Il malware Dridex si nasconde nelle fatture

Quelle che a prima vista sembrano in tutto e per tutto normali fatture QuickBooks, possono in realtà nascondere al loro interno un’insidia, il trojan bancario Dridex. L’attacco prende di mira gli utenti del popolare software per la contabilità e le aziende in questo periodo alle prese con la stagione delle dichiarazioni fiscali.

Le email contengono un allegato in formato Microsoft Excel apparentemente innocuo, che in realtà contiene una minaccia nascosta. Una macro dannosa all’interno del file .xls lancia un dropper trojan che infetta il dispositivo della vittima con Dridex.

Campagna di phishing: il trojan si nasconde nelle fatture

A scoprire la campagna di phishing sono stati i ricercatori di Bitdefender Antispam Lab, lanciando un allarme che interessa in modo particolare il nostro paese: oltre la metà delle email contraffatte proviene da indirizzi IP localizzati in Italia. Circa il 14% ha raggiunto gli Stati Uniti, l’11% la Corea del Sud, la Germania e l’India, il 7% il Regno Unito e la Francia, il 4% il nostro territorio, il 3% la Svezia, il 2% il Canada, il Belgio, l’Austria, la Svizzera e i Paesi Bassi.

Stando alle informazioni raccolte, l’operazione sembra aver preso il via nella giornata del 19 aprile ed essere ancora in corso. I messaggi arrivano da un indirizzo che richiama la software house Intuit che commercializza il software (“quickbooks@xxxx.intuit.com”), facendoli sembrare autentici.

Per aggirare le soluzioni di rilevamento, i criminali informatici giocano con le righe dell’oggetto e i nomi dei mittenti. Per esempio, email che hanno come oggetto “Fattura 349281”, “Notifica di pagamento – Fattura 001779” e “Reminder: Fattura 017854” o similari sono solo alcune delle varianti utilizzate dai criminali informatici.

Secondo Bitdefender, i responsabili della campagna hanno adattato il contenuto delle email per aggirare i sistemi di protezione. Porre particolare attenzione ai messaggi con testi di questo tipo.

• In allegato una copia della tua fattura! Ti preghiamo di effettuare il pagamento in tempi rapidi.
• L’ordine sarà consegnato al ricevimento del pagamento.
• In allegato la fattura per la tua revisione e per procedere al pagamento.
• Trovi in allegato la tua fattura. Si prega di effettuare il pagamento il più presto possibile.

Dridex ruba informazioni riservate alle vittime, comprese quelle relative ai conti bancari, così da poter poi eseguire transazioni fraudolente. Talvolta il codice maligno è stato impiegato per la distribuzione di ransomware.

Utenti negligenti o distratti possono trovarsi addebiti illeciti sulle carte di credito, trasferimenti dai conti aziendali e persino violazioni di dati che possono compromettere l’intera rete e la base di clienti di un’azienda.