna penalizza gli utenti del software di contabilità nel tentativo di infettare i dispositivi delle vittime con il malware.
Le e-mail di spam contengono un allegato in formato Microsoft Excel apparentemente innocuo, che in realtà contiene una macro dannosa capace di lanciare un dropper trojan che, a sua volta, infetta il dispositivo della vittima con Dridex.
Campagne malevole basate su QuickBooks non rappresentano in sé una novità: infatti sono utilizzate in modo massivo dagli scammer tentando di sorprendere gli utenti nel momento di maggiore urgenza: durante la stagione della dichiarazione delle tasse.
A tal proposito, il CSIRT italiano si era occupato di notificare questo tipo di campagne in occasioni precedenti, l’ultima delle quali nel novembre 2020. Anche in quella occasione, Dridex era mascherato da e-mail con fatture QuickBooks.
Le e-mail che imitano una regolare fattura QuickBooks sono ricevute regolarmente da piccole e medie aziende e normalmente non si sospetta che possano avere gravi conseguenze. In questo caso, la mistificazione risiede nel mascheramento della campagna malevola con il nome di una azienda legittima e ben nota per assicurarsi il successo dell’inganno.
Infatti, per aggirare le soluzioni di rilevamento, i criminali informatici manipolano le righe dell’oggetto e i nomi dei mittenti. In particolare, i criminali hanno falsificato l’indirizzo del mittente (quickbooks@xxxx.intuit.com), facendo sembrare i messaggi autentici (tecnica di spoofing).
Come esempi di oggetto che dovrebbero allertare chi lo riceve vi sono: “Fattura 349281”, “Notifica di pagamento – Fattura 001779” e “Reminder: Fattura 017854” o similari varianti.
Ma in generale, i criminali hanno alterato il messaggio delle e-mail tentando di invalidare i meccanismi anti-phishing e antispam. Come sempre in questi casi, il testo induce all’azione immediata, cercando di ingannare chi la riceve.
Esempi del corpo del messaggio sono stati divulgati dai ricercatori:
- In allegato una copia della tua fattura! Ti preghiamo di effettuare il pagamento in tempi rapidi.
- L’ordine sarà consegnato al ricevimento del pagamento.
- In allegato la fattura per la tua revisione e per procedere al pagamento.
- Trovi in allegato la tua fattura. Si prega di effettuare il pagamento il più presto possibile.
La diffusione della campagna di phishing è a carattere mondiale, con il 14% delle e-mail dannose negli Stati Uniti, l’11% in Corea del Sud, Germania e India, il 7% nel Regno Unito e Francia, il 4% l’Italia, il 3% la Svezia, e il 2% Canada, Belgio, Austria, Svizzera e Paesi Bassi. Una informazione poco meritevole è che più della metà delle e-mail contraffatte provengono da indirizzi IP in Italia.
Dridex: cos’è e cosa sono i trojan bancari
Con il termine banking trojan si indica un categoria di malware che mira a rubare le credenziali bancarie delle vittime ed effettuare frodi online provocando solitamente ingenti danni economici.
Dridex è un malware di questa famiglia e, come trojan bancario, è tipicamente utilizzato per assicurare cospicui guadagni finanziari ai criminali digitali.
Dridex è stato creato nel 2015 dal codice sorgente del trojan bancario Bugat, noto anche come Cridex, ma da allora sono state diffuse diverse varianti. (fonte: MITRE ATT&CK Framework).
Gli autori di Dridex, “Evil Corp”, fanno parte di una cyber gang russa che sembra conduca uno stile di vita piuttosto sontuoso, eludendo anche i controlli delle forze dell’ordine. Anche se su di loro sembra pendere una ricompensa di 5 milioni di dollari per la loro cattura offerto dal Dipartimento di Stato americano (fonte: Enigmasoftware).
Anche se l’obiettivo primario di Dridex è rubare le informazioni bancarie alle vittime, i criminali informatici negli ultimi dieci anni lo hanno continuamente aggiornato tanto che dal 2020 è utilizzato anche per inviare ransomware capaci di massimizzare i guadagni dei suoi utilizzatori.
A causa di Dridex, utenti negligenti o distratti possono trovarsi addebiti illeciti sulle carte di credito, trasferimenti dai conti aziendali e persino violazioni di dati aziendali che possono compromettere l’intera rete e la base di clienti di un’azienda. La compromissione di dati personali potrebbe invece portare gli attaccanti a perpetrare reati di furto di identità e frodi di vario genere.
Difendersi da Dridex: prevenzione e azioni consigliate
Come sempre in questo genere di truffa, il consiglio principale è quello di non fidarsi delle e-mail sospette e non aprirne il contenuto.
Il CSIRT Italia, in questi casi, suggerisce di “verificare scrupolosamente le e-mail ricevute e disabilitare le macro o limitarne le connessioni verso internet, diffidare dagli allegati che invitano ad effettuare azioni come l’abilitazione dei contenuti o dotati di password.
È consigliata fortemente anche la periodica organizzazione di sessioni formative per insegnare come riconoscere le e-mail di phishing.
Per chi avesse mail di questo tipo e se ne volesse liberare, sono anche disponibili strumenti per effettuare scansioni del proprio PC e effettuare la rimozione del malware (Removal Guide).
Dridex: la progressiva sofisticazione delle campagne phishing
Aaron Visaggio, Professore associato del Dipartimento di Ingegneria dell’Università degli Studi del Sannio e responsabile dell’ISWAT LAB, fa notare alcuni elementi legati al malware e alle modalità con cui viene utilizzato: “Dridex è un malware non certo nuovissimo. È in giro da almeno cinque anni e il suo livello di sofisticazione aumenta molto rapidamente. Nonostante sia un malware noto, nel giro di pochi mesi vengono liberate varianti molto diverse dalle versioni precedenti e questo non consente ai sistemi di antimalware di rilevarlo”
Secondo l’analista, “Dridex innesca un processo molto articolato ed è un malware estremamente insidioso che sta ampliando il suo parco di funzionalità: viene utilizzato anche per installare ransomware, per esempio. Certo, il fatto che venga utilizzata una falsa mail”.
Infine, sottolinea ancora il Professor Visaggio, “l’utilizzo di QuickBooks come vettore di diffusione di Dridex indica anche che i registi delle campagne malevoli stanno diventando molto più raffinati nella progettazione delle loro azioni criminali. I livelli di offuscamento e le continue mutazioni dei malware rendono inutili le protezioni, il che ci porta ancora una volta sull’esigenza di avere “firewall umani” efficaci: anche Dridex viene attivato da una macro, quindi la vittima non solo apre l’allegato (cosa che potrebbe succedere anche inavvertitamente) ma volontariamente segue le operazioni per attivare la macro, ovvero il processo di attivazione del payload. Dobbiamo aumentare l’alfabetizzazione della sicurezza informatica, ma anche le imprese devono avere strumenti di controllo più solidi”.
