Nuovi cavalli bancari di Trojan guadagnano polacco

Illustrazione di Andrew Bannecker Oggi i criminali possono dirottare sessioni di banking online attive e nuovi Trojan horse possono falsificare il saldo dell'account per impedire alle vittime di vedere che vengono defraudati.

Tradizionalmente, tale malware ha rubato nomi utente e password per banche specifiche; ma il criminale ha dovuto accedere manualmente all'account compromesso per ritirare i fondi. Per fermare questi attacchi, i servizi finanziari hanno sviluppato metodi di autenticazione come ID dispositivo, geolocalizzazione e domande impegnative.

Sfortunatamente, anche i criminali che affrontano questi ostacoli sono diventati più intelligenti. Un cavallo di Troia, URLzone, è così avanzato che il fornitore di sicurezza Finjan lo vede come un programma di prossima generazione.

[Ulteriori letture: Come rimuovere il malware dal PC Windows]

Maggiore sofisticazione

Gli attacchi bancari oggi sono molto più furtivo e si verificano in tempo reale. A differenza dei keylogger, che si limitano a ricollegare le sequenze di tasti, URLzone consente ai criminali di accedere, fornire l'autenticazione richiesta e dirottare la sessione spoofando le pagine bancarie. Gli assalti sono noti come attacchi man-in-the-middle perché la vittima e l'attaccante accedono contemporaneamente all'account e una vittima non può nemmeno notare nulla di straordinario con il proprio account.

Secondo Finjan, un processo URLzone così fisticato consente ai criminali di preimpostare la percentuale da prelevare dal conto bancario di una vittima; in questo modo, l'attività non farà scattare gli avvisi di frode incorporati di un'istituzione finanziaria. Lo scorso agosto, Finjan ha documentato un furto basato su URL di $ 17.500 al giorno per 22 giorni da diversi detentori di conti bancari tedeschi, molti dei quali non avevano idea di ciò che stava accadendo.

Ma URLzone fa un passo avanti rispetto alla maggior parte delle botnet bancarie o Trojan horse, dice il team antifrode della RSA. I criminali che usano i cavalli di Troia bancari in genere afferrano i soldi e li trasferiscono dal conto di una vittima a vari "muli" - persone che prendono un taglio e trasferiscono il resto dei soldi all'estero, spesso sotto forma di merci spedite a indirizzi stranieri.

Anche URLzone sembra rilevare quando viene guardato: quando i ricercatori della RSA hanno provato a documentare come funziona l'URLzone, il malware ha trasferito denaro a muli falsi (spesso legittimi), vanificando così l'indagine.

Silentbanker e Zeus

Silentbanker, apparso tre anni fa, è stato uno dei primi programmi di malware a diffondere un sito di phishing. Quando le vittime hanno visitato il falso sito bancario dei criminali, Silentbanker ha installato malware sui loro PC senza attivare alcun allarme. Silentbanker ha anche preso screenshot di conti bancari, ha reindirizzato gli utenti da siti legittimi e ha modificato le pagine HTML.

Zeus (noto anche come Prag Banking Trojan e Zbot) è una botnet bancaria destinata a conti bancari commerciali. Secondo il fornitore di sicurezza SecureWorks, Zeus si concentra spesso su una banca specifica. È stato uno dei primi cavalli di Troia bancari a sconfiggere i processi di autenticazione aspettando fino a quando una vittima non ha effettuato l'accesso a un account. Quindi impersona la banca e discretamente inietta una richiesta di un numero di previdenza sociale o altre informazioni personali.

Zeus utilizza i metodi di phishing e-mail tradizionali per infettare i PC indipendentemente dal fatto che la persona entri o meno nelle credenziali bancarie. Un recente attacco correlato a Zeus si pone come posta elettronica dall'IRS.

A differenza dei precedenti cavalli di Troia bancari, tuttavia, l'infezione di Zeus è molto difficile da rilevare perché ogni vittima ne riceve una versione leggermente diversa.

Clampi

Clampi, una banca botnet simile a Zeus, giaceva in letargo per anni ma recentemente è diventata piuttosto attiva. Secondo Joe Stewart, direttore della ricerca sui malware per SecureWorks, Clampi acquisisce le informazioni su nome utente e password per circa 4500 siti finanziari. Trasmette queste informazioni ai suoi server di comando e controllo; i criminali possono utilizzare immediatamente i dati per rubare fondi o acquistare beni, o salvarli per un uso successivo. Il Washington Post ha raccolto storie di diverse vittime della botnet di Clampi.

Clampi sconfigge l'autenticazione dell'utente in attesa che la vittima effettui l'accesso a un conto bancario. Viene quindi visualizzata una schermata in cui viene indicato che il server della banca è temporaneamente inattivo per la manutenzione. Quando la vittima si muove, i criminali sequestrano furtivamente la sessione bancaria ancora attiva e trasferiscono denaro dal conto.

Difesa dei dati

Dal momento che la maggior parte di queste infezioni da malware si verificano quando le vittime rispondono a una e-mail di phishing o navigare su un sito compromesso, Stewart di SecureWorks consiglia di limitare le attività bancarie a una macchina dedicata che si utilizza solo per controllare i saldi o pagare le bollette.

In alternativa, è possibile utilizzare un sistema operativo libero, come Ubuntu Linux, che si avvia da un CD o una thumbdrive. Prima di effettuare qualsiasi attività bancaria online, avviare Ubuntu e utilizzare il browser Firefox incluso per accedere al sito della banca. La maggior parte dei cavalli di Troia bancari funziona su Windows, quindi temporaneamente utilizza un sistema operativo non Windows, così come il banking tramite telefono cellulare.

Il passaggio chiave, tuttavia, è mantenere aggiornato il software antivirus; la maggior parte dei programmi di sicurezza rileverà i nuovi cavalli di Troia bancari. I vecchi file delle firme antivirali possono essere lenti nel difendere i PC dagli attacchi più recenti, ma le edizioni del 2010 hanno una protezione della firma basata su cloud per annullare immediatamente le minacce.