Cosa dà più soddisfazione che ripagare i malfattori con la loro stessa moneta? È quello che deve aver pensato un anonimo hacker che sembra aver colpito una delle botnet più pericolose nel mondo dei virus bancari.
Dridex, infatti, è una botnet creata probabilmente da cyber criminali dell'Europa dell'Est per diffondere malware teso a rubare credenziali bancarie.
Da qualche settimana, però, una parte di questa botnet sta distribuendo sui computer infetti una copia genuina di Avira Antivirus in versione gratuita.
Non ci sono rivendicazioni per il gesto e un portavoce di Avira dichiara che si sono accorti della distribuzione ma che non ci sono loro dietro all'operazione.
Tra l'altro, l'attuale botnet di Dridex è una sorta di "fenice". Nello scorso anno, infatti, era stata attaccata e abbattuta da una operazione congiunta tra l'FBI e alcune aziende specializzate in sicurezza informatica.
Pochi giorni dopo l'abbattimento, però, è tornata in funzione, segno che i suoi creatori sono stati furbi, prevedendo una struttura di Command & Control alternativa da attivare in caso di attacco.
Si sospetta che i creatori di Dridex siano gli stessi di GOZ (GameOver Zeus), un'altra botnet abbattuta precedentemente e che deve aver insegnato molto ai programmatori su come cercare di mantenere in vita una struttura alla quale vengono tagliati i server di comando e controllo.
In ogni caso, sebbene sopravvissuta alla prima operazione, Dridex sembra non essere immune ad altri tipi di attacco, come quello messo a segno stavolta.
Quello che è probabilmente accaduto è che uno dei server di comando e controllo è stato attaccato da un hacker che stava studiando la botnet, sostituendo il payload malevolo con un antivirus.
Sicuramente questa tecnica non porterà a un nuovo abbattimento della botnet, ma potrebbe ridurne le potenzialità per un discreto lasso di tempo.
Avira sembra essere spesso scelta da hacker etici e non per i loro scopi. In passato, infatti, una copia dello stesso antivirus è stato associato alla distribuzione del ransomware Teslacrypt e Cryptolocker.
In entrambi i casi non è chiaro quale sia stato il motivo della distribuzione, ma l'installer non fu mai avviato, al contrario di quanto sta accadendo in questo caso.