Con il termine “Banking Trojan” viene identificata una particolare categoria di malware, programmi malevoli, che permette ai cybercriminali di rubare le credenziali bancarie delle vittime e, più in generale, di effettuare frodi online, provocando danni per miliardi di dollari. Per fare ciò i Banking Trojan effettuano quelli che sono chiamati attacchi “Man in the Browser” in cui i Trojan prendono controllo del browser della vittima (es. Chrome, Firefox, Edge, IE) riuscendo ad intercettare e modificare tutti i dati utilizzati dal browser stesso. Tra questi anche i dati, come le password, inseriti dalla vittima nei form delle pagine web. L’obiettivo ultimo dei cybercriminali, una volta rubate informazioni sensibili e password, è quello di effettuare frodi attraverso transazioni fraudolente dagli account delle vittime.
Dopo essere passati in secondo piano rispetto ai recenti ransomware, i Banking Trojan sono tornati in cima alla lista delle minacce informatiche nei primi mesi del 2018. Secondo i dati pubblicati da Proofpoint, quest’ultimi sono infatti tra i malware maggiormente presenti nelle e-mail, avendo superato anche la categoria dei ransomware, e nei primi mesi del 2018 hanno rappresentato circa il 59% di tutti i campioni pericolosi. Tra questi, Emotet è stata la famiglia più distribuita, rappresentando il 57% tra i Banking Trojan ed il 33% tra tutti i campioni rilevati.
Indice degli argomenti
Infezioni e attacchi
I vettori di infezione, ovvero i canali con cui vengono diffusi i Banking Trojan, sono principalmente tre. Innanzitutto tramite e-mail di phishing, in cui si invita a cliccare su determinati link o scaricare ed aprire allegati. In particolare queste e-mail vengono spesso mascherate per far sembrare che siano state inviate da persone conosciute e fidate, come ad esempio un amico o un collega di lavoro, o invitano a scaricare aggiornamenti o nuovi software. In secondo luogo questi Trojan sono distribuiti sfruttando vulnerabilità dei programmi installati, specialmente quelle dei browser. In questo scenario, tecnicamente chiamato “drive-by-download”, l’utente è portato a visitare una pagina web che contiene del codice malevolo per sfruttare una vulnerabilità del browser (o di un qualche componente aggiuntivo), scaricare il malware ed eseguirlo silenziosamente. Infine un’altra tecnica usata dai cybercriminali per infettare le vittime è quella di modificare programmi esistenti inserendo funzionalità malevole. Questi programmi vengono poi distribuiti in rete e quando installati su un computer, installano ulteriori malware (come ad esempio i Banking Trojan). In questo caso le vittime vedranno solo le parte benigna del programma, mentre la componente malevola agirà silenziosamente in background.
Dopo l’infezione i Banking Trojan sfruttano tecniche di “hooking” per agganciarsi alle API usate dai browser e riuscire ad eseguire codice malevolo in grado di intercettare tutti i dati che fluiscono attraverso il browser stesso, anche quando la connessione utilizzata è cifrata. Inoltre questo tipo di malware contiene anche un modulo chiamato “WebInject” che permette ai cybercriminali di modificare le pagine web a runtime. Questo modulo è usato dai cybercriminali per lo più al fine di inserire nuovi campi all’interno dei form delle pagine web con lo scopo di rubare ulteriori informazioni. In Figura 1 è mostrato un esempio di questi attacchi: sulla sinistra viene mostrata la homepage del sito di una nota banca; sulla destra viene mostrato come la stessa pagina è renderizzata su una macchina infetta da un campione di Banking Trojan. In quest’ultimo caso il Trojan ha inserito un ulteriore form per riuscire a rubare informazioni aggiuntive delle vittime, dichiarando che queste informazioni sono richieste dalla banca per verificare l’identità della vittima.
Ecosistema e underground markets
Uno degli aspetti più preoccupanti dei Banking Trojan è il fatto che chiunque, senza possedere delle competenze tecniche elevate, può effettuare questi attacchi. Infatti questi trojan vengono letteralmente venduti online, nei cosiddetti “underground markets”, in pacchetti (detti “toolkit”) che includono pannelli di amministrazione, builders e procedure di personalizzazione. La conseguenza più pericolosa è rappresentata dal fatto che qualsiasi persona malintenzionata, indipendentemente dalle abilità possedute, può acquistare uno di questi pacchetti e creare il suo Trojan personalizzato seguendo una guida. Inoltre i cybercriminali offrono spesso supporto e personalizzazioni a pagamento, rendendo questo ecosistema ancora più pericoloso.
