Alfonso Maruccia

Eurograbber, Zeus contro le banche europee

Svelata l'esistenza di una vasta operazione di cyber-crimine finanziario, basata sull'uso del sempreverde crimeware e sull'infezione contemporanea di PC e cellulari. Sottratte decine di milioni di euro

Roma - I ricercatori di Check Point Software e Versafe hanno identificato e analizzato un attacco informatico basato su crimeware, diretto verso le istituzioni bancarie europee e che ha fruttato ai suoi ignoti organizzatori decine di milioni di euro.

Eurograbber, questo il nome dell'attacco descritto nello studio a opera delle due summenzionate security enterprise, è basato sul sempreverde toolkit malevolo noto come Zeus: la patria originaria dell'operazione di cyber-crimine è stata identificata in Italia, ma l'attacco si è poi diffuso attraverso tutto il continente europeo.

I criminali hanno sottratto qualcosa come 36 milioni di euro da oltre 30mila conti bancari degli ignari utenti (privati e aziende) presi di mira dal codice malevolo, con prelievi forzosi e progressivi compresi fra i 500 e i 250mila euro a seconda della disponibilità del singolo account.
Caratteristica particolarmente distintiva di Eurograbber è la capacità di operare su due fronti e piattaforme di computing diverse, fatto che ha permesso a questa nuova variante di Zeus di battere, nei fatti, il meccanismo di autenticazione a doppio fattore usato da molti istituti bancari e basato sull'invio di SMS per conferma delle transazioni finanziarie.

Mentre il malware presente sul PC si incaricava di tenere sotto controllo l'attività Internet dell'utente, spiegano Check Point e Versafe, quello su cellulare controllava gli SMS in arrivo per intercettare il codice di conferma da inserire nel codice JavaScript progettato per manipolare la transazione. In entrambi i casi (PC Windows e smartphone Android), il veicolo di infezione era lo stesso: un messaggio (email o SMS) invitava ad aprire un link da cui il malware si apriva una breccia nel dispositivo di competenza.

"Gli attacchi informatici sono in costante evoluzione per sfruttare al meglio le tendenze che si verificano sul mercato", dichiara il dirigente di Check Point Gabi Reish in un comunicato. "Poiché il mobile banking continua a guadagnare spazio - continua Reish - vediamo attacchi più mirati in quest'area, ed Eurograbber ne è un primo esempio".

Alfonso Maruccia
Notizie collegate
8 Commenti alla Notizia Eurograbber, Zeus contro le banche europee
Ordina
  • Nel senso che c'e' una GROSSA quantita'di "if-then" che devono andare a buon fine perche' il gioco funzioni (lasciando perdere il rischio, visto le tracce che lascieranno i rapinatori)... ed e' straordinario che 30000 persone siano state gabbate.
    1) zeus spedito via email o sito hacked

    2) runna in background sinche' non logghi sul tuo sito Bank.com
    Al che via javascript ti dice che c'e' un "aggiornamento per cellulari per proteggere l'homebanking". E di nuovo chiede all'utente dati: il num di tel e il modello.

    3) il theft-server manda un SMS all'utente chiedendo di finalizzare la procedura = gli manda un link con un sw da installare sul telefono [parla solo di android e bberry. e anche qui ci sono varianti, ma cmq]. l'utente deve accettare l'installazione [ma visto che non e' sul market, CREDO avra' un ALTRO warn sul fatto di installare app sconosciute. E va avanti].

    4) se ben capisco c'e' pure un confirmation code, che l'utente vede sul browser del pc (il ladro vuol essere ben sicuro evidentemente. e presuppone che l'utente gli dia retta al volo.. wow)

    5) il trojan zeusmobile sul tel e' completato.

    6) sul PC quando usera' l'homebanking, lo zeus grabba la sessione e spedisce al ladro dei soldi

    7) contemporaneamente il tel (trojanato) riceve l'SMS col TAN.. che viene girato silenziosamente al ladro, per completare la transazione...

    Whoa.. ci sono almeno 125 cose che possono andare male, e non solo non riuscire a grabbare i soldi.. ma anche venire "beccati" (cioe un warn, che poi porta a denuncia o a buttare tutto). Quanti miliardi di mail avranno mandato per ottenere 30000 UTONTI SLAVE?

    In effetti poi la polizia ha (evidentemente) smantellato la rete... ma non si capisce se/quanta gente abbia ingabbiato
    non+autenticato
  • beh, certamente uno che si becca un malware sul pc e poi ne installa un altro volontariamente su smartphone.......

    sono senza parole

    questa è idiozia all'ennesima potenza
    non+autenticato
  • - Scritto da: collione
    > beh, certamente uno che si becca un malware sul
    > pc e poi ne installa un altro volontariamente su
    > smartphone.......
    >
    > sono senza parole
    >
    > questa è idiozia all'ennesima potenza
    eheh. io lo trovo straordinarioCon la lingua fuori)
    l'unica cosa che mi lascia perplesso e'... ma su android (e penso in generale) se ti arriva un msg 'installa questo .apk non hostato sul market', per forza avrai anche un msg che ti dice 'sorgente sconosciuta. vuoi davvero installare?'.. o qualcosa del genere.
    O mi sogno? No,xche nel PDF non c'e' menzione di questo ulteriore warn.


    Svariate volte, negli anni, sono stato tentato dal tentare di mettere in pista un worm [o qualcosa di funzionalmente analogo]... per rendermi conto SUL SERIO se/quanto cavalca, ecc..
    Ovviamente oltre a essere parecchio impegnativo, e' anche un filo a rischio manetteCon la lingua fuori
    Non e' che mi interessa grabbare dei soldi... solo come esperimento sociale..
    non+autenticato
  • Vogliamo arrotondare aa una media di 1200?
  • 500 e i 250mila euro x 30.000 fanno parecchie centinaia di miliardi di euro e non milioni.
    Ergo o sono qualche centinaio di CC oppure le cifre sottratte sono
    al max 500 euro a CC. ^_^
  • - Scritto da: eleirbag
    > 500 e i 250mila euro x 30.000 fanno parecchie
    > centinaia di miliardi di euro e non
    > milioni.
    > Ergo o sono qualche centinaio di CC oppure le
    > cifre sottratte
    > sono
    > al max 500 euro a CC. ^_^
    ma no.. gh. e' un range. a uno han fregato 500eu, a un altro 250000 (o meglio 223036,12 eu). E tante altre transazioni che stanno nel mezzo.
    non+autenticato