Stando a quanto sostiene Check Point Software , lo scenario delle minacce informatiche brasiliano sta conoscendo una fase di sviluppo preoccupante : se in passato i trojan bancari del Paese erano progettati per agire tramite meccanismi in qualche modo basilari, i nuovi trend evidenziano una crescita in quanto a complessità tecnica che potrebbe avere effetti anche in ambito globale .
La security enterprise si riferisce in particolare a una minaccia identificata a maggio del 2017, un allegato malevolo distribuito attraverso e-mail spazzatura scritte in portoghese con lo scopo di indurre l’utente a visitare una pagina remota infetta da cui scaricare un file JAR.
Una volta arrivato sul sistema bersaglio, l’ applet JAVA contenuto nel file avvia il processo di installazione del trojan bancario vero e proprio. A infezione avvenuta, il malware stabilisce una connessione remota con il server dei cyber-criminali , mettendo al contempo sotto controllo le attività dell’utente sul sistema infetto.
I ricercatori non erano fin qui riusciti ad analizzare in dettaglio il comportamento del codice malevolo perché il malware faceva uso del codice di compressione “Themida”, ma ora che anche questo ostacolo è stato superato la nuova minaccia ha svelato le sue caratteristiche grazie al lavoro degli analisti.
L’interazione del malware con il sistema infetto prevede dunque il monitoraggio delle attività dell’utente, allertando il server di comando&controllo quando viene eseguito il login su un servizio finanziario. A quel punto il malware visualizza una falsa schermata di autenticazione , cosa che permette il furto delle credenziali di accesso e che viene infine camuffata con un falso messaggio di errore precompilato .
Una volta compromesse le credenziali di accesso – ed eventualmente il meccanismo di autenticazione a doppio fattore della banca – dice Check Point, i cyber-criminali possono agire indisturbati prelevando il denaro dal conto dell’utente .
Alfonso Maruccia