mercoledì 2 luglio 2014

Emotet, malware bancario impiega nuove abilità di Network Sniffing


C'è ancora un altro motivo per diffidare da email di spam sui bonifici bancari o fatture, perché si potrebbe essere portatori di un nuovo malware progettato in modo intelligente, che ruba le informazioni finanziarie. La maggior parte dei programmi Trojan rubano informazioni bancarie degli utenti iniettando form canaglia in sessioni di navigazione Web, ma un malware appena scoperto richiede un approccio diverso e sfrutta le API di rete del browser per intercettare il traffico in uscita.

I laboratori Trend Micro, leader globale nella sicurezza per il cloud, hanno rilevato un nuovo malware che ruba le informazioni degli utenti intestatari di conti presso alcune banche tedesche. Il malware è stato denominato EMOTET e si contraddistingue dai precedenti perché sfrutta abilità di "network sniffing", ovvero intercetta le informazioni che transitano in rete. Un aspetto interessante di Emotet è che crittografa i dati rubati e li memorizza nel registro del sistema.

Gli altri malware bancari, come ad esempio ZeuS, si affidavano solo ad attività di phishing o al furto di informazioni attraverso la compilazione di form da parte dei malcapitati. Emotet si propaga attraverso messaggi spam, correlati a transazioni bancarie o operazioni di fatturazione. L'utente che riceve queste e-mail, pensando si tratti di comunicazioni della propria banca, è persuaso dal cliccare un link che porta al download del malware nel sistema. 


Una volta scaricati i suoi vari componenti, incluse informazioni sulle banche oggetto dell'attacco, il malware intercetta il traffico di rete e compara i siti delle banche ai quali l'utente ha avuto accesso con le stringhe contenute nel file di configurazione scaricato in precedenza. Se le stringhe corrispondono, ovvero se le informazioni dell’utente coincidono con quelle della banca, il malware assembla i dati facendo corrispondere l’URL con i dati inseriti e crittografa queste informazioni in un registro. 

Il componente principale Emotet scarica un file DLL e lo immette in tutti i processi in esecuzione sul sistema, tra cui browser web. Il file è in grado di monitorare il traffico di rete in uscita da tali processi e cercare stringhe specificate nel file di configurazione. Il componente DLL può anche intercettare dati da sessioni di navigazione crittografate perché si aggancia direttamente nelle API di rete (Application Programming Interface) utilizzati dai browser.

Questo metodo di "network sniffing" per il furto dati rende molto più difficile rilevare operazioni sospette da parte dell'utente, poiché non sono visibili delle attività anomale, come ad esempio pagine strane di phishing o form addizionali da compilare. L'utente prosegue le sue operazioni senza rendersi conto che le informazioni sono state rubate. Il maggior numero di infezioni Emotet sono state rilevate in Europa, soprattutto in Germania. Tutte le informazioni sono disponibili dal blog Trend Micro.

Nessun commento:

Posta un commento