DRIDEX: Trojan vecchio fa buon brodo

16 Novembre 2021 Redazione
dridex banking trojan

Dridex, anche chiamato Bugax o Cridex per i nostalgici, è un trojan sviluppato per creare un varco in macchine Windows attraverso l’utilizzo di file Micosoft Word. Rientra nella categoria di “Banking Trojan”, software concepiti esclusivamente per avere una via di accesso al sistema e riuscire estorcere le credenziali bancarie.

Malware e trojan: facciamo chiarezza

Prima di scoprire come funziona il trojan Dridex è utile fare un po’ di chiarezza sui principali termini di cui tratteremo. Un malware è un software malevolo, cioè concepito e sviluppato con il solo intento di disturbare o creare problemi ad un sistema operativo. Ne esistono di diversi tipi, ognuno con una propria logica di attacco. Ad esempio, molti recentemente avranno sentito parlare dell’attacco informatico alla regione Lazio. Il sofware utilizzato non è altro che una tipologia di malware.

Un trojan, o anche “cavallo di troia” è un malware sviluppato per sfruttare delle vulnerabilità all’interno del sistema operativo e riuscire a creare una backdoor, cioè una porta di servizio dove i dati possono transitare senza che il sistema operativo se ne accorga. Come si può capire dalla traduzione in italiano, un trojan usa lo stesso stratagemma ideato da Ulisse per assediare Troia, cioè far credere al nostro obiettivo che quello che gli stiamo proponendo non è uno strumentò di assedio ma un regalo.

DRIDEX: come funziona questo trojan?

Il trojan Dridex si appoggia a delle macro, cioè ad un set di istruzioni, di Microsoft Word. In questo modo, il sistema bersaglio vedrà semplicemente un file word e nel momento in cui lo aprirà, farà partire il set di istruzioni sopra citato per scaricare in background il nostro caro trojan.

Il trojan dridex sfrutta le macro di Microsoft Word.
Il trojan dridex sfrutta le macro di Microsoft Word.

Una volta aperta la backdoor verrà scaricato un keylogger, un malware che salverà ogni tasto premuto sulla tastiera su un file di testo. Ciò permetterà all’attaccante o un sistema di Intelligenza Artificiale di capire quando stiamo inserendo delle credenziali di accesso in determinati siti, come ad esempio le pagine di login di noti istituti di credito. Facile capire come saranno utilizzate una volta ottenute.

È cosi facile essere infettati? Come ci si può proteggere da questi attacchi?

Gli antivirus basati sul Signature-based threat detection non sono in grado di rilevarli, poiché questa minaccia è in continua evoluzione cambiando continuamente firma che non permettono una rapida e veloce rilevazione. Un modo non proprio banale è quello di utilizzare dei tools, software di utilizzo specifico, che implementano algoritmi di machine learning per il controllo del traffico di rete della macchina, individuando velocemente se il traffico dati non è normalizzato all’attività dell’utente.

Come si può vedere, le soluzioni tecniche a questa tipologia di attacco sono blande e richiedono una conoscenza approfondita della tematica. La maggior parte delle contromisure efficaci invece risiedono nel comportamento corretto (le cosiddette best practices) dell’utente stesso. Per capire meglio il concetto, ecco spiegato come funziona un attacco “classico” usando questo genere di malware.

Immaginiamo di essere a casa, seduti sul divano navigando a zonzo nell’immenso mare dell’internet. È novembre, mese del Black Friday, quindi riceviamo tonnellate di email di pubblicità di diverse aziende che garantiscono sconti pazzeschi se ci iscriviamo alla newsletter. Riceviamo un email da parte del nostro negozio di fiducia, in cui è scritto che se compiliamo un file e lo rimandiamo indietro, riceveremo un ulteriore sconto su un prodotto che stiamo da tempo osservando. Accecati da questo specchietto per le allodole scarichiamo il file e siamo fregati. Nel momento stesso in cui apriremo il file, la catena di istruzioni memorizzate nel file partirà.

Il modo migliore per proteggersi da un trojan come Dridex è applicare le best practices della sicurezza informatica.
Il modo migliore per proteggersi da un trojan come Dridex è applicare le best practices della sicurezza informatica.

Quindi da come avrete capito, la miglior difesa che possiamo avere è la conoscenza della tipologia di attacco. Diffidate da email che promettono sconti, riduzioni o qualsiasi tipo di regalo compilando dei moduli o delle form in siti web non sicuri. Affidatevi a domini che vi garantiscono un buon grado di sicurezza delle email, usate antivirus aggiornati che scansionino il vostro indirizzo di posta alla ricerca di minacce affinché siate sicuri che quello che state per aprire non sia infettato. Inoltre configurate e utilizzate la 2FA, o autenticazione a due fattori, che renderà molto difficile e arduo l’attacco.

Concludendo, non bisogna spaventarsi da questi attacchi. Con piccoli accorgimenti riusciremo a navigare in sicurezza nel grande mare di internet, senza incorrere in un attacco pirata, tenendo le nostre finanze al sicuro. Come diceva mia madre da piccolo: non accettate le caramelle dagli sconosciuti!

A cura di Jacopo Iezzi

Tags: , ,