Utenti Home       Utenti Aziendali       Chi Siamo       Contratto EULA.

Dettaglio news

Dridex Alert! Il Trojan è tornato e vuole i tuoi dati bancari!
- VENERDÌ 1 APRILE 2016

Dridex”, anche conosciuto come “ Buget”, è il successore di “Cirdex”, un Trojan creato per rubare le credenziali d’accesso delle vittime, solitamente bancarie. Dopo essere stato debellato a fine 2015 dal governo degli Stati Uniti, il malware è tornato in una nuova versione.

Il vettore d’infezione 
Dridex si infiltra nella macchina della vittima attraverso alcune e-mail di spam che contengono allegati dannosi. Gli allegati sono solitamente file .doc o .xls. Una volta che viene aperto l’allegato, la macro incorporata scarica un payload (programma indesiderato, che viene eseguito senza il consenso dell’utente). Anche se Microsoft ha disabilitato le macro a partire da Office 2007, il malware provvede a fornire le linee guida per abilitarle. Inoltre, la stessa tipologia di virus sfrutta le vulnerabilità presenti in Microsoft Office per diffondere l’infezione.

La struttura della Macro
Gli autori del malware hanno incrementato l’utilizzo della macro per propagare il virus; questo perché l’infezione tramite macro riesce ad infettare un gran numero di utenti. Le macro utilizzate per questo scopo solitamente lavorano in modalità anonima, per illudere i rilevamenti degli antivirus e per rendere più difficile la loro analisi. Una volta che è stata stabilita la connessione, il file corrotto viene scaricato nella cartella %temp%/ . Il file scaricato è il dropper (programma che consente il download senza autorizzazione dei malware) di Dridex.

Diffusione di Dridex
La figura seguente mostra la diffusione di Dridex nei vari paesi















Meccanismo di furto
  • Le prime versioni Dridex usavano una tecnica di agganciamento del browser mentre la versione corrente usa uno schema di reindirizzamento, usato in precedenza anche da un altro Trojan bancario, il Dyre.
  • Mentre Dyre utilizza la connessione proxy per reindirizzare l’utente su un server corrotto che ospita la pagina fasulla, Dridex modifica e corrompe i DNS (sistema che traduce i nomi dei nodi della rete in indirizzi IP) per raggiungere lo stesso risultato. 
  • Quando la vittima si connette ad un sito di tipo finanziario, il malware, attraverso i DNS corrotti, lo reindirizza su un server dannoso controllato dagli autori del malware.



















Azioni anti automazione
Il malware Dridex può restare inattivo per un certo periodo, per evitare gli strumenti di automazione che controllano il comportamento dei malware in periodi specifici. Dopo ogni reindirizzamento a HttpSendRequestW il malware entra in modalità “dormiente” per un lungo periodo.

Prevenzione contro il Dridex
  • Microsoft ha disattivato l’esecuzione automatica delle macro in file .doc a partire dal 2007; l’utente non deve attivare le macro a meno che non provengano da connessioni affidabili. 
  • Microsoft Office deve essere aggiornato con le ultime patch di sicurezza, per evitare che le vulnerabilità vengano sfruttate.
  • L’antivirus deve essere sempre aggiornato


Leggi tutte le news     |     Leggi tutti gli update
Ultime news

MARTEDÌ 23 LUGLIO 2019
Hacking della Webcam: come impedire la violazione della tua privacy?
Immagina, un giorno, di aprire la posta in arriva e trovare una email che contiene tue immagini private o intime. Sotto le immagini, lampeggia una richiesta di riscatto "...

leggi tutte le news

Premi e Certificazioni

La qualità dei prodotti Quick Heal vanta innumerevoli premi e certificazioni a testimonianza della sempre crescente importanza del marchi a livello mondiale nel settore Antivirus e sicurezza informatica

Continua a leggere »

Chi siamo
Panoramica
La nostra storia
Premi & Certificazioni
Scheda riepilogativa
Clienti
Dicono di noi
Trova un rivenditore
Manuali e schede tecniche
Chiedi aiuto
Contatti
Update
Rivenditori
Diventa rivenditore
Strumenti di supporto
Link rapidi
Rinnova ora
File di installazione
Supporto
Contratto EULA.
Download Upgrade

S-MART è un marchio di proprietà netWork Sas
P.IVA: 05345670482

© 2019 nwk - Privacy Policy - Cookie Policy - Login