Le banche italiane e i loro clienti sono diventati il bersaglio di una campagna di frode finanziaria in corso, che utilizza un nuovo toolkit web-inject chiamato DrIBAN dal 2019.
L’obiettivo delle operazioni fraudolente di DrIBAN
Il principale scopo delle operazioni fraudolente di DrIBAN è quello di infettare le workstation Windows all’interno degli ambienti aziendali, cercando di alterare i trasferimenti bancari legittimi eseguiti dalle vittime, modificando il beneficiario e trasferendo denaro su un conto bancario illegittimo. Secondo i ricercatori Federico Valentini e Alessandro Strino della società di cybersecurity italiana Cleafy, i conti bancari sono controllati dagli stessi attori della minaccia o dai loro affiliati, che hanno il compito di riciclare i fondi rubati.
L’utilizzo di web-inject e la tattica del MitB
L’uso dei web-inject è una tattica collaudata che permette al malware di iniettare script personalizzati sul lato client attraverso un attacco man-in-the-browser (MitB) e intercettare il traffico tra il server e il client. Le transazioni fraudolente vengono spesso realizzate attraverso una tecnica chiamata Automated Transfer System (ATS), in grado di bypassare i sistemi antifrode delle banche e di avviare trasferimenti bancari non autorizzati dal computer della vittima.
L’evoluzione degli operatori di DrIBAN
Nel corso degli anni, gli operatori dietro a DrIBAN sono diventati più abili nel evitare il rilevamento e nello sviluppo di strategie di ingegneria sociale efficaci, oltre a stabilire una presenza prolungata nelle reti delle banche aziendali. Cleafy ha affermato che il 2021 è stato l’anno in cui l’operazione classica del “trojan bancario” si è evoluta in una minaccia persistente avanzata. Inoltre, ci sono indicazioni che l’attività si sovrappone a una campagna del 2018 condotta da un attore tracciato da Proofpoint come TA554, che prendeva di mira utenti in Canada, Italia e Regno Unito.
La catena di attacco e il ruolo di sLoad
La catena di attacco inizia con un’email certificata (PEC) che induce le vittime a credere di essere al sicuro. Queste email di phishing contengono un file eseguibile che funge da downloader per un malware chiamato sLoad.
Il funzionamento di sLoad
Conosciuto anche come Starslord loader, sLoad è uno strumento di ricognizione basato su PowerShell. Il suo scopo principale è raccogliere ed esfiltrare informazioni dall’host compromesso per valutare il bersaglio e determinare se è adatto per ulteriori attacchi.
La raccolta delle informazioni
sLoad raccoglie una vasta gamma di informazioni sull’host compromesso, tra cui dettagli sul sistema operativo, software antivirus installato, processi in esecuzione e configurazioni di rete. Queste informazioni vengono poi inviate ai server di comando e controllo (C2) degli aggressori.
Le fasi successive dell’attacco
Dopo aver valutato il valore del bersaglio, gli aggressori possono decidere di lanciare attacchi più mirati, come l’installazione di ransomware, trojan bancari o altri tipi di malware. Inoltre, sLoad può essere utilizzato per scaricare e installare ulteriori strumenti di attacco o per espandere la presenza degli aggressori all’interno della rete compromessa.
Protezione contro sLoad e attacchi simili
Per proteggersi da sLoad e altri attacchi di phishing, è importante seguire alcune buone pratiche, tra cui:
- Formazione degli utenti: educare gli utenti a riconoscere e segnalare email sospette o tentativi di phishing.
- Aggiornamento del software: mantenere aggiornati tutti i software, in particolare il sistema operativo e gli antivirus, per proteggersi dalle minacce più recenti.
- Limitazione dell’uso di PowerShell: ridurre l’uso di PowerShell quando possibile e monitorare l’attività sospetta di PowerShell nella rete.
- Utilizzo di soluzioni di sicurezza avanzate: implementare soluzioni di sicurezza che offrono protezione multi-livello, come sandboxing e analisi del comportamento, per identificare e bloccare minacce sofisticate come sLoad.