I trojan sono forse le tipologie di malware più comuni nel panorama delle cyber minacce e la loro principale caratteristica è quella di riuscire a camuffarsi in modo tale da non far intendere agli utenti il loro vero obiettivo.
Si tratta, infatti, di un software che di solito deve essere eseguito dall’utente o da un altro malware per funzionare correttamente. Il codice maligno tipicamente penetra nel sistema target sotto le spoglie di una utility o di un tool. Tuttavia, il compito principale dei trojan è quello di eseguire una (o più) di queste azioni dannose:
- cancellare i dati dell’utente o del sistema;
- modificare i dati;
- crittografare i dati;
- copiare i dati;
- inviare e ricevere file;
- rallentare il funzionamento del computer;
- rallentare la rete.
Indice degli argomenti
I trojan più pericolosi
I trojan si sono evoluti nel tempo in diverse forme più complesse come le backdoor (che possono gestire computer da remoto) e i downloader (che possono scaricare e installare altri programmi dannosi). Analizziamone quindi in dettaglio le tipologie più comuni.
Backdoor
I trojan backdoor permettono ai criminali di controllare un computer a distanza. Gli aggressori possono eseguire un’ampia gamma di azioni su un computer infetto, tra cui la ricezione, l’invio, la cancellazione o il lancio di file, la visualizzazione di avvisi sullo schermo o il riavvio dei PC.
Questi trojan possono anche aiutare gli aggressori a installare e lanciare codice di terze parti sul dispositivo della vittima, registrare i tasti premuti (con programmi “keylogger“) o accendere la videocamera e il microfono. Talvolta le backdoor vengono utilizzate per gestire un gruppo di computer infetti riuniti in una botnet.
ArcBombs
Questi trojan sono archivi compressi speciali, progettati per comportarsi in modo anomalo quando gli utenti cercano di scompattarli. Solitamente, infatti, una volta aperti, gli archivi ArcBomb bloccano o rallentano gravemente il sistema.
Possono nascondere un oggetto che contiene dati identici e ripetitivi, zippati in un piccolo archivio. Ad esempio, 10 GB di dati compressi in un archivio di 400 KB. È evidente che la decompressione di un simile archivio è espressamente mirata a consumare tutte le risorse di calcolo della macchina target.
Trojan bancari
I trojan bancari sono creati per sottrarre dati riservati degli utenti come le credenziali di accesso, le password, l’autenticazione via SMS o le informazioni sulla carta di credito.
Tra i più comuni e conosciuti:
- Emotet: rilevato per la prima volta nel 2014, Emotet è un malware inizialmente creato per rubare dati bancari. Alle versioni successive sono state aggiunte le funzioni di spam e di download.
- TrickBot: Creato nel 2016, TrickBot è ancora oggi uno dei trojan bancari più diffusi. Oltre a prendere di mira i sistemi informatici delle banche, TrickBot sottrae anche criptovaluta dai portafogli Bitcoin. Questo malware è composto da diversi moduli uniti con un file di configurazione. I moduli hanno compiti specifici come il furto di credenziali, il raggiungimento della “persistenza” (ovvero la presenza prolungata in un sistema informatico) o la crittografia.
Clicker
Questi trojan hanno il compito di accedere a siti internet e server, interagendo direttamente con il browser senza che l’utente si accorga di nulla. I clicker possono anche sostituire i file host Windows dove sono indicati gli indirizzi standard.
I clicker vengono generalmente utilizzati per:
- aumentare il volume di traffico del sito web per ottenere più incassi dagli annunci;
- eseguire attacchi DDoS;
- reindirizzare le potenziali vittime verso pagine web contenenti schemi truffaldini o malware.
DDoS
I trojan DDoS sono destinati a lanciare attacchi “Distributed Denial of Service” verso l’indirizzo IP della vittima.
Durante tali attacchi, vengono inviate un numero enorme di richieste d’accesso da più dispositivi infetti, sovraccaricando l’obiettivo e impedendo il suo corretto funzionamento.
Per eseguire con successo un attacco DDoS, i cyber criminali devono infettare molti computer con questo malware. A tale scopo, ricorrono spesso allo spam di massa e al phishing. Una volta pronta la botnet, tutti i computer infettati iniziano ad attaccare contemporaneamente la vittima.
Downloader
I downloader possono scaricare e lanciare software dannosi, inclusi altri trojan. I dati relativi alla posizione e al nome dei programmi che devono essere scaricati sono memorizzati all’interno del codice o possono essere ottenuti dal server controllato dall’autore del trojan.
I downloader sono spesso utilizzati come punto d’appoggio iniziale all’interno del sistema, elemento chiave della prima fase d’attacco ransomware. I downloader poi scaricano il resto del payload per completare l’offensiva.
Dropper
Questi software sono progettati per installare malware in incognito che contengono altri malware nascosti all’interno del loro codice (per prevenire il rilevamento da parte di un software antivirus).
Molti programmi antivirus non riescono infatti a scansionare e analizzare tutti i componenti presenti nel dropper.
Di solito, questi malware vengono salvati in una directory temporanea di Windows, per poi venire eseguiti senza alcuna notifica.
FakeAV
Un FakeAV cela le sue sembianze fingendosi un antivirus. Mostra notifiche e avvisi di sicurezza agli utenti, simili a quelli di un antivirus vero e proprio, con la differenza che tali messaggi hanno l’obiettivo di estorcere denaro alle vittime.
Gli utenti inesperti tendono a spaventarsi, acquistando immediatamente la versione completa del malware, al fine di liberarsi di minacce alla sicurezza inesistenti.
Game thief
Come nel caso dei trojan bancari, i malware “Game thief” hanno il compito di sottrarre informazioni riservate. Invece di rubare documenti e dati relativi ad account finanziari, questi Trojan sottraggono informazioni da account di gioco online (bookmaker o casinò).
Questi trojan utilizzano poi e-mail, FTP e altri metodi di trasferimento dati per passare le informazioni ai criminal hacker.
Trojan di messaggistica istantanea
I trojan “IM” (Instant Messaging) sottraggono i dati di login per accedere a servizi di messaggistica istantanea come Skype o WhatsApp.
Il malware invia poi tali dati all’aggressore: l’accesso può essere utilizzato per raccogliere ulteriori informazioni per sferrare attacchi più elaborati o chiedendo semplicemente un “riscatto” al legittimo proprietario per riavere l’account violato.
Come difendersi dai trojan
La maggior parte di questi malware richiede l’autorizzazione dell’utente per funzionare correttamente. Spesso inconsapevolmente, si lancia un malware aprendo un allegato e-mail o dando l’assenso a macro nei documenti Office.
Per questo motivo, la migliore protezione contro i trojan è spesso la formazione degli utenti, per dar loro strumenti utili per distinguere un file potenzialmente dannoso e soprattutto il tramite con cui questo viene recapitato.
Non a caso, i trojan vanno a braccetto con il phishing.