Slave: una nuova minaccia per i conti correnti

malware finanziari
Gli esperti di sicurezza F5 hanno scoperto Slave, un nuovo malware utilizzato per le frodi bancarie online.
Francesco Destri

Collaboratore Francesco segue il mondo della tecnologia dal 1999, scrivendo per numerose testate online e cartacee. È specializzato soprattutto in tecnologia B2B, hardware e nuovi m... Leggi tutto

F5 Networks ha scoperto e analizzato l’evoluzione nel corso degli ultimi quattro mesi di Slave, un trojan bancario apparso per la prima volta a marzo del 2015 e che, a oggi, ha già infettato i browser di molti utenti e raggiunto un livello di sofisticazione che lo rende più difficile da identificare e utilizzabile per molteplici tipologie di attacco.

Prima di scoprire Slave, F5 aveva notato una variante malware sconosciuta che scambiava i numeri IBAN, in modo da frodare gli account destinatari sostituendo il numero nel momento stesso della transazione. Slave è un malware trojan scritto in Visual Basic che funziona in modo molto simile, sfruttando tecniche “man-in-the-browser” con grande somiglianza al malware Zeus.

L’ultima versione di Slave analizzata da F5 Networks comprende la creazione di chiavi di registro con nomi random, infezioni IE, Firefox e Chrome, kernel32.dll hooks e molto altro ancora. In pratica questo malware compie i suoi attacchi utilizzando delle “esche” nel processo di Internet Explorer e immettendo il suo codice nelle pagine web dei servizi bancari. Questo codice può poi eseguire una serie di funzioni tra cui il furto delle credenziali e l’accesso all’account, lo scambio dell’IBAN o anche il trasferimento automatico dei fondi.

La rapida evoluzione di Slave dimostra che il cybercrime è alla continua ricerca di nuove forme di attacco sempre più evolute e difficili da contrastare

Una delle funzionalità più interessanti e al tempo stesso temibili di Slave è il controllo timestamp. Il malware viene impostato per essere eseguito entro una tempistica precisa e resta quindi praticamente “valido” solo per alcune settimane, probabilmente evitando così la possibile individuazione.

“La rapida evoluzione di Slave dimostra che il cybercrime è alla continua ricerca di nuove forme di attacco sempre più evolute e difficili da contrastare. Sia che si utilizzi il phishing, le tecniche Man-in-the-Middle o Man-In-The-Browser o altre attività basate sui trojan come web injection, form hijacking, modifiche delle pagine o modifiche delle transazioni, i rischi associati alle frodi web non si possono eliminare e colpiscono organizzazioni di ogni genere” ha dichiarato Paolo Arcagni, Systems Engineer Manager Italy&Malta di F5 Networks.

Recentemente F5 ha anche realizzato una ricerca in ambito sicurezza intervistando i responsabili IT delle aziende del settore finanziario. Il 48% di essi ha dichiarato di aver subito perdite finanziarie notevoli negli ultimi due anni e ha sottolineato la preoccupazione e la sempre maggiore esposizione della propria organizzazione e dei propri clienti alle minacce legate alle frodi web.

F5 NetworksMalwareSave
// Data pubblicazione: 06.07.2015
Condividi:
 

Hacking Team, il produttore italiano di software-spia è stato hackerato

Hacking Team, il produttore italiano di software-spia è stato hackerato
Diffuso un file da 400 GB contenente email, documenti riservati e il codice sorgente dei programmi destinati a forze di polizia e organizzazioni di intelligence
Andrea Grassi

Editor del network DigitalWorld ItaliaGiornalista professionista con una formazione tecnico-scientifica, dal 1995 ha lavorato per alcune delle più importanti testate di informatic... Leggi tutto

Hacking Team è una software house con sede a Milano che realizza strumenti di intercettazione e spionaggio destinati a forze dell’ordine e agenzie di Intelligence. Nelle ultime ore, dal suo profilo Twitter – anch’esso compromesso – sono stati pubblicate immagini di email riservate del fondatore e CEO di HT David Vincenzetti e un link per scaricare da BitTorrent e Mega un file contenente 400 GB di informazioni riservate. Anche l’immagine del profilo è anche stata modificata e ora riporta la scritta “Hacked Team”.

Hacked Team hackingteam TwitterIn passato Hacking Team è stata duramente criticata da diverse associazioni per la tutela dei diritti umani e anche presa di mira da Anonymous, perché accusata di vendere i proprio software anche a paesi con un basso livello di tutela dei diritti civili, che avrebbero utilizzato gli strumenti prodotti dall’azienda per spiare e incarcerare giornalisti, dissidenti politici e attivisti nel campo dei diritti umani.

Il software Remote Control System di Hacking Team permette di prendere il controllo del pc del “bersaglio” e monitorarne tutte le attività e le comunicazioni.

Tra le organizzazioni che hanno espresso critiche sull’operato di Hacking Team c’è il Citizen  Lab dell’Università di Toronto, che in un report diffuso lo scorso marzo afferma che Remote Control System è stato utilizzato per spiare un giornalista etiope dell’Ethiopian Satellite Television Service, anche sul suolo americano.

Alcuni dei clienti di Hacking Team hanno precedenti discutibili in materia di rispetto dei diritti umani

 

Sempre secondo i report del Citizen Lab, il software viene usato in 21 paesi tra cui: Azerbaijan, Colombia, Egitto, Etiopia, Ungheria, Italia, Kazakistan, Corea, Malesia, Messico, Marocco, Nigeria, Oman, Panama, Polonia, Arabia Saudita, Sudan, Tailandia, Emirati Arabi Uniti e Uzbekistan. Il report fa rilevare che alcuni di questi paesi hanno precedenti discutibili in materia di tutela dei diritti umani.

Dal canto suo, in un comunicato del 10 marzo, affermava che – pur non potendo entrare nel merito dei singoli clienti per motivi di riservatezza – Hacking Team è l’unica azienda del suo settore a rispettare le linee guida dell’accordo internazionale Wassenaar, che regola e controlla le esportazioni di armi leggere. L’azienda si riserva anche di sospendere il supporto a quei paesi che utilizzano il software in violazione delle condizioni contrattuali, che ne vietano l’utilizzo a fini illeciti.

Hacking Team è l’unica azienda del settore a rispettare le linee guida dell’accordo Wassenaar, che regola l’export di armi leggere

Secondo Christopher Soghoian, membro del progetto per la libertà di stampa, privacy e tecnologia dell’Unione Americana per i Diritti Civili (ACLU), il file diffuso su BitTorrent conterebbe 400 GB di dati riservati, tra cui un file Excel con la lista dei clienti governativi di Hacking Team, la data di inizio del contratto e il fatturato generato a oggi.

Se quelle informazioni fossero vere, potrebbero danneggiare grandemente Hacking Team, che ha finora cercato di difendere sé stessa e i suoi clienti dalle accuse dei critici.

Abbiamo raggiunto la sede milanese di Hacking Team al telefono, ma l’indirizzo email che ci è stato fornito per richiedere informazioni e commenti da parte dell’azienda risulta al momento non funzionante, forse per via di ulteriori conseguenze dell’attacco informatico.

(Parti di questo articolo sono riprese dall’articolo di Jeremy Kirk per l’IDG News Service)

Hacking TeamPrivacy
// Data pubblicazione: 06.07.2015
Condividi: