L'ANALISI TECNICA

Dridex, il malware si nasconde in una finta fattura e ruba credenziali e dati bancari

Il trojan bancario Dridex torna a colpire in tutto il mondo, Italia compresa, diffondendosi attraverso finte fatture generate con il noto tool QuickBooks. Ecco tutti i dettagli per riconoscere la minaccia e i consigli per bloccarla e prevenirla

28 Apr 2021
V
Alessia Valentini

Giornalista, Cybersecurity Consultant e Advisor

È stata isolata una nuova variante del trojan bancario Dridex che si sta diffondendo attraverso una campagna malspam a livello mondiale: gli attacchi di phishing mascherati da fatture QuickBooks (software di contabilità legittimo sviluppato da Intuit, che nulla a che fare con il malware) stanno prendendo di mira gli utenti dell’applicazione di contabilità utilizzata da diverse piccole e medie imprese.

Sebbene il software delle fatture sia legittimo, gli utenti sono tratti in inganno dalla tecnica di spoofing del mittente, dal falso oggetto dell’e-mail e dal testo che invita alla fretta e induce all’errore.

L’obiettivo è indurre le vittime ad aprire l’allegato che avvia una pericolosa serie di “azioni infettive”, tali da consentire la diffusione di Dridex che abilita gli attaccanti al furto di dati e informazioni riservate per effettuare frodi e furti.

La campagna di phishing mascherata da fattura lecita

I primi campioni del trojan bancario Dridex sono stati identificati lo scorso 19 aprile e la campagna malspam usata per attirare gli utenti di QuickBooks con false notifiche di pagamento e fatture è ancora attiva.

WHITEPAPER
CYBERSECURITY: le migliori strategie per la tutela e la continuità dei servizi IT
Sicurezza
Cybersecurity

Individuata da Bitdefender Antispam Lab, questa recente campagna penalizza gli utenti del software di contabilità nel tentativo di infettare i dispositivi delle vittime con il malware.

Le e-mail di spam contengono un allegato in formato Microsoft Excel apparentemente innocuo, che in realtà contiene una macro dannosa capace di lanciare un dropper trojan che, a sua volta, infetta il dispositivo della vittima con Dridex.

Campagne malevole basate su QuickBooks non rappresentano in sé una novità: infatti sono utilizzate in modo massivo dagli scammer tentando di sorprendere gli utenti nel momento di maggiore urgenza: durante la stagione della dichiarazione delle tasse.

A tal proposito, il CSIRT italiano si era occupato di notificare questo tipo di campagne in occasioni precedenti, l’ultima delle quali nel novembre 2020. Anche in quella occasione, Dridex era mascherato da e-mail con fatture QuickBooks.

Le e-mail che imitano una regolare fattura QuickBooks sono ricevute regolarmente da piccole e medie aziende e normalmente non si sospetta che possano avere gravi conseguenze. In questo caso, la mistificazione risiede nel mascheramento della campagna malevola con il nome di una azienda legittima e ben nota per assicurarsi il successo dell’inganno.

Infatti, per aggirare le soluzioni di rilevamento, i criminali informatici manipolano le righe dell’oggetto e i nomi dei mittenti. In particolare, i criminali hanno falsificato l’indirizzo del mittente (quickbooks@xxxx.intuit.com), facendo sembrare i messaggi autentici (tecnica di spoofing).

Come esempi di oggetto che dovrebbero allertare chi lo riceve vi sono: “Fattura 349281”, “Notifica di pagamento – Fattura 001779” e “Reminder: Fattura 017854” o similari varianti.

Ma in generale, i criminali hanno alterato il messaggio delle e-mail tentando di invalidare i meccanismi anti-phishing e antispam. Come sempre in questi casi, il testo induce all’azione immediata, cercando di ingannare chi la riceve.

Esempi del corpo del messaggio sono stati divulgati dai ricercatori:

  • In allegato una copia della tua fattura! Ti preghiamo di effettuare il pagamento in tempi rapidi.
  • L’ordine sarà consegnato al ricevimento del pagamento.
  • In allegato la fattura per la tua revisione e per procedere al pagamento.
  • Trovi in allegato la tua fattura. Si prega di effettuare il pagamento il più presto possibile.

La diffusione della campagna di phishing è a carattere mondiale, con il 14% delle e-mail dannose negli Stati Uniti, l’11% in Corea del Sud, Germania e India, il 7% nel Regno Unito e Francia, il 4% l’Italia, il 3% la Svezia, e il 2% Canada, Belgio, Austria, Svizzera e Paesi Bassi. Una informazione poco meritevole è che più della metà delle e-mail contraffatte provengono da indirizzi IP in Italia.

