Frodi finanziarie online: il nuovo toolkit drIBAN colpisce i clienti delle banche italiane

Almeno dal 2019, secondo la società italiana di sicurezza informatica Cleafy i clienti delle banche italiane sarebbero l’obiettivo di una campagna di frode finanziaria ancora in corso che sfrutta un nuovo toolkit di web-inject chiamato drIBAN.

Il toolkit drIBAN

L’uso di web-inject è una tattica nota che consente di iniettare script personalizzati lato client mediante un attacco man-in-the-browser (MitB) e intercettare il traffico di rete. Le transazioni fraudolente attuate tramite il toolkit sarebbero realizzate mediante una tecnica denominata Automated Transfer System (ATS) in grado di aggirare i sistemi di verifica (MFA e SCA) messi in atto dalle banche durante l’accesso e le fasi autorizzative di pagamento. Ciò consentirebbe agli attaccanti di avviare bonifici non autorizzati dai computer delle vittime.

L’obiettivo principale delle operazioni di frode drIBAN è infettare le postazioni di lavoro Windows all’interno degli ambienti aziendali cercando di alterare i bonifici bancari legittimi eseguiti dalle vittime cambiando il beneficiario e trasferendo denaro su un conto bancario illegittimo“, affermano i ricercatori di Cleafy.

La catena d’infezione

Negli ultimi anni gli sviluppatori malevoli avrebbero introdotto sul toolkit drIBAN diversi miglioramenti e tecniche di evasione soprattutto sfruttando le debolezze nelle contromisure antifrode o nel processo di autorizzazione secondo una catena d’infezione ben consolidata costituita da 4 stadi:

Catena d’infezione 2022 (Fonte Cleafy)

La catena di attacco inizia con una posta elettronica certificata (PEC) di phishing che contiene un allegato con un eseguibile, ovvero il downloader per il rilascio del malware di prima fase sLoad.

Lo scopo di sLoad sarebbe quello di raccogliere informazioni dall’host compromesso (fase che potrebbe continuare per diversi giorni in base al numero di macchine infette), per valutare l’obiettivo (trovando corrispondenza tra la cache DNS della macchina infetta con un elenco predefinito di istituti bancari) e rilasciare eventualmente il payload di seconda fase  Ramnit aprendo così le porte agli ultimi due stadi rispettivamente per dirottare le transazioni bancarie legittime tramite web-inject e riciclare i fondi rubati.

Controlli della cache DNS eseguiti tramite sLoad (Fonte Cleafy)

Raccomandazioni

Per difendersi da questa minaccia è importante dotarsi di strumenti di protezione e aggiornare regolarmente tutti i software utilizzati in modo da limitare le vulnerabilità.

Tuttavia, in primo luogo, come rimarcato dalla stessa società di sicurezza informatica Cleafy, per mitigare la minaccia occorre creare consapevolezza nell’utente. Trattandosi di una minaccia che si diffonde tramite PEC occorre fare molta attenzione ai messaggi di posta elettronica che si ricevono riconoscendo i messaggi sospetti, anche quando questi arrivano da mittenti conosciuti, e, soprattutto, non scaricare allegati o cliccare su link improbabili.

IoC (Fonte Cleafy)
Su Salvatore Lombardo 335 Articoli
Ingegnere elettronico e socio Clusit, da qualche tempo, sposando il principio dell’educazione consapevole, scrive online per diversi magazine sull’Information Security. È inoltre autore del libro “La Gestione della Cyber Security nella Pubblica Amministrazione”. “Education improves Awareness” è il suo motto.