Il malware bancario si sta indebolendo, le compagnie di sicurezza avvisano

Gli autori di malware finanziario stanno tentando di eludere i nuovi sistemi di sicurezza bancaria online ricorrendo a tecniche più tradizionali di furto delle credenziali di phishing, secondo i ricercatori di Trusteer.

La maggior parte dei trojan finanziari i programmi utilizzati dai criminali informatici oggi sono in grado di alterare in tempo reale le sessioni bancarie online avviate dalle vittime sui loro computer. Ciò include la possibilità di eseguire transazioni fraudolente in background e nasconderle dall'utente modificando il saldo dell'account e la cronologia delle transazioni nel browser.

Di conseguenza, le banche hanno iniziato a implementare sistemi per monitorare il modo in cui i clienti interagiscono con i loro siti Web e rilevare le anomalie che potrebbero indicare attività del malware. Tuttavia, sembra che alcuni creatori di malware stiano tornando a tecniche più tradizionali che prevedono il furto di credenziali e il loro utilizzo da un computer diverso per evitare di essere rilevati.

[Ulteriori letture: Come rimuovere malware dal PC Windows]

Trojan familiari, nuova tecnica

I ricercatori dei fiduciari hanno recentemente rilevato cambiamenti nei programmi Trojan finanziari Tinba e Tilon progettati per impedire alle vittime di accedere ai veri siti Web di banking online e sostituire le loro pagine di accesso con versioni canaglia.

"Quando il cliente accede al sito web della banca, il malware presenta una pagina Web completamente falsa che assomiglia alla pagina di accesso alla banca ", ha detto giovedì il capo dell'amministratore tecnologico del Trusteer Amit Klein in un post sul blog. "Una volta che il cliente immette le credenziali di accesso nella falsa pagina, il malware presenta un messaggio di errore che afferma che il servizio di online banking non è attualmente disponibile. Nel frattempo, il malware invia le credenziali di accesso rubate al truffatore che utilizza una macchina completamente diversa per accedere alla banca come cliente ed eseguire transazioni fraudolente. "

Se la banca utilizza l'autenticazione a più fattori che richiede password monouso (OTP), il malware richiede anche queste informazioni sulla pagina falsa.

Questo tipo di furto di credenziali è simile ai tradizionali attacchi di phishing, ma è più difficile da rilevare perché l'URL nella barra degli indirizzi del browser è quello del sito Web reale e non falso.

"Non è così sofisticato come iniettare transazioni in sessioni di web banking in tempo reale, ma raggiunge l'obiettivo di eludere il rilevamento ", ha detto Klein.

Questa funzione di" sostituzione a pagina intera "è presente in Tinba versione 2, che i ricercatori Trusteer hanno recentemente ho scoperto e analizzato. Il malware viene fornito con il supporto per Google Chrome e tenta di limitare il traffico di rete memorizzando localmente le immagini caricate sulla pagina falsa.

Già in uso

Secondo i ricercatori del Trusteer, Tinba v2 è già utilizzato in attacchi mirati ai principali aspetti finanziari istituzioni e servizi Web per i consumatori.

"Le banche hanno sempre affrontato due vettori di attacco nel canale online", ha affermato Klein. "Il primo è il furto di credenziali Ci sono vari modi per eseguire questo tipo di attacco, tra cui malware, pharming e phishing.Il secondo vettore di attacco è il dirottamento di sessione ottenuto tramite malware. Questi due vettori richiedono due soluzioni diverse."

Banche dovrebbe assicurarsi di avere una protezione in atto contro entrambi i tipi di attacco, altrimenti i criminali informatici si adatteranno rapidamente alle loro tecniche, ha detto Klein. "Non puoi bloccare la porta e lasciare la finestra aperta."