Evoluzione e famiglie di banking trojan
Esistono tantissime famiglie diverse di Banking Trojan e nuove varianti sono costantemente rilasciate dai cybercriminali allo scopo di evadere gli antivirus e rendere sempre più difficile per vittime e analisti individuare le frodi che essi portano a termine.
Le prime famiglie di Banking Trojan sono state Zeus e SpyEye, che hanno fatto da precursori per le attuali famiglie. Oggi, tra le famiglie più diffuse ci sono Emotet, Dridex, Cridex, Gozi, Dyre, Neverquest, Ursnif (che a giugno ha attaccato molte organizzazioni italiane), e Tinba. Notiamo anche LokiBot, banking trojan che diventa ransowmare quando l’utente prova a toglierli i privilegi amministratore (su Android).
Col tempo, oltre al crescere nel numero di famiglie diverse, anche le funzionalità di questi Trojan si sono evolute. Mentre gli attacchi nei primi anni 2000 facevano uso di semplici “keyloggers”- programmi che intercettano i tasti digitati sulla tastiera- la maggior parte delle famiglie da Zeus (2006) in poi adottano sofisticate tecniche di hooking e WebInject per prendere il controllo dei browser.
BackSwap
Recentemente, è stata scoperta una nuova famiglia che adotta delle nuove tecniche mai utilizzate in precedenza. Si tratta di BackSwap, rilevata per la prima volta da ESET a marzo 2018. BackSwap utilizza un approccio completamente diverso dai Trojan bancari già conosciuti perché non interagisce con i browser a livello di processo, bensì monitorando l’interazione con gli utenti. Invece di effettuare l’hooking delle API di rete, come tutti i suoi predecessori, BackSwap effettua l’hooking degli eventi Windows relativi all’interfaccia utente dei vari programmi, come ad esempio EVENT_OBJECT_FOCUS,EVENT_OBJECT_SELECTION,EVENT_OBJECT_NAMECHANGE. In questo modo, cercando ad esempio stringhe che iniziano per “HTTP”, BackSwap riconosce quando la vittima visita determinati siti bancari. Una volta identificato il bersaglio, il Trojan carica del codice JavaScript malevolo nella pagina browser. Anche in questo caso BackSwap utilizza funzionalità relative all’interfaccia utente. Infatti il codice JavaScript viene caricato direttamente nella barra degli indirizzi del browser simulando la pressione dei tasti CTRL+L e CTRL+V. Durante questo processo la finestra del browser è resa temporaneamente invisibile. L’utente quindi noterà semplicemente un blocco del browser per un istante, senza accorgersi dell’attacco. Questa tecnica risulta molto pericolosa in quanto semplice ed efficace sui diversi browser. BackSwap infatti è in grado di applicarla a Google Chrome, Mozilla Firefox ed Internet Explorer, aggirando le protezioni di questi browser. Una volta caricato il codice JavaScript malevolo, BackSwap sostituisce il codice del conto di destinazione con quello dell’attaccante quando la vittima sta effettuando una transazione online. Il cybercriminale riceverà quindi il denaro al posto del corretto beneficiario. Questo tipo di attacco è molto pericoloso in quanto non può essere contrastato dalle classiche misure di sicurezza dell’home banking (OTP, codici di autorizzazione, ecc.) in quanto l’utente risulta già autenticato al sistema.
Come Difendersi
- Essere prudenti: non aprire allegati delle e-mail provenienti da sconosciuti ed essere sospettosi anche quando sembra che arrivino da persone fidate; prestare attenzione ai link che si aprono, anche quelli girano sui social network.
- Non eseguire macro su file Microsoft Office (è possibile disabilitare le macro dalle impostazioni).
- Installare solo software originale, non contraffatto e scaricando da sorgenti controllate, ad es. Windows App Store. Controllare inoltre di scaricare software sempre in HTTPS e mai in HTTP.
- Installare prontamente aggiornamenti e security patch dei programmi e del sistema operativo.
- Installare firewall e software antivirus, e tenerli sempre attivi ed aggiornati.
- Abilitare le notifiche SMS dell’home banking. Anche se alcuni Trojan presentano una componente mobile in grado di dirottare gli SMS è comunque un modo efficace per monitorare l’account.
- Abilitare, o richiedere alla banca, autenticazione in due fattori per i pagamenti online e protocollo di sicurezza 3D-Secure (MasterCard SecureCode, Verified by Visa).
- In caso di attacco contattare immediatamente la banca per bloccare le carte e contestare le transazioni in questione. In alcuni casi è possibile che le transazioni non siano ancora avvenute.
