Alfonso Maruccia

Brasile, la carica dei trojan bancari

Una minaccia tradizionalmente relegata al Paese sudamericano si fa sempre pi¨ complessa, e forse si prepara ad espandersi anche in altre zone del pianeta. A rischio gli account bancari degli utenti

Roma - Stando a quanto sostiene Check Point Software, lo scenario delle minacce informatiche brasiliano sta conoscendo una fase di sviluppo preoccupante: se in passato i trojan bancari del Paese erano progettati per agire tramite meccanismi in qualche modo basilari, i nuovi trend evidenziano una crescita in quanto a complessità tecnica che potrebbe avere effetti anche in ambito globale.

La security enterprise si riferisce in particolare a una minaccia identificata a maggio del 2017, un allegato malevolo distribuito attraverso e-mail spazzatura scritte in portoghese con lo scopo di indurre l'utente a visitare una pagina remota infetta da cui scaricare un file JAR.

Una volta arrivato sul sistema bersaglio, l'applet JAVA contenuto nel file avvia il processo di installazione del trojan bancario vero e proprio. A infezione avvenuta, il malware stabilisce una connessione remota con il server dei cyber-criminali, mettendo al contempo sotto controllo le attività dell'utente sul sistema infetto.

I ricercatori non erano fin qui riusciti ad analizzare in dettaglio il comportamento del codice malevolo perché il malware faceva uso del codice di compressione "Themida", ma ora che anche questo ostacolo è stato superato la nuova minaccia ha svelato le sue caratteristiche grazie al lavoro degli analisti.

L'interazione del malware con il sistema infetto prevede dunque il monitoraggio delle attività dell'utente, allertando il server di comando&controllo quando viene eseguito il login su un servizio finanziario. A quel punto il malware visualizza una falsa schermata di autenticazione, cosa che permette il furto delle credenziali di accesso e che viene infine camuffata con un falso messaggio di errore precompilato.

Una volta compromesse le credenziali di accesso - ed eventualmente il meccanismo di autenticazione a doppio fattore della banca - dice Check Point, i cyber-criminali possono agire indisturbati prelevando il denaro dal conto dell'utente.

Alfonso Maruccia

fonte immagine
Notizie collegate
  • SicurezzaBrasile, la banda del BoletoScoperta una truffa miliardaria che si insinua nel meccanismo di pagamento molto popolare in Sudamerica. Le cifre sciorinate da RSA parlano di miliardi di fondi sottratti ai legittimi proprietari
  • AttualitàGozi, reo confesso uno degli autori del trojan bancarioDeniss Calovskis era stato estradato negli Stati Uniti, e ora si Ŕ dichiarato colpevole impegnandosi a non fare appello entro certi livelli di pena. Il codice del malware che ha contribuito a creare, per˛, continua a fare danni
12 Commenti alla Notizia Brasile, la carica dei trojan bancari
Ordina
  • Le banche sono i più grandi generatori di trojan del mondo (con il tuo culo)
    non+autenticato
  • Per eseguire il file JAR ci deve essere il Java installato su PC o il trojan si porta dietro il runtime?
    non+autenticato
  • - Scritto da: Soloperoggi
    > Per eseguire il file JAR ci deve essere il Java
    > installato su PC o il trojan si porta dietro il
    > runtime?

    Dipende dalla situazione, dal poco che dice l'articolo si puˇ solo tirare ad indovinare.

    Se c'è qualche bug che ha permesso di passare la protezione della sandbox il jar potrebbe essere eseguito dal plugin del browser.

    Se invece l'utente ha scaricato un jar e lanciato in locale serve il java runtime.

    Puoi includere il java runtime in un eseguibile, ma aggiungi 60/70 mega alla dimensione del file e devi usare una estensione eseguibile dal sistema operativo, l'estensione .jar di default è sconosciuta al SO.
    non+autenticato
  • - Scritto da: d1d52474e2e
    > Se c'è qualche bug che ha permesso di passare la
    > protezione della sandbox il jar potrebbe essere
    > eseguito dal plugin del browser.
    >
    > Se invece l'utente ha scaricato un jar e lanciato
    > in locale serve il java runtime.

    Sui PC, il plugin permentte solo di far girare nell'ambiente del browser applicazioni JAR, in modo che alcuni dati (come cookie, ad esempio) siano condivisi - ad esempio, settati dal browser e manipolati dal JAR.

    Praticamente nessun browser è più compatibile col Java plugin, al massimo lanciano il JAR in un processo separato in un'altra finestra - e si vede. E mi risulta serva un file intermedio per farglielo fare.

    In tutti i casi serve Java installato sulla macchina, perché è comunque lui che esegue il JAR.


    > Puoi includere il java runtime in un eseguibile,
    > ma aggiungi 60/70 mega alla dimensione del file [...]

    Verissimo, ma un po' troppo evidente; dubito che funzioni in questo modo.


    Piuttosto, sui cellulari il Java è parte integrante del sistema, e mi sa che gli obiettivi del malware in realtà siano loro.
  • Una volta arrivato sul sistema bersaglio, l'applet JAVA contenuto nel file avvia il processo di installazione del trojan bancario vero e proprio.

    C'è qualcosa che non quadra nell'articolo. Come fa l'applet ad installare qualcosa dalla sandbox? E' veramente un'applet e c'è qualche bug non citato nell'articolo che permette di uscire dalla sandbox oppure l'utente scarica ed esegue un jar eseguibile (che è paragonabile ad un .exe)?
    non+autenticato
  • - Scritto da: 8597746e794
    > Una volta arrivato sul sistema bersaglio,
    > l'applet JAVA contenuto nel file avvia il
    > processo di installazione del trojan bancario
    > vero e
    > proprio.

    >
    > C'è qualcosa che non quadra nell'articolo. Come
    > fa l'applet ad installare qualcosa dalla sandbox?
    > E' veramente un'applet e c'è qualche bug non
    > citato nell'articolo che permette di uscire dalla
    > sandbox oppure l'utente scarica ed esegue un jar
    > eseguibile (che è paragonabile ad un
    > .exe)?

    Il fatto che si parli di java non deve trarre in inganno.

    Alla base del trojan ci sono due componenti che in simbiosi permettono al processo di funzionare:

    1) winsozz
    2) l'utonto winaro
  • In questo caso ammetto la mia macacaggine.

    Essendo in Java, perché escludi Linux?
    Domanda seria.
    non+autenticato
  • - Scritto da: Fan innamorato di Bertuccia il macaco
    > In questo caso ammetto la mia macacaggine.
    >
    > Essendo in Java, perché escludi Linux?
    > Domanda seria.

    Lo spiega implicitamente l'articolo:

    La security enterprise si riferisce in particolare a una minaccia identificata a maggio del 2017, un allegato malevolo distribuito attraverso e-mail spazzatura scritte in portoghese con lo scopo di indurre l'utente a visitare una pagina remota infetta da cui scaricare un file JAR.

    Come vedi, ci vuole l'utonto.
    E l'utonto e' winaro.
  • E un file Jar, su una macchina Linux, non può venire eseguito?
    (sempre serio sono).
    non+autenticato
  • - Scritto da: Fan innamorato di Bertuccia il macaco
    > E un file Jar, su una macchina Linux, non può
    > venire
    > eseguito?
    > (sempre serio sono).

    Si che puo' essere eseguito.

    Da DM occorre che il file sia associato alla VM java, che girera' coi permessi dell'utente e la JAVA_HOME impostata di default (sempre che ce ne sia una impostata).
    Altrimenti non parte proprio.
    E difficilmente uno tiene tutti questi default impostati per lanciare un jar.
    Molto meglio impostare uno script (vedi sotto), e doppiocliccare su quello.

    Da linea di comando bisogna invece scrivere un po' di cose, che escludo vengano fatte per sbaglio.
  • - Scritto da: Fan innamorato di Bertuccia il macaco
    > In questo caso ammetto la mia macacaggine.
    >
    > Essendo in Java, perché escludi Linux?
    > Domanda seria.

    Se vuoi fare una domanda seria perché alimenti il troll?
    non+autenticato