di Pierguido Iezzi

Gift Card Amazon come esca per Dridex

Il periodo delle festività natalizie è sempre – ahimè – tempo non solo di regali, ma anche di massicce campagne di cybercrime e quest’anno non è stato diverso. Nel corso del mese di dicembre, per esempio, gli e-commerce ed e-shop sono stati oggetto di massicce campagne targettizzate. Questo non dovrebbe sorprendere, il 2020, per ovvie ragioni, è stato l’anno in cui i consumatori hanno cambiato le loro abitudini di acquisto, orientandosi sempre più verso lo shopping acquisti online. Il forte aumento del volume degli acquisti online, stimolato dall’emergenza COVID-19, ha reso gli attacchi mirati ai consumatori ancora più attraenti. Secondo i dati dell’IBM U.S. Retail Index pubblicato lo scorso agosto, “la pandemia ha accelerato di circa cinque anni il passaggio dai negozi fisici allo shopping digitale” e “l’e-commerce dovrebbe crescere di quasi il 20% nel 2020”.  Sulla scia di queste previsioni, si sono mossi anche i Criminal Hacker. Testimonianza: la campagna basata sull’utilizzo di gift card Amazon per propagare il trojan bancario Dridex.

Le caratteristiche di questo malware

Gli aggressori del cybercrime sfruttano il periodo vacanziero per mettere nel mirino gli utenti di una delle piattaforme di shopping più popolari, Amazon, mentre il volume degli acquisti online continua a crescere.

Qui di seguito gli aspetti chiave della campagna Dridex:

• La stragrande maggioranza delle vittime sembra essere localizzata negli Stati Uniti e nell’Europa occidentale, in cui Amazon (ovviamente) è molto popolare.
• Social Engineering: la campagna utilizza e-mail dall’aspetto legittimo per convincere le vittime a scaricare gli allegati dannosi.
• Diversi metodi di infezione: ci sono tre diversi metodi con cui si può essere infettati: File SCR, un documento con macro dannose e un VBScript.
• Multi-fase: ognuno dei meccanismi di infezione prevede più di una fase, sia che si tratti di “spacchettare” un archivio protetto da password contenente diversi tipi di file o di eseguire i comandi PowerShell per connettersi al C2.
• Payload con gravi conseguenze: il carico utile finale è il famigerato trojan bancario Dridex, che rende vulnerabile la vittima alla sottrazione di dati bancari.

Cos’è Dridex

Dridex è uno dei più noti trojan bancari, attivo in diverse varianti almeno dal 2012, la sua precedente “reincarnazione” è stata Feodo (AKA Cridex, Bugat). È considerato un malware altamente evasivo che ruba le credenziali online-banking e altre informazioni sensibili, con un’infrastruttura resiliente, composta anche da server C2 che operano come backup l’uno per l’altro. Dridex viene rilasciato più comunemente tramite e-mail di phishing contenenti documenti Microsoft Office che celano macro dannose. Dridex viene inoltre costantemente aggiornato con nuove funzionalità di offuscamento come l’anti-analisi. Il malware bancario è gestito in gran parte dalla Evil Corp, uno dei più prosperi gruppi di criminalità informatica, attivo da oltre un decennio.

Come funziona la campagna sulle gift card

L’attuale campagna Dridex si basa sull’invio di una gift card Amazon fasulla che infetta il target con tre tecniche simili ma uniche nel loro genere; simili per il modo in cui spingono la vittima a cliccare sul file e diverse in termini di flusso di esecuzione:

• – Documento Word che contiene una macro dannosa.
• – File SCR autoestraente, tecnica nota per il deploy di Dridex.
• – File VBScript allegato all’e-mail, un’altra tecnica nota.
• Dopo che l’utente ha scaricato il file, viene reindirizzato alla vera pagina web di Amazon, al fine di far sentire a proprio agio la vittima.

Amazon era stata già sfruttata come esca per le campagne malware del cybercrime

SI gruppi del cybercrime tradizionale e quelli sponsorizzati dagli Stati sanno come monitorare e sfruttare le ultime tendenze per colpire vittime ignare, anche durante le festività natalizie, persino nel pieno del COVID-19. Non è la prima volta che una campagna legata ad Amazon viene utilizzata per ingannare le vittime e convincerle a scaricare malware. Infatti, gli attacchi che utilizzano importanti player del mondo e-commerce per dare legittimità al vettore rappresenta una tendenza in crescita fra gli Criminal Hacker, sia su mobile che su desktop. Il fatto che Dridex sia noto per la sua resistenza ai takedown, e il fatto che ci siano molte altre varianti di malware distruttivo su piazza, ci fa capire quanto sia concreto il rischio di cadere in trappole di questo tipo. Quando sferrano tali attacchi, gli aggressori passano molto tempo a personalizzare le strategie per attirare l’attenzione di una vittima ignara. A infezione avvenuta, il rilascio del payload nella macchina “target” è spesso multi-fase e presenta spiccati caratteri di evasività.

Questa tipologia di attacchi è ormai diventata un trend, attenzione!

La campagna Dridex oggetto di questo articolo presentava tre diversi vettori di attacco; nel caso in cui uno non dovesse funzionare, forse il secondo andrà a segno, creando così un meccanismo di backup non solo per i server C2, ma anche ai fini della buona riuscita dell’infezione stessa. Attacchi Criminal Hacker simili, che sfruttano l’attrattività delle gift card e di altre offerte, non sono una novità nel panorama della criminalità informatica, e molto probabilmente continueranno a essere applicati anche in futuro. Spetta all’utente rimanere aggiornato su tali campagne e applicare le relative contromisure. Ma è anche compito dei principali operatori di eCommerce, Amazon in primis, fare un’informazione corretta, in modo da proteggere gli acquirenti e il valore del marchio stesso.

Non abbassiamo la guardia!