mercoledì 9 marzo 2011

Trojan bancari dirottano connessioni SSL certificate dell'online banking


Un ricercatore di sicurezza Symantec avverte che un nuovo trojan bancario è in grado di dirottare delle connessioni SSL tra i browser e i siti di online banking in un modo che è difficile da individuare. Le varianti di questo malware, che Symantec rileva come Trojan.Tatanarg, sono in circolazione dallo scorso ottobre, ma il suo codice si pensa essere basato su una minaccia di superiore entità chiamata W32.Spamuzle. Il trojan ha un'architettura modulare, con componenti separati per la gestione di diversi compiti, e in più la funzionalità di malware bancario. Si può iniettare il codice canaglia HTML nelle pagine (attacchi di tipo man-in-the-browser), che disgregano il software antivirus, disinstallano il trojan bancario e consentono l'accesso remoto di Windows.


Dispone inoltre di una componente backdoor attraverso la quale gli aggressori possono emettere comandi per controllare i computer infetti. Tuttavia, la funzionalità più interessante di questo trojan è la sua capacità di funzionare come un proxy tra il browser e i siti Web protetti con SSL. Questo si ottiene col dirottamento della connessione SSL legittima del browser e ne istituisce alla fine una nuova utilizzando un certificato autofirmato. Gli avvisi sono bloccati e le eccezioni vengono aggiunte automaticamente nel browser rendendo l'attacco quasi invisibile agli utenti. Oltre ad essere in grado di rubare informazioni, offrendo anche una porta posteriore, permette di terminare i processi in esecuzione sul computer infetto, eliminare i cookie del browser, eseguire programmi arbitrari, per riavviare il computer.


Il prefisso HTTPS è presente, come il lucchetto che indica una connessione SSL. L'unico modo che ha l'utente per rendersi conto che non sta usando il suo certificato di banca sarebbe quello di controllare manualmente l'emittente. Tatanarg è uno dei trojan bancari diversi che è apparso dopo la repressione delle operazioni baste sul cyberfraud Zeus dello scorso anno. Sembra che le bande criminali hanno cominciato a sviluppare il loro malware personalizzato. Cercano anche di elaborare metodi di attacco innovativi. Proprio la scorsa settimana, Trusteer ha riferito circa un trojan chiamato Oddjob browser che costringe a tenere le sessioni aperte dopo che gli utenti pensano di essersi disconnessi con successo. La caratteristica più evidente Oddjob è che è stato progettato per intercettare le comunicazioni degli utenti tramite il browser. 

Esso utilizza questa capacità di rubare / iniettare informazioni e terminare le sessioni utente all'interno di Internet Explorer e Firefox. Trusteer ha estratto i dati di configurazione di Oddjob e ha concluso che è in grado di eseguire diverse azioni mirate sui siti web, a seconda della sua configurazione. Il codice è in grado di registrare richieste GET e POST, afferrando pagine intere, chiude le connessioni e l'iniezione di dati in pagine web. Tutte le richieste di accesso / pagine intercettate vengono inviati al server C and C in tempo reale, permettendo di eseguire ai truffatori la sessione dirottata, anche in tempo reale, ma nascosta all'utente legittimo del conto bancario online.


Individuando il token ID di sessione - che le banche utilizzano per identificare la sessione on-line banking di un utente - i truffatori possono elettronicamente rappresentare l'utente legittimo e completare una serie di operazioni bancarie. La differenza più importante degli hacking tradizionali è il fatto che i truffatori non hanno bisogno di accedere al computer dell'online banking - ma si limitano a cavalcare la sessione esistente e autenticata, come un bambino potrebbe scivolare inosservato attraverso un tornello in un evento sportivo, la stazione ferroviaria , ecc. Un'altra caratteristica interessante di Oddjob, che lo distingue dalla folla dei malware, è la sua capacità di bypassare la richiesta di disconnessione di un utente di chiusura della sessione online. 

Perché l'intercettazione e la cessazione avviene in background, l'utente legittimo pensa di avere effettuato il logout, quando in realtà i truffatori rimangono connessi, consentendo loro di massimizzare il potenziale di profitto delle loro attività fraudolente. L'ultimo aspetto degno di nota di Oddjob è che la configurazione del malware non viene salvata su disco - un processo che potrebbe innescare una domanda di analisi di sicurezza - invece, una nuova copia della configurazione viene recuperata dal server C and C ogni volta che una si apre una nuova sessione del browser. Si consiglia agli utenti di tenere sempre i loro programmi antivirus aggiornati per garantire loro la protezione più aggiornata disponibile. Inoltre, se possibile, l'online banking deve essere eseguito da un computer dedicato.

Nessun commento:

Posta un commento