Dridex: cos’è e cosa sono i trojan bancari

Con il termine banking trojan si indica un categoria di malware che mira a rubare le credenziali bancarie delle vittime ed effettuare frodi online provocando solitamente ingenti danni economici.

Dridex è un malware di questa famiglia e, come trojan bancario, è tipicamente utilizzato per assicurare cospicui guadagni finanziari ai criminali digitali.

Dridex è stato creato nel 2015 dal codice sorgente del trojan bancario Bugat, noto anche come Cridex, ma da allora sono state diffuse diverse varianti. (fonte: MITRE ATT&CK Framework).

Gli autori di Dridex, “Evil Corp”, fanno parte di una cyber gang russa che sembra conduca uno stile di vita piuttosto sontuoso, eludendo anche i controlli delle forze dell’ordine. Anche se su di loro sembra pendere una ricompensa di 5 milioni di dollari per la loro cattura offerto dal Dipartimento di Stato americano (fonte: Enigmasoftware).

Anche se l’obiettivo primario di Dridex è rubare le informazioni bancarie alle vittime, i criminali informatici negli ultimi dieci anni lo hanno continuamente aggiornato tanto che dal 2020 è utilizzato anche per inviare ransomware capaci di massimizzare i guadagni dei suoi utilizzatori.

A causa di Dridex, utenti negligenti o distratti possono trovarsi addebiti illeciti sulle carte di credito, trasferimenti dai conti aziendali e persino violazioni di dati aziendali che possono compromettere l’intera rete e la base di clienti di un’azienda. La compromissione di dati personali potrebbe invece portare gli attaccanti a perpetrare reati di furto di identità e frodi di vario genere.

Difendersi da Dridex: prevenzione e azioni consigliate

Come sempre in questo genere di truffa, il consiglio principale è quello di non fidarsi delle e-mail sospette e non aprirne il contenuto.

Il CSIRT Italia, in questi casi, suggerisce di “verificare scrupolosamente le e-mail ricevute e disabilitare le macro o limitarne le connessioni verso internet, diffidare dagli allegati che invitano ad effettuare azioni come l’abilitazione dei contenuti o dotati di password.

È consigliata fortemente anche la periodica organizzazione di sessioni formative per insegnare come riconoscere le e-mail di phishing.

Per chi avesse mail di questo tipo e se ne volesse liberare, sono anche disponibili strumenti per effettuare scansioni del proprio PC e effettuare la rimozione del malware (Removal Guide).

Dridex: la progressiva sofisticazione delle campagne phishing

Aaron Visaggio, Professore associato del Dipartimento di Ingegneria dell’Università degli Studi del Sannio e responsabile dell’ISWAT LAB, fa notare alcuni elementi legati al malware e alle modalità con cui viene utilizzato: “Dridex è un malware non certo nuovissimo. È in giro da almeno cinque anni e il suo livello di sofisticazione aumenta molto rapidamente. Nonostante sia un malware noto, nel giro di pochi mesi vengono liberate varianti molto diverse dalle versioni precedenti e questo non consente ai sistemi di antimalware di rilevarlo”

Secondo l’analista, “Dridex innesca un processo molto articolato ed è un malware estremamente insidioso che sta ampliando il suo parco di funzionalità: viene utilizzato anche per installare ransomware, per esempio. Certo, il fatto che venga utilizzata una falsa mail”.

Infine, sottolinea ancora il Professor Visaggio, “l’utilizzo di QuickBooks come vettore di diffusione di Dridex indica anche che i registi delle campagne malevoli stanno diventando molto più raffinati nella progettazione delle loro azioni criminali. I livelli di offuscamento e le continue mutazioni dei malware rendono inutili le protezioni, il che ci porta ancora una volta sull’esigenza di avere “firewall umani” efficaci: anche Dridex viene attivato da una macro, quindi la vittima non solo apre l’allegato (cosa che potrebbe succedere anche inavvertitamente) ma volontariamente segue le operazioni per attivare la macro, ovvero il processo di attivazione del payload. Dobbiamo aumentare l’alfabetizzazione della sicurezza informatica, ma anche le imprese devono avere strumenti di controllo più solidi”.

WHITEPAPER
ZERO emissioni, traffico e incidenti: ecco i vantaggi della smart-mobility
Automotive
Sicurezza
@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
Salute digitale
Formazione
Analisi
Sostenibilità
PA
Sostemibilità
Sicurezza
Digital Economy
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr