21 Ott 2013

Trojan Bancari: i Magnifici Quattro

Malware

I trojan bancari sono come i topi. Tiri fuori un pezzo di formaggio e ne saltano fuori da tutte le parti. Molti di loro, però, sono meteore passeggere; se ne sente parlare una volta e poi non se ne sa più nulla. Tuttavia, ce ne sono 4 che sono particolarmente famosi e che non sembrano volersene andare: Carberp, Citadel, SpyEye e soprattutto Zeus.

4 Trojan BancariQualche volta sorprendiamo un trojan bancario alle prese con faccende non relazionate con il furto di informazioni bancarie. È un mondo torbido quello dei bassifondi del cybercrime, ma quel che è certo è che ognuno di questi malware rappresenta un problema serio e reale: sono bravissimi nel rubare informazioni online e ogni sorta di dato bancario.

Dato il loro numero, è difficile scrivere una storia esaustiva sui trojan bancari, considerando anche il fatto che si comportano tutti allo stesso modo. Nonostante ciò, possiamo almeno presentarvi i quattro Trojan più prolifici, dal meno noto al più noto.

Carberp

Carberp, nella sua versione originale, era un Trojan come tutti gli altri. Era stato disegnato per rubare dati sensibili, come credenziali di banking online e combinazioni di username e password da importanti siti Internet. Carberp passava le informazioni che rubava a un server C&C (command and control) controllato del suo creatore. Semplice e diretto. La componente più complessa di questo Trojan era la funzionalità rookit, che gli permetteva di rimanere nascosto nel computer della vittima. Nelle versioni successive di Carberp sono stati aggiunti alcuni plug-in: uno rimuoveva i software anti-malware dai computer infetti e un altro cercava di eliminare qualsiasi altro tipo di malware.

La questione si è fatta ancora più interessante quando il suo creatore dotò il Trojan della capacità di criptare il traffico dei dati rubati tra il dispositivo e i server C&C. Secondo alcuni ricercatori, Carberp è stato il primo malware ad utilizzare un codice crittografico a generazione casuale, piuttosto che un chiave statica.

Ad un certo punto, Carberp fu associato al noto exploit Blackhole, causando un’impennata d’infezioni. Tutto andava per il meglio per Carberp e i suoi autori; erano addirittura riusciti a sviluppare un modulo Carberp per Facebook in grado di spingere gli utenti a compilare “voucher e-cash”, parte di una truffa di tipo ransomware.

Secondo alcuni ricercatori, Carberp è stato il primo malware ad utilizzare un codice crittografico a generazione casuale, piuttosto che un chiave statica.

Poi iniziò il suo declino. Le autorità russe  riuscirono ad acciuffare otto uomini ritenuti responsabili del controllo del malware. Nonostante ciò, Carberp non scomparve. Non mancarono tentativi di sabotaggio e arresti. Ci fu anche un momento in cui i criminali dovettero pagare 40.000 dollari per accedere al codice; tutto terminò l’anno scorso, quando il codice fu reso pubblico, dando a tutti le conoscenze sufficienti per accedere al Trojan.

Citadel

Il Trojan Citadel è una variante del re indiscusso di tutti i malware bancari, Zeus. Ha fatto la sua prima apparizione, insieme a molti altri Trojan, dopo la diffusione del 2011 del codice sorgente del Trojan Zeus. Il merito di Citadel è stato quello di essere open-source, permettendo a chiunque di revisionare il codice e applicare miglioramenti (il che ha peggiorato le cose).

Il gruppo criminale responsabile di Citadel creò una community di utenti e collaboratori da tutto il mondo con l’idea di contribuire insieme alla creazione di nuove funzionalità, codici e moduli per il malware, dando vita ad una sorta di social network criminale. Alcune delle capacità più interessanti includevano la crittografia AES peri file e le comunicazioni con il server C&C, l’abilità di evitare i siti di tracking e di bloccare l’accesso ai siti di sicurezza sui computer della vittima, e anche poter registrare video.

La rete dei collaboratori che lavorava su Citadel continuò a crescere, aggiungendo al Trojan caratteristiche sempre nuove e dinamiche, rendendolo ogni giorno più veloce e flessibile, fino a farlo diventare il Trojan pratico e funzionale che tutti i criminali usavano per ogni sorta di furto di credenziali.

L’epoca d’oro di Citadel giunse al termine quando Microsoft e altre aziende del settore lanciarono un’operazione che riuscì a mettere fuori gioco l’88% delle infenzioni scatenate dal Trojan.

SpyEye

Il Trojan SpyEye doveva essere il grande concorrente di Zeus; non riuscì a raggiungere la sua fama e grandezza, ma visse sicuramente il suo momento di gloria.

C’è stato un momento in cui i due rivali, SpyEye e Zeus, si unirono in una mega-botnet-bancaria. Tale botnet si spense velocemente, ma non senza lasciare traccia. Il Trojan SpyEye fu utilizzato inoltre in un attacco che colpì la pagina di fatturazione online di Verizon, permettendo agli hacker di spillare indisturbati e per più di una settimana, , dati sensibili e informazioni bancarie agli utenti. Lo stesso accadde allo storage online di Amazon (utilizzando il provider cloud come piattaforma di attacco) e ai dispositivi Android. Tuttavia, una serie di arresti e forse la mancanza di efficacia stroncò la carriera del Trojan SpyEye.

Nell’estate del 2012, tre uomini della zona del Baltico furono arrestati per aver usato SpyEye in un’operazione organizzata che aveva come scopo il furto di informazioni bancarie. Nel maggio di quest’anno, un presunto sviluppatore SpyEye fu arrestato in Thailandia e estradato agli Stati Uniti, dove venne incriminato per la creazione di più di 30 reti botnet e altri capi di accusa relazionati con la truffa bancaria.

Da quel momento in poi, nessuna notizia di SpyEye.

Zeus

Passiamo ora a Zeus. Il Trojan deve giustamente il suo nome al re degli dèi greci, Zeus, di cui eredita efficacia, grandezza e portata. Dal momento in cui, nel 2011, il suo codice sorgente diventò di dominio pubblico, sembra che praticamente ogni Trojan bancario abbia dentro di sè un po’ di Zeus. Inoltre, solo Zeus è così noto da avere la sua propria pagina Wikipedia. Su Threatpost, ci sono 22 pagine contenenti 10 storie (il sito a cui rimandano tutti i link contenuti in questo articolo) facendo riferimento al Trojan Zeus. È possibile scrivere un romanzo lungo quanto quelli di Leo Tolstoy o Marcel Proust sulle scorribande di questo famoso Trojan. Ecco perché è pressoché impossibile riassumere la sua storia o le sue caratteristiche in poche parole. Tuttavia, possiamo tracciarne un quadro complessivo.

Zeus entrò in scena nel 2007 dopo essere stato utilizzato in un furto di credenziali che aveva come oggetto il Dipartimento dei Trasporti degli Stati Uniti d’America. Da quel momento in poi, Zeus infettò centinaia di milioni di computer, causando perdite pari a centinaia di milioni di dollari; fino a che, nel 2011, il suo creatore decise di mettere la parola fine al capito Zeus, pubblicando online il codice sorgente del malware. Molte centinaia di persone sono ora dietro le sbarre per il loro coinvolgimento in frodi relazionate a Zeus.

Zeus è stato tra i primi malware venduti via licenza. Fino a che il codice sorgente non fu di dominio pubblico, Zeus era l’incubo di ogni banca e azienda. La lista delle sue vittime era lunghissima ed includeva le più importanti banche, aziende e agenzie governative del pianeta.

Oggi Zeus è anche conosciuto per l’uso innovativo del suo fratello minore in versione mobile chiamato ZitMo, utilizzato per ingannare i sistemi di autenticazione a due fattori che prevedono l’invio del codice di sicurezza via SMS. Anche SpyEye e Carberp hanno le loro rispettive controparti mobile.

Malware bancari a parte, il Trojan Zeus è tra i malware più conosciuti, secondo (forse) solo a Stuxnet.

Come proteggersi

Ognuno di questi malware ha essenzialmente le stesse funzionalità: cerca di non farsi individuare dall’antivirus e cerca di intercettare quello che viene digitato sulla tastiera, i dati del browser, i file immagazzinati – praticamente tutto quello che lo può aiutare a entrare nell’account di home banking della vittima ed effettuare un trasferimento illegale di denaro. Il trojan può addirittura cercare di installare un malware mobile nello smartphone della vittima, che permetterebbe ai criminali di rubare i codici usa e getta inviati sul cellulare, impiegati dalle banche per approvare le transazioni. I Trojan bancari hanno la grande capacità di infliggere danni economici diretti alle proprie vittime, ecco perché i software di sicurezza moderni devono includere contromisure specifiche contro ogni aspetto del Trojan bancario. Kaspersky Lab ha raccolto tutte queste misure protettive e le ha implementate nella tecnologia Safe Money, inclusa nelle ultime versioni di Kaspersky Internet Security – Multi-Device e Kaspersky PURE. Potete trovare alcuni importati suggerimenti su come abilitare Safe Money in uno dei nostri consigli settimanali.