Silence trojan, organizzazioni finanziarie nel mirino

Silence trojan, organizzazioni finanziarie nel mirino

Un nuovo attacco prende di mira gli istituti finanziari russi e va alla ricerca delle vittime più adatte per penetrare a fondo nei sistemi bancari, con una tecnica già vista in passato usata da un noto gruppo di cyber-criminali
Un nuovo attacco prende di mira gli istituti finanziari russi e va alla ricerca delle vittime più adatte per penetrare a fondo nei sistemi bancari, con una tecnica già vista in passato usata da un noto gruppo di cyber-criminali

Il team GReAT di Kaspersky Lab ha scovato un nuovo attacco indirizzato contro le organizzazioni finanziarie , con vittime localizzate soprattutto in Russia ma anche in Paesi come Malesia e Armenia. Come al solito l’obiettivo principale consiste nel compromettere i sistemi più sensibili per trasferire fondi in libertà , e il modo di raggiungerlo tradirebbe una comunanza di intenti – se non una vera e propria corrispondenza – con un gruppo già noto in passato per questo genere di operazioni.

La nuova minaccia bancaria si chiama “Silence”, suggerisce Kaspersky, perché è progettata per passare inosservata mentre comunica con i server di comando&controllo in mano agli ignoti cyber-criminali. Prima di tutto Silence prende il controllo dell’account di posta elettronica di un dipendente della banca presa di mira , risultato ottenuto tramite l’impiego di malware o con il riutilizzo di credenziali di accesso già emerse tramite le numerose mega-brecce di questi anni.

Da questo primo account compromesso parte poi una campagna di phishing mirato più sofisticata, dove un file CHM (HTML compilato) viene inviato a vari dipendenti della banca per spingere le vittime all’esecuzione del codice JavaScript integrato . Il listato malevolo scarica quindi un nuovo componente dell’infezione, con il compito di raccogliere vari dati sul PC infetto e poi spedirli ai server remoti.

Se i criminali identificano il bersaglio come un sistema di valore all’interno dell’organizzazione aziendale, dai suddetti server remoti viene scaricato ed eseguito il componente principale dell’infezione: il trojan Silence si pone quindi “in ascolto”, catturando schermate del PC in successione veloce e inviandole ai cyber-criminali.

Da queste schermate è poi possibile estrapolare dati preziosi per penetrare ancora più a fondo nell’organizzazione colpita , fino eventualmente a raggiungere i sistemi da cui è possibile rubare il denaro vero e proprio.

Kaspersky non rivela l’entità dei profitti ricavati dall’azione malevola di Silence, anche se gli analisti evidenziano come i meccanismi di funzionamento del trojan – incluso l’utilizzo di strumenti legittimi di Microsoft per evitare di far scattare allarmi di sicurezza – siano gli stessi già usati in passato dal gruppo noto come Carbanak .

Alfonso Maruccia

Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il
3 nov 2017
Link copiato negli appunti