Il famigerato Trojan bancario Dridex è tornato: attacchi di phishing mascherati da fatture QuickBooks stanno prendendo di mira gli utenti del popolare software di contabilità nel tentativo di infettare i dispositivi delle vittime. Questa recente campagna di malspam, sfruttando la società Intuit, attira gli utenti di QuickBooks con false notifiche di pagamento e fatture.
La campagna di phishing attualmente ancora in corso è iniziata il 19 aprile, prendendo di mira gli utenti QuickBooks di tutto il mondo. Nel complesso, il 14% delle email dannose ha raggiunto gli Stati Uniti, l’11% Corea del Sud, Germania e India, il 7% Regno Unito e Francia, il 4% l’Italia, il 3% la Svezia, e il 2% Canada, Belgio, Austria, Svizzera e Paesi Bassi.
Più della metà delle e-mail contraffate provengono da indirizzi IP in Italia. I criminali hanno falsificato l’indirizzo del mittente (‘quickbooks@xxxx.intuit.com’), facendo sembrare autentici i messaggi. Per aggirare le soluzioni di rilevamento, i criminali informatici ‘giocano’ con le righe dell’oggetto e i nomi dei mittenti.
Per esempio, email che hanno come oggetto “Fattura 349281”, “Notifica di pagamento – Fattura 001779” e “Reminder: Fattura 017854” o similari sono solo alcune delle varianti utilizzate dai criminali informatici.
Gli hacker hanno anche adattato il contenuto delle email nel tentativo di superare i meccanismi anti-phishing e anti-spam. Ecco alcuni esempi:
- In allegato una copia della tua fattura! Ti preghiamo di effettuare il pagamento in tempi rapidi
- L’ordine sarà consegnato al ricevimento del pagamento
- In allegato la fattura per la tua revisione e per procedere al pagamento
- Trovi in allegato la tua fattura. Si prega di effettuare il pagamento il più presto possible
Le email contengono un allegato in formato Microsoft Excel apparentemente innocuo che in realtà contiene una minaccia nascosta. Una macro dannosa all’interno del file .xls lancia un dropper Trojan che infetta il dispositivo della vittima con Dridex.
Dridex è un Trojan bancario, comunemente inviato tramite email di phishing contenenti documenti Microsoft Word ed Excel dannosi.
Questo pericoloso software ruba informazioni riservate alle vittime, comprese le credenziali bancarie che i criminali informatici possono utilizzare per accedere ai conti bancari ed effettuare transazioni fraudolente.
Anche se l’obiettivo primario di questo Trojan bancario è quello di rubare le informazioni bancarie alle vittime, i criminali informatici hanno continuato ad aggiornare meticolosamente il software negli ultimi dieci anni. Dal 2020, Dridex è stato infatti utilizzato anche per inviare ransomware al fine di massimizzare i guadagni.
I criminali informatici hanno spesso mascherato le loro campagne di phishing utilizzando i nomi di aziende legittime e ben note per assicurarsi il successo della campagna. Le email che imitano una regolare fattura QuickBooks che piccole e medie aziende sono abituate a ricevere, possono avere gravi conseguenze.
Utenti negligenti o distratti possono trovarsi addebiti illeciti sulle carte di credito, trasferimenti dai conti aziendali e persino violazioni di dati che possono compromettere l’intera rete e la base di clienti di un’azienda.
Questa campagna di malware ancora attiva, che sfrutta la popolarità dello strumento di contabilità statunitense utilizzato da oltre 2 milioni di piccole imprese in tutto il mondo, non è nuova. Le campagne di malware a tema QuickBooks di solito hanno un picco durante la stagione della dichiarazione delle tasse, nella speranza di cogliere gli utenti alla sprovvista.
L’articolo completo è sul blog di Bitdefender.
