Nuovo trojan finanziario lascia le sessioni di online banking attive dopo il “logout” degli utenti

Il post seguente è stato tradotto per gentile concessione di Trusteer

Abbiamo scoperto un nuovo tipo di malware finanziario che effettua l’hijack delle sessioni di online banking dei clienti “in tempo reale “, usando i token dei loro ID di sessione.

Oddjob, il nome che abbiamo dato a questo trojan, lascia le sessioni attive dopo che i clienti pensano di essersi “disconnessi”; ciò consente ai criminali di prelevare denaro e compiere frodi senza essere notati. Un malware completamente nuovo che supera i limiti dell’hacking attraverso l’evoluzione delle metodologie di attacco esistenti. Ciò dimostra come l’abilità commerciale dell’hacker possa eludere molte applicazioni per la sicurezza IT tradizionalmente usate per difendere i beni digitali – e finanziari – degli utenti.

Abbiamo monitorato Oddjob per alcuni mesi ma non siamo stati in grado di riferire sulle sue attività, finora, a causa di indagini in corso da parte delle forze dell’ordine. Ora appena terminate.

Il nostro team di ricerca ha effettuato il reverse engineering e analizzato il codice di Oddjob, proprio delle banche colpite e dei suoi metodi di attacco. Trusteer ha già avvertito le istituzioni finanziarie che Oddjob è utilizzato da criminali con sede nell’Europa orientale per attaccare clienti in diversi paesi, inclusi USA, Polonia e Danimarca.

L’aspetto più interessante di questo malware è che sembra essere in divenire, viste le differenze nelle funzioni hook negli ultimi giorni e settimane e il modo in cui i protocolli dei Command&Control (C&C) funzionano. Riteniamo che queste funzioni e protocolli continueranno a evolvere nel prossimo futuro e che la nostra analisi della funzionalità del malware non potrà essere al 100 per cento completa, visto che chi scrive il codice continuerà a rifinirlo.

La caratteristica più evidente di Oddjob è che è stato progettato per intercettare le comunicazioni degli utenti tramite il browser. Utilizza questa capacità per rubare/iniettare informazioni e terminare le sessioni utente all’interno di Internet Explorer e Firefox.

Abbiamo estratto i dati di configurazione di Oddjob, concludendo che è in grado di eseguire diverse azioni sui siti Web vittima, a seconda di come viene configurato. Il codice è in grado di effettuare il log delle richieste GET e POST, catturando pagine complete, terminando le connessioni e iniettando dati nelle pagine web.

Tutte le richieste dei log e delle pagine catturate vengono inviati al server C&C in tempo reale, permettendo ai truffatori di effettuare l’hijack di sessione, anche in tempo reale; ma senza che l’utente legittimo del conto bancario online ne sia al corrente.

Tramite il tapping dell’ID del token di sessione, che le banche utilizzano per identificare la sessione di banking online di un utente, i truffatori possono spacciarsi per l’utente legittimo e completare una serie di operazioni bancarie.

La differenza più importante rispetto agli hacking tradizionali è che i truffatori non hanno bisogno di autenticarsi ai computer che effettuano l’online banking, si limitano a sovrapporsi alla sessione esistente e autenticata; come un bambino potrebbe scivolare inosservato attraverso un tornello a un evento sportivo, stazione ferroviaria, ecc…

Un’altra caratteristica interessante di Oddjob, che lo distingue dalla folla del malware, è la sua capacità di bypassare la richiesta di disconnessione di un utente per chiudere la sessione online. Dato che l’intercettazione e la chiusura avvengono in background, l’utente legittimo pensa di essersi disconnesso, mentre, in realtà, i truffatori rimangono connessi; consentendo loro di massimizzare il potenziale di profitto delle loro attività fraudolente.

L’intero matching è case-insensitive e, tramite questo processo di pattern matching, i truffatori che usino Oddjob saranno in grado di scegliere accuratamente le sessioni e gli obiettivi per trarne il migliore vantaggio.

L’ultimo aspetto degno di nota di Oddjob è che la configurazione del malware non viene salvata su disco, processo che potrebbe attivare un’analisi di sicurezza; invece, ogni volta che si apre una nuova sessione del browser, viene recuperata dal server C&C una nuova copia della configurazione.

La buona notizia è che il software Rapport secure web access di Trusteer, attualmente utilizzato da milioni di clienti che usano l’online banking, può impedire che Oddjob venga eseguito.

Oddjob è soltanto una delle numerose applicazioni di malware pro-attivo che il nostro gruppo di ricerca nota regolarmente, ma la sua metodologia di codifica implica parecchio lavoro da parte dei coder che stanno dietro al fraudware.

Sono necessarie attente analisi e ricerca per effettuare il reverse engineering e analizzare applicazioni fraudolente come Oddjob, ma il nostro messaggio alle banche e ai loro utenti di servizi bancari online è immutato. Hanno bisogno di mantenere una vigilanza costante, applicare gli aggiornamenti software, essere consapevoli delle minacce nuove e implementare sofisticate soluzioni di sicurezza complementari che possano difendere da metodi di attacco sempre in evoluzione .

Fonte: New Financial Trojan Keeps Online Banking Sessions Open after Users “Logout”

Written by admin

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.