News

CoreBot si è trasformato in un vero e proprio banker

Gli esperti di X-Force, il dipartimento di sicurezza IT della società IBM, hanno rilevato, con rammarico, come le loro previsioni riguardo a CoreBot si siano rapidamente avverate. Nell’arco di pochi giorni, in effetti, questo nuovo malware Windows ha considerevolmente ampliato le proprie funzionalità, arricchendosi di una moltitudine di moduli aggiuntivi, preposti alla conduzione di attacchi particolarmente efficaci e virulenti nei confronti dei titolari di account bancari.

I risultati delle analisi eseguite su CoreBot sono stati pubblicati da X-Force alla fine del mese scorso. Secondo i ricercatori, il Trojan in questione, sino a quel momento, era esclusivamente provvisto delle funzionalità di base possedute dai comuni stealer adibiti al furto di informazioni: esso era in grado di carpire le password custodite nei browser più popolari, così come nei client FTP ed e-mail più diffusi; inoltre, provvedeva a ricercare le credenziali relative agli account utilizzati per la posta web ed i wallet digitali contenenti criptovaluta; CoreBot, infine, era specializzato nel sottrarre certificati e dati personali relativi a varie applicazioni desktop. Il Trojan veniva abitualmente installato nel sistema informatico dell’utente-vittima per mezzo di un dropper.

Nonostante l’apparente banalità della scoperta, i ricercatori non hanno esitato a manifestare apertamente le loro preoccupazioni, visto che il nuovo arrivato possiede di sicuro un grande potenziale nocivo. “La caratteristica più interessante di CoreBot è rappresentata dall’adozione di un particolare sistema di plug-in, che rende di fatto modulare l’architettura del malware, consentendo a quest’ultimo di poter estendere facilmente le proprie funzionalità, — ha rilevato Limor Kessem nel blog di IBM X-Force. — CoreBot esegue il download dei plug-in dal server di comando e controllo subito dopo essersi saldamente insediato nel sistema sottoposto ad attacco. In seguito, esso provvede a caricare i vari plug-in mediante l’apposita funzione “plugininit”, residente nella libreria DLL del plug-in stesso”. Gli esperti hanno ugualmente individuato la presenza di un algoritmo DGA disattivato, il quale consente di stabilire una connessione alternativa con il server C&C, in caso di blocco dei domini principali.

Giovedi scorso, il team di X-Force ha di nuovo lanciato l’allarme: gli autori di CoreBot hanno messo in circolazione nuovi moduli, ampliando ulteriormente le funzionalità del Trojan in causa, al punto da trasformare quest’ultimo in un vero e proprio banker. Il malware qui analizzato è ormai in grado di intercettare dinamicamente i dati presenti in Internet Explorer, Firefox e Google Chrome, così come nei moduli web; esso può inoltre garantire un accesso VNC ai suoi operatori, monitorare gli accessi della vittima ai sistemi di Internet banking, modificare le pagine web ed intercettare i dati nel corso delle sessioni bancarie effettuate.

Secondo i risultati di una nuova analisi, la versione aggiornata di CoreBot opera tramite un elenco di 55 URL; vengono in tal modo attaccati i clienti di istituti bancari americani, canadesi e britannici. Quando la vittima esegue la procedura di autenticazione nell’ambito di un servizio web che interessa al Trojan, il malware avverte immediatamente il proprio controller, ed utilizza poi la funzione di attesa nei confronti dell’utente-vittima, per dare all’hacker tutto il tempo necessario per realizzare la transazione fraudolenta.

“A questo punto, il malintenzionato può utilizzare i cookie della sessione per intercettare l’iniziativa ed avviare la transazione, oppure modificare i parametri relativi alla richiesta di trasferimento bancario, – chiariscono gli esperti. – Il risultato finale è che il denaro sottratto viene inviato su un conto direttamente controllato dall’operatore del Trojan”.

Secondo i ricercatori, il numero di esemplari di CoreBot attualmente in circolazione è per ora limitato; tuttavia, l’aumento di tale numero, così come una prevedibile, ulteriore evoluzione del malware, è solo “questione di tempo”. Il Trojan non ha ancora fatto la sua comparsa sul mercato nero, ma la situazione potrebbe cambiare in qualsiasi momento.

Fonte: ZDNet

CoreBot si è trasformato in un vero e proprio banker

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

 

Report

Evoluzione dei malware mobile – 2016

Ha continuato a crescere in maniera davvero sensibile, nel corso del 2016, il numero dei Trojan pubblicitari in grado di utilizzare i diritti di superutente. Si è trattato, lungo tutto l’arco dell’anno, della minaccia informatica numero 1; al momento attuale non scorgiamo, peraltro, validi motivi ed argomenti che lascino intravedere qualche cambiamento riguardo a tale specifica tendenza.

Lo spam nell’anno 2016

Nel 2016, all’interno dei flussi di spam, si sono verificati diversi cambiamenti; tra di essi, quello più significativo riguarda il sensibile aumento del numero di mailing di massa preposte alla distribuzione dei temibili programmi ransomware. Considerando l’effettiva disponibilità, sul mercato nero, di simili software nocivi, è presumibile che tale tendenza continui a manifestarsi anche nell’anno in corso.

Kaspersky Security Bulletin 2016. Rassegna annuale. Le statistiche dell’anno 2016

Il 2016 è stato, nell’ambito della cyber sicurezza, un anno davvero intenso e turbolento, caratterizzato da imponenti botnet IoT, ransomware, attacchi mirati di cyber spionaggio, ingenti furti nella sfera finanziaria, “hacktivismo” e molto altro ancora. Il Kaspersky Security Bulletin 2016 e il report Statistics di Kaspersky Lab forniscono un quadro dettagliato della situazione; qui, invece, si può leggere l’Executive Summary.

Kaspersky Security Bulletin 2016. La rivoluzione del ransomware

Tra gennaio e settembre 2016 gli attacchi ransomware diretti alle imprese sono aumentati di tre volte, fino all’equivalente di un attacco ogni 40 secondi. Con il boom del ransomware-as-a-service, ed il lancio del progetto NoMoreRansom, Kaspersky Lab ha definito il ransomware come il proprio “tema chiave” per il 2016.

Iscriviti alle nostre e-mail settimanali

La ricerca più all'avanguardia, direttamente nella tua inbox