Se usi Websurf24, accetti il modo in cui impieghiamo i cookies per migliorare la tua esperienza.

Chthonic, il virus che rapina i conti correnti

Scritto da Gianluca Celentano on . Postato in Informatica

 

Già colpiti 15 Stati e oltre di 150 banche. Scopri come ci si infetta e i rischi che si corrono.

Banche e correntisti non possono più dormire sonni tranquilli, da quando gli analisti esperti di sicurezza dei Kaspersky Labs hanno scoperto un nuovo virus battezzato Trojan-Banker.Win32.Chthonic, che ha già intaccato 20 sistemi di pagamento in almeno 15 stati (tra cui Italia, Russia, Spagna, Regno Unito, Stati Uniti e Giappone) e 150 banche.

 

Distribuzione percentuale degli attacchi

Distribuzione percentuale degli attacchi (fonte Securlist)

 

In realtà il virus rappresenta un'evoluzione del trojan ZeuS, già avvistatosi nel 2007, dal momento che adotta il medesimo sistema di criptaggio della macchina virtuale ZeuS AESn e ZeuS V2 e lo stesso downloader del bot Andromeda.

 

COSA SI RISCHIA?

Il virus, che è davvero subdolo, non solo è in grado di accedere alle informazioni digitate tramite alla tastiera (mediante un keylogger), ma persino di inserire proprio codice e proprie immagini (web injection) all'interno delle pagine visualizzate tramite il browser utilizzato.

In questo modo è in grado di acquisire il recapito telefonico della vittima, le sue password temporanee  (quelle generate con le chiavette OTP) e i PIN, oltre a tutti i dettagli del login e delle password inserite dall'utente.

Una volta in posseso di queste informazioni è possibile violare senza problemi i conti correnti on line.

 

Screenshot dell'online banking prima e dopo la web injection

Screenshot di un online banking giapponese prima e dopo la web injection - fonte Securlist
Nell'immagine di sinistra compare un'avviso d'allarme della banca, che il virus (a destra) riesce
ad eliminare nella schermata visualizzata dall'utente sul proprio computer.

(clicca sull'immagine per ingrandirla)

 

Gli aggressori sono anche in grado di prendere il controllo a distanza del computer della vittima (tramite protocollo VNC) e persino di accedere a webcam e microfoni, mediante i quali è in grado di registrare filmati ambientali, completi di audio.

 

COME CI SI INFETTA?


Il virus Chthonic adopera diverse tecniche per propagarsi:

1) invia email contenenti degli exploit;

2) scarica il malware sul computer della vittima adoperando il bot Andromeda (Backdoor.Win32.Androm secondo la classificazione di Kaspersky Lab);

Quando inviano messaggi, contenenti gli exploit, i cybercriminali allegano uno speciale documento RTF, realizzato appositamente per sfruttare la vulnerabilità dei prodotti Microsoft Office identificata come CVE-2014-1761. Il file allegato ha un'estensione di tipo .DOC per renderlo meno sospettabile.

Nel passaggio successivo, sfruttando la vulnerabilità dell'exploit, un downloader scarica il Trojan sul computer della vittima.

Una volta fatto, inietta il proprio codice all'interno del processo msiexec.exe. Come già detto sembra che il downloader impieghi il codice sorgente del bot Andromeda.

Il downloader contiene  una configurazione criptata (adopera un'encryption simile a quella adoperata dalla virtual machine usata in KINS and ZeusVM). I dati principali contenuti nella configurazione, includono: una lista di С&С servers, una chiave a 16-byte per encryption RC4, lo UserAgent e un botnet id.

Per approfondire ulteriormente le dinamiche dell'infezione, rimandiamo alla consultazione di Securlist.

 

COME DIFENDERSI

Per difendersi da Chthonic, occorre adottare sia le misure minime tradizionali:

  • impiegare un firewall professionale all'ingresso della propria rete locale;
  • mantenere aggiornati sistemi operativi e software dei pc della propria rete locale;
  • impiegare un valido antivirus, tenendolo costantemente aggiornato sia per la parte software, che per quanto riguarda le definizioni dei virus;
  • adottare un sistema anti-spam;

 

...che, se possibile, misure ulteriori quali:

  • leggere le email in fomato testo, invece che in fomato html;
  • disinstallare Microsoft Office e impiegare al suo posto suite alternative grauite, come Libre Office;
  • rivolgersi ad un consulente specializzato per valutare la sicurezza e l'affidabilità dei propri sistemi;

Resta comunque utile avere attivi gli avvisi sms e a mezzo email per le operazioni a debito operate sul proprio conto corrente e se la propria banca lo consente, limitare l'ammontare massimo delle singole operazioni.

Gli esperti, in ogni caso, invitano a tenere gli occhi aperti, preannunciando possibili mutazioni del codice impiegato da Chthonic, che ne renderebbero più difficile l'individuazione.

 

Gianluca Celentano