Il settore bancario-finanziario è nel mirino del cybercrime

Il settore bancario-finanziario dall’anno scorso è al centro del mirino del cybercrime. Lo conferma il rapporto “The Shifting Panorama of Global Financial Cybercrime” di IBMX-Force. Gli hacker per condurre i loro attacchi usano nuovi metodi e strumenti. Soprattutto malware. Il documento ha identificato 10 trojan in particolare: i più usati a livello globale. Questi sono Zeus, impiegato nel 28% dei casi; Neverquest, il 17, Gozi (16), Dridex (11), Ramnit (9), GozNym (7) Tinba, (6), Gootkit (3), Qadars (2) e Ronvix (1%). Il primo è una vecchia conoscenza degli specialisti della cyber security. Il suo codice sorgente nasce dall’interazione di altri 2 strumenti analoghi: Zeus Panda e Zeus Sphinx. Entrambi si trovano facilmente nei forum sul dark web.

Da Neverquest a Dridex

Neverquest è derivato dal trojan Gozi, uno dei primi malware a prendere di mira i servizi di home banking. L’anno scorso ne è apparsa una nuova versione, la 2, che integra diversi plugin. Questi gli permettono di aggiungere campi alle pagine web, utili per sottrarre le credenziali d’accesso. Peraltro, il malware punta anche a compromettere gli account legati ai servizi che commercializzano Bitcoin, di contabilità, agenzie governative e database pubblici. Gozi è, invece, uno spyware che monitora il traffico del network. Ruba anche le credenziali immagazzinate nei browser e nelle applicazioni mail. Usa un componente rootkit per nascondere le sue attività, i processi, i file e le informazioni di registro modificate. Dridex, noto anche come Bugat e Cridex, è specializzato nel rubare credenziali bancarie attraverso un sistema che usa le macro di Microsoft Word.

Da Ramnit a Tinba, il Tiny Banker trojan

Ramnit è nato nel 2010 come worm che usava hard disk mobili e network per diffondersi. Nel 2011 è stato trasformato in un banking trojan. È stato sconfitto dalle forze di polizia europee e poi è “risorto” diventando attivo a intermittenza nel panorama del cybercrime. Le sue ultime campagne sono state rivolte contro le banche in Canada, UK e Australia. GozNym è un trojan ibrido nato dai malware Nymaim e Gozi ISFB, sviluppato per attaccare espressamente il settore bancario e finanziario. Dai due codici, infatti, prende “il meglio”, in modo da amplificare la sua potenza. Tinba (Tiny Banker trojan) colpisce i siti internet delle istituzioni finanziarie. È una versione modificata dei vecchi Banker Trojans. È più piccolo, ma maggiormente potente. Lavora con attacchi man-in-the-browser e con il network sniffing.

Da Gootkit a Rovnix, che attacca il Giappone

Gootkit, scoperto nel 2014, è considerato uno dei banking trojan più sofisticati. È usato nelle frodi bancarie. Soprattutto nel Regno Unito e in altri paesi europei. Qadars, invece, è un malware simile a Zeus e Carberp. Nel 2013 ha cominciato ad attaccare banche in Francia, Canada e Paesi Bassi. Nel 2016, invece, ha esteso le sue attività a Stati Uniti, Germania, Australia e Polonia. Nel terzo trimestre dell’anno scorso, peraltro, i gestori del trojan hanno rilasciato una sua versione aggiornata. Sembra che il malware non sia disponibile a tutti, ma che sia gestito da un unico gruppo di criminali informatici. Rovnix, infine, è usato per attaccare banche europee. Recentemente, però, ha lanciato un’offensiva in Giappone. Si è diffuso tramite email infette con finte fatture di trasporto in allegato, che in realtà mascheravano il downloader del trojan. Poi, il malware è stato configurato con schemi specifici legati a ogni singolo bersaglio.