spyware

Il distributore della botnet Dridex è ora al servizio di Avira

Parte del canale di distribuzione della botnet Dridex sembra sia stato violato o compromesso e i link dannosi sostituiti dal software di installazione dell’antivirus Avira. Dal momento che è improbabile che gli operatori Dridex stiano distribuendo una soluzione antivirus, la persona che ha apportato tali modifiche potrebbe essere un hacker “white hat” che copre le sue tracce, hanno dichiarato i ricercatori Avira.

La botnet Dridex è tornata in vita dopo la tanto discussa chiusura da parte delle autorità statunitensi alla fine del 2015. Dridex sottrae le credenziali di accesso da computer infetti e manipola siti web bancari con l’aiuto di reindirizzamenti trasparenti e webinject. La diffusione avviene attraverso spam caricati con malware e i danni stimati che ha causato in Europa e negli Stati Uniti ammontano a decine di milioni di euro.

Dridex si diffonde attraverso spam, che contengono generalmente un documento Word con macro dannose. Una volta che il file viene aperto le macro scaricano e installano il payload principale da un server dirottato infettando il computer.

Tuttavia, in questo caso, i file del server sono stati modificati. “Il contenuto dell’URL di download del malware è stato sostituito e ora fornisce un software di installazione web Avira aggiornato e originale al posto del solito caricatore Dridex”, ha dichiarato Moritz Kroll, esperto di malware presso Avira.

Per l’utente finale ciò vuol dire ricevere una copia valida e firmata di Avira invece del malware Dridex.

La questione sembra rimandare alle pagine dell’Arte della Guerra in cui Sun Tzu scriveva: “Il segreto sta nel confondere il nemico in modo che non possa comprendere le nostre reali intenzioni”.

“Ancora non sappiamo chi stia facendo questo con il nostro software di installazione e nemmeno il perché, ma abbiamo alcune teorie”, ha aggiunto Kroll. “Di sicuro nessuno di noi è il responsabile”.

Due sono le teorie di base che possono spiegare quello che sta succedendo:

Teoria 1: i criminali informatici stanno cercando di scombussolare il processo di rilevamento di Avira e di altri produttori di antivirus. Secondo Kroll questo non è possibile: “Non riteniamo che i distributori di malware forniscano di proposito il software di installazione Avira; certamente non intendono migliorare il livello di protezione sulle macchine delle loro vittime”.
Teoria 2: un hacker “white hat” è all’opera e desidera rimanere nel completo anonimato. “È possibile che un hacker white hat abbia violato i web server infetti sfruttando le stesse vulnerabilità utilizzate originariamente dai creatori del malware e abbia sostituito i codici maligni con il software di installazione Avira”, così ha spiegato Kroll. Gli hacker, se sono loro ad aver apportato la modifica, hanno tutti gli interessi a rimanere anonimi. “Pur facendo qualcosa di fondamentalmente utile, questo è tecnicamente illegale nella maggior parte dei paesi, quindi probabilmente non vogliono essere scoperti o identificati”.

In passato il software di installazione Avira è stato aggiunto al ransomware CryptoLocker e Tesla. “Con CryptoLocker, il malware era presente in molti casi, ma non in tutti, in attesa della trasmissione dati CnC, così l’eseguibile non veniva accettato e Avira non poteva essere eseguito. E a quel tempo, avevamo visto che molte delle modifiche venivano apportate a un unico provider specifico”, ha affermato Kroll. Con Tesla, il motivo per cui il software di installazione Avira è stato incluso non è ancora chiaro.

Secondo la ricerca Avira, un elenco parziale degli istituti finanziari presi di mira da Dridex include Barclays, Berliner Bank, BNP Paribas, Commerzbank, Credit Agricole, Deutsche Bank, HSBC, La Banque Postale, Natwest, Raiffeisen, RBS, Santander, Societegenerale, Sparda, Sparkasse, Ulsterbank e Wells Fargo.

Questo articolo è disponibile anche in: IngleseFrancese