COME FUNZIONA?
Il malware Dridex può essere distribuito in vari modi. Alcuni esempi comuni sono phishing emails, kit di exploit e consegna come infezione di secondo livello da parte di malware di altre famiglie di malware, come Emotet.
Una volta eseguito su una macchina infetta, Dridex utilizza l'iniezione di processi e l'aggancio per ottenere l'accesso a screenshot e informazioni sui tasti. Può anche raccogliere informazioni dai browser web, essere controllato in remoto dall'aggressore e scaricare ed eseguire altri malware. Spesso, Dridex utilizza moduli di iniezione web che conducono attacchi man-in-the-browser e consentono ai criminali informatici di rubare le credenziali di conti bancari, e-mail e social media.
Evoluzione del malware Dridex
Il malware Dridex è nato come un sistema bancario troianoRaccogliendo le credenziali di accesso alle piattaforme bancarie online dalle macchine infette. Anche se questa continua ad essere una parte fondamentale della sua funzionalità, e la maggior parte degli attacchi di Dridex sono mirato all'industria dei servizi finanziariNegli ultimi anni ha ampliato le sue capacità.
Ora, Dridex incorpora anche funzionalità di infostealing e botnet, simili a TrickBot e Qbot. Anche se il malware sembra essere in declino rispetto a questi concorrenti, è ancora in fase di sviluppo attivo. Nel settembre del 2021, una nuova variante del malware è stato scoperto che ha ampliato le capacità di furto di informazioni del malware ed è stato utilizzato in una nuova campagna di phishing che ha consegnato documenti Excel dannosi. Dridex è stato anche leader tra i malware che hanno sfruttato la vulnerabilità Log4J nel dicembre 2021.
Come proteggersi dal malware Dridex
Dridex combina le funzionalità di un trojan bancario, di un malware botnet e di un infostealer e viene distribuito in vari modi. Alcuni metodi con cui un'organizzazione può proteggersi da un'infezione da Dridex e gestirne l'impatto includono:
- Anti-Phishing Protection: Dridex viene distribuito principalmente tramite campagne di phishing all'interno di un allegato dannoso. Per evitare che il malware raggiunga i sistemi aziendali, sono necessarie soluzioni Anti-Phishing in grado di analizzare e identificare il malware in un ambiente sandboxed prima che raggiunga le caselle di posta dei dipendenti.
- Content Disarm and Reconstruction (CDR): Spesso, Dridex viene incorporato all'interno di documenti dannosi utilizzando le macro di Microsoft Office. Il CDR consente di eliminare le funzionalità dannose da un documento prima che la versione sanificata venga inviata al destinatario.
- Gestione degli aggiornamenti e delle patch: Oltre agli attacchi di phishing, Dridex si diffonde anche sfruttando vulnerabilità non patchate come Log4J. L'installazione tempestiva di aggiornamenti e patch può aiutare a proteggere i sistemi vulnerabili dallo sfruttamento e dall'infezione da parte di Dridex.
- Soluzioni di rilevamento e risposta per gli endpoint (EDR, Endpoint Detection and Response) : Una volta presente su un sistema, il malware Dridex utilizza varie tecniche per rubare informazioni sensibili ed eseguire altre funzioni dannose. Una soluzione EDR può identificare queste azioni e avviare il processo di riparazione dell'infezione.
- autenticazione a più fattori (MFA): Il malware Dridex è progettato per assumere il controllo degli account dei dipendenti rubando le loro credenziali di accesso da un computer compromesso. Imporre l'uso dell'MFA in tutta l'azienda rende più difficile per un aggressore utilizzare le credenziali rubate dal malware.
- Accesso con Privilegi Minimi: Un attacco Dridex riuscito porta l'aggressore a controllare uno o più account aziendali. Se un'organizzazione ha seguito i principi di fiducia zero e ha implementato il privilegio minimo, l'impatto di questi account compromessi è ridotto al minimo.
- Monitoraggio del comportamento dell'account: Se un aggressore ottiene l'accesso agli account aziendali, ne abuserà per raggiungere i propri obiettivi. Il monitoraggio del comportamento degli account aziendali può consentire all'organizzazione di rilevare le anomalie che potrebbero indicare un account compromesso.
- Employee Security Training: Le campagne di phishing, come quelle utilizzate per diffondere Dridex, si basano sull'inganno del destinatario che esegue il malware. Formare i dipendenti a riconoscere e a rispondere correttamente agli attacchi di phishing riduce il rischio che questi rappresentano per la cybersecurity aziendale.
Come si può rimuovere il malware Dridex?
Dridex è un malware sofisticato progettato per eludere il rilevamento ed essere difficile da rimuovere. Non riuscire a sradicare completamente il malware da un sistema infetto potrebbe causare una reinfezione. Per questo motivo, il modo migliore per rimuovere il malware Dridex è utilizzare una soluzione Endpoint Security. Questi strumenti possono garantire la completa eliminazione del malware da un computer infetto.
Rilevamento e protezione Dridex con Check Point
Dridex rappresenta una minaccia significativa per i dati aziendali e la sicurezza informatica con le sue funzionalità di infostealer, trojan bancario e botnet. Per saperne di più su Dridex e sulle altre principali minacce malware che le organizzazioni si trovano ad affrontare, consulti il sito web 2022 Cybersecurity Report da Check Point Research.
La protezione contro Dridex e altri malware richiede un sito Endpoint Security forte, in grado di identificare le minacce nuove ed emergenti. Per saperne di più su come Harmony Endpoint può aiutare a proteggere il dispositivo della sua organizzazione richiedere una demo gratuita.
Feedback