Alfonso Maruccia

Silence trojan, organizzazioni finanziarie nel mirino

Un nuovo attacco prende di mira gli istituti finanziari russi e va alla ricerca delle vittime più adatte per penetrare a fondo nei sistemi bancari, con una tecnica già vista in passato usata da un noto gruppo di cyber-criminali

Roma - Il team GReAT di Kaspersky Lab ha scovato un nuovo attacco indirizzato contro le organizzazioni finanziarie, con vittime localizzate soprattutto in Russia ma anche in Paesi come Malesia e Armenia. Come al solito l'obiettivo principale consiste nel compromettere i sistemi più sensibili per trasferire fondi in libertà, e il modo di raggiungerlo tradirebbe una comunanza di intenti - se non una vera e propria corrispondenza - con un gruppo già noto in passato per questo genere di operazioni.

La nuova minaccia bancaria si chiama "Silence", suggerisce Kaspersky, perché è progettata per passare inosservata mentre comunica con i server di comando&controllo in mano agli ignoti cyber-criminali. Prima di tutto Silence prende il controllo dell'account di posta elettronica di un dipendente della banca presa di mira, risultato ottenuto tramite l'impiego di malware o con il riutilizzo di credenziali di accesso già emerse tramite le numerose mega-brecce di questi anni.

Da questo primo account compromesso parte poi una campagna di phishing mirato più sofisticata, dove un file CHM (HTML compilato) viene inviato a vari dipendenti della banca per spingere le vittime all'esecuzione del codice JavaScript integrato. Il listato malevolo scarica quindi un nuovo componente dell'infezione, con il compito di raccogliere vari dati sul PC infetto e poi spedirli ai server remoti.
Se i criminali identificano il bersaglio come un sistema di valore all'interno dell'organizzazione aziendale, dai suddetti server remoti viene scaricato ed eseguito il componente principale dell'infezione: il trojan Silence si pone quindi "in ascolto", catturando schermate del PC in successione veloce e inviandole ai cyber-criminali.

Da queste schermate è poi possibile estrapolare dati preziosi per penetrare ancora più a fondo nell'organizzazione colpita, fino eventualmente a raggiungere i sistemi da cui è possibile rubare il denaro vero e proprio.

Kaspersky non rivela l'entità dei profitti ricavati dall'azione malevola di Silence, anche se gli analisti evidenziano come i meccanismi di funzionamento del trojan - incluso l'utilizzo di strumenti legittimi di Microsoft per evitare di far scattare allarmi di sicurezza - siano gli stessi già usati in passato dal gruppo noto come Carbanak.

Alfonso Maruccia
Notizie collegate
  • SicurezzaSWIFT, seconda ondata di cyber-rapineUn secondo gruppo di criminali abusa del circuito di pagamenti internazionale per le proprie operazioni truffaldine. Si serve di un trojan denominato Odinaff, e di altro malware già nell'arsenale del gruppo Carbanak
  • AttualitàAndroid, scovato nuovo trojan bancarioI ricercatori portano alla luce una nuova minaccia per l'OS mobile di Google, una piattaforma sempre più interessante per i cyber-criminali soprattutto sul fronte bancario e finanziario. E il nuovo trojan parla anche italiano
  • AttualitàDoubleLocker, il ransomware per Android diventa creativoESET ha scovato una nuova minaccia per Android particolarmente sofisticata, un malware che cripta i file dell'utente (e li cripta per davvero) garantendosi il pieno controllo del dispositivo in maniera piuttosto "originale"
  • AttualitàBrasile, la carica dei trojan bancariUna minaccia tradizionalmente relegata al Paese sudamericano si fa sempre più complessa, e forse si prepara ad espandersi anche in altre zone del pianeta. A rischio gli account bancari degli utenti
  • AttualitàLokiBot, nuovo trojan bancario per AndroidScovato un malware per la piattaforma mobile di Google pensato per compromettere gli account bancari degli utenti, e per comportarsi da ransomware (almeno in superficie) nel caso in cui si provi ad eliminare l'infezione