Almeno dal 2019, secondo la società italiana di sicurezza informatica Cleafy i clienti delle banche italiane sarebbero l’obiettivo di una campagna di frode finanziaria ancora in corso che sfrutta un nuovo toolkit di web-inject chiamato drIBAN.
Il toolkit drIBAN
L’uso di web-inject è una tattica nota che consente di iniettare script personalizzati lato client mediante un attacco man-in-the-browser (MitB) e intercettare il traffico di rete. Le transazioni fraudolente attuate tramite il toolkit sarebbero realizzate mediante una tecnica denominata Automated Transfer System (ATS) in grado di aggirare i sistemi di verifica (MFA e SCA) messi in atto dalle banche durante l’accesso e le fasi autorizzative di pagamento. Ciò consentirebbe agli attaccanti di avviare bonifici non autorizzati dai computer delle vittime.
“L’obiettivo principale delle operazioni di frode drIBAN è infettare le postazioni di lavoro Windows all’interno degli ambienti aziendali cercando di alterare i bonifici bancari legittimi eseguiti dalle vittime cambiando il beneficiario e trasferendo denaro su un conto bancario illegittimo“, affermano i ricercatori di Cleafy.
La catena d’infezione
Negli ultimi anni gli sviluppatori malevoli avrebbero introdotto sul toolkit drIBAN diversi miglioramenti e tecniche di evasione soprattutto sfruttando le debolezze nelle contromisure antifrode o nel processo di autorizzazione secondo una catena d’infezione ben consolidata costituita da 4 stadi:
La catena di attacco inizia con una posta elettronica certificata (PEC) di phishing che contiene un allegato con un eseguibile, ovvero il downloader per il rilascio del malware di prima fase sLoad.
Lo scopo di sLoad sarebbe quello di raccogliere informazioni dall’host compromesso (fase che potrebbe continuare per diversi giorni in base al numero di macchine infette), per valutare l’obiettivo (trovando corrispondenza tra la cache DNS della macchina infetta con un elenco predefinito di istituti bancari) e rilasciare eventualmente il payload di seconda fase Ramnit aprendo così le porte agli ultimi due stadi rispettivamente per dirottare le transazioni bancarie legittime tramite web-inject e riciclare i fondi rubati.
Controlli della cache DNS eseguiti tramite sLoad (Fonte Cleafy)
Raccomandazioni
Per difendersi da questa minaccia è importante dotarsi di strumenti di protezione e aggiornare regolarmente tutti i software utilizzati in modo da limitare le vulnerabilità.
Tuttavia, in primo luogo, come rimarcato dalla stessa società di sicurezza informatica Cleafy, per mitigare la minaccia occorre creare consapevolezza nell’utente. Trattandosi di una minaccia che si diffonde tramite PEC occorre fare molta attenzione ai messaggi di posta elettronica che si ricevono riconoscendo i messaggi sospetti, anche quando questi arrivano da mittenti conosciuti, e, soprattutto, non scaricare allegati o cliccare su link improbabili.