Il post seguente è stato tradotto per gentile concessione di Trusteer
Abbiamo scoperto un nuovo tipo di malware finanziario che effettua l’hijack delle sessioni di online banking dei clienti “in tempo reale “, usando i token dei loro ID di sessione.
Oddjob, il nome che abbiamo dato a questