AGI - Decine di aziende manifatturiere italiane sarebbero vittime di una serie di attacchi hacker che infettano i sistemi informatici con finti documenti Microsoft Office e Excel attraverso una botnet chiamata Dridex. È quanto sostiene l’azienda di sicurezza informatica Yoroi, che in una nota spiega come questi strumenti stanno diventando quelli di diffusione preferiti da molti criminali informatici per inoculare malware nelle aziende.
Si tratta “di una tecnica estremamente flessibile e abusata sia da attori opportunisti che dalle Apt, le così dette ‘minacce avanzate persistenti’ che fanno capo a gruppi criminali ben finanziati e organizzati e spesso supportati da governi canaglia”, spiega Yoroi.
L’azienda, attraverso il suo Malwre Zlab ha monitorato con attenzione le ondate di attacchi che adottano una nuova tecnica: librerie binarie caricate direttamente da Microsoft Excel, in un solo click. Questa tecnica di diffusione emergente sfrutta i file xll, un particolare tipo di file contenente un'applicazione Microsoft Excel pronta per essere caricata.
“Questo metodo di sfruttamento di Microsoft Office viene silenziosamente abusato in molte ondate di attacchi in tutto il mondo, ma recentemente questa tecnica emergente è stata usata per colpire le aziende manifatturiere italiane”, aggiunge la società in una nota. Il Cert di Yoroi starebbe monitorando la nuova tecnica dall’estate del 2021.
“Già osservata originariamente in attacchi sporadici, nell'ultimo mese attori criminali hanno cominciato ad abusare della nuova tecnica anche ai danni di realtà italiane”, spiega Yoroi.
“La pericolosa tecnica risulta attualmente utilizzata dalla botnet criminale Dridex nel corso di attacchi su larga scala, indice di una potenziale esplosione di questa tecnica di attacco nel corso dei prossimi mesi del 2022.
Dridex è uno dei malware bancari più pericolosi e resistenti al mondo, dal 2010 sfrutta le macro di Word e Excel, e la sua botnet, cioè la rete di computer zombie che utilizza per diffondere il suo carico malevolo, è tra le più estese tra quelle conosciute. Gli attacchi provenienti da questa botnet possono portare a una infezione ransomware di tipo double-extortion come è già accaduto in aprile ai danni di molti comuni italiani del Nord-Ovest”, aggiunge la società.