Il malware Dridex, conosciuto anche come Bugat e Cridex, è considerato un infostealer e trojan con avanzate capacità di botnet, il che lo rende un “prodotto” altamente redditizio per il gruppo criminale informatico Evil Corp, che opera nel servizio Malware as a Service (MaaS). Le dimensioni della botnet di Dridex lo posizionano tra i ceppi di malware più attivi nell’ambiente globale delle minacce.

dridex malware trojan

Come agisce?

Gli attacchi del malware Dridex di solito vengono lanciati attraverso campagne di phishing e malspam che si servono di un documento .docx protetto da password contenente una macro VBA maligna, ma possono essere distribuiti anche in altri formati. Una volta che ha compromesso la vittima, Dridex sfrutta il suo design modulare per importare componenti a seconda del compito che deve svolgere.

Dridex può eseguire una serie di azioni complesse da disinnescare, tra cui l’installazione di un keylogger per registrare ogni battitura sulla tastiera, in particolare le credenziali di accesso bancario online, e la confezione e crittografia di questi dati per il loro invio ai criminali informatici tramite reti peer-to-peer.

Dridex mira specificamente agli utenti di Windows e ha mostrato una particolare predilezione per le istituzioni finanziarie e i loro clienti, soprattutto nei paesi anglofoni, anche se attacca vittime presenti su scala globale. È noto per la sua capacità di eludere la rilevazione da parte dei software antivirus, grazie alla costante evoluzione e aggiornamento del suo codice, rendendolo difficile da rilevare

Come viene identificato Dridex?

È difficile individuare le minacce poiché le sue firme, che cambiano continuamente e sono perlopiù sconosciute.

Gli utenti possono utilizzare tecnologie che non si concentrano sull’identificazione delle minacce basata su firme per il riconoscimento potenziale di Dridex: ad esempio, alcune tecnologie possono utilizzare l’apprendimento automatico per analizzare il traffico al fine di comprendere i modelli comportamentali degli utenti. In seguito, è possibile notare e esaminare ulteriormente il traffico di rete insolito.

Potrebbe anche essere efficace un programma di analisi malware che rileva comportamenti inusuali o file .exe.
Di conseguenza, il rilevamento di Dridex è possibile tramite determinati programmi antimalware specifici.

Una volta rilevato il malware, come si rimuove?

La rimozione manuale di Dridex è possibile ma difficile, soprattutto inadatta agli utenti.
Gli esperti raccomandano di affidarsi a esperti di settore affidabili per liberarsi completamente del malware.

Di solito si può ricorrere a software antimalware che individuano Dridex in grado di mettere in quarantena e rimuovere i file dannosi, successivamente il programma potrebbe quindi chiedere all’utente di riavviare il sistema, una volta completato il processo di rimozione.

Una volta che si è consapevoli di una possibile infezione da Dridex, è importante agire immediatamente: bisogna utilizzare un sistema informatico separato per cambiare tutte le password bancarie online e avvisare le istituzioni finanziarie dell’esposizione potenziale.