Dridex, il trojan bancario nascosto dietro la “nuova” stagione di Squid Game: tutti i dettagli - Cyber Security 360

L'ANALISI TECNICA

Dridex, il trojan bancario nascosto dietro la “nuova” stagione di Squid Game: tutti i dettagli

Una nuova campagna malspam sfrutta la famosa serie TV Squid Game per diffondere il malware Dridex. Le e-mail propongono l’accesso anticipato alla nuova stagione o l’ingresso nel cast, ma cliccando sui link indicati esponiamo le nostre credenziali e i dati bancari. Ecco come difendersi

29 Ott 2021
L
Salvatore Lombardo

Funzionario informatico, Esperto ICT, Socio Clusit e autore

È stata identificata una nuova campagna malspam che, a partire dallo scorso 27 ottobre 2021, sta distribuendo il malware Dridex utilizzando come esca la nuova stagione della nota serie televisiva Squid Game.

I criminali informatici, fingendosi figure associate a questa serie di Netflix grazie all’utilizzo di e-mail appositamente allestite, propongono ai destinatari di ottenere un voucher per l’accesso anticipato alla nuova stagione di Squid Game o addirittura di diventare parte del cast dello show televisivo o partecipare a degli spot pubblicitari collegati.

Graphical user interface, text, applicationDescription automatically generated

Dridex: i messaggi di posta elettronica ingannevoli

Nella fattispecie, i ricercatori Proofpoint avrebbero osservato, durante la loro analisi, migliaia di messaggi di posta elettronica indirizzati principalmente a diversi settori negli Stati Uniti, con oggetti del tipo seguente:

WHITEPAPER
Perché impostare una strategia di manutenzione dei server?
Datacenter
Sicurezza
  • Squid Game is back, watch new season before anyone else
  • Invite for Customer to access the new sesason. [sic]
  • Squid game new season commercials casting preview
  • Squid game scheduled season commercials talent cast schedule

Graphical user interface, text, application, emailDescription automatically generated

Tutti i messaggi e-mail chiedono alla potenziale vittima, per ottenere un accesso anticipato o per proporsi come comparsa, di compilare un modulo allegato.

In realtà, tali documenti non sono altro che file Excel con macro che, se abilitate, scaricheranno da determinate URL (hxxps[:]//cdn[.]discordapp[.]com/attachments/…) il payload .dll afferente al trojan bancario Dridex che può portare non solo al furto di dati ma anche all’installazione di malware di secondo livello come i temutissimi ransomware.

Graphical user interface, application, tableDescription automatically generated

Il gruppo criminale responsabile della campagna in atto

Secondo Proofpoint sarebbe TA575 (con identificativo di affiliazione “22203”) il gruppo criminale responsabile di questa campagna Dridex a tema Squid Game.

Tale gruppo specializzatosi nella distribuisce massiva di malspam, propinando a vario titolo link e documenti Microsoft Office artefatti, è sempre riuscito con la propria strategia ad avere un impatto considerevole riuscendo a colpire centinaia di organizzazioni generalmente con tematiche relative a fatturazione, pagamenti ma anche eventi e riferimenti contemporanei.

Un’altra caratteristica tipica del gruppo, come per questa campagna, è quella di impiegare come piattaforma di comunicazione e distribuzione di Dridex il servizio di hosting legittimo Discord.

Come proteggersi da Dridex

In questo caso in esame, poiché l’invito a far parte della prossima stagione della serie di Netflix potrebbe invogliare molti utenti a interagire con il file Microsoft Excel malevolo, il bacino di potenziali vittime risulta molto ampio.

Non a caso, la sfida più grande nella prevenzione delle infezioni da macro malware consiste proprio nell’identificare in modo corretto i vettori di propagazione principali ovvero le e-mail di phishing e di malspam anche dal punto di vista del fattore umano.

Risultano pertanto utili allo scopo una serie di accorgimenti pratici, da combinare con gli strumenti antispam e antivirus consigliati come misure di difesa convenzionali.

Per minimizzare ulteriormente tali e potenziali minacce risulta molto utile anche e soprattutto il buon senso:

  • diffidare di e-mail da mittenti anche noti, contenenti fatture o richieste di informazioni riservate;
  • prestare attenzione ai documenti allegati che offrono anteprime con testi e immagini che accrescono la curiosità nel voler conoscere il contenuto del documento stesso;
  • controllare in generale che per impostazione predefinita sia disabilitata l’esecuzione delle macro e non confermare mai le richieste di disattivazione delle protezioni, indipendentemente dal fatto che si conosca o meno la fonte.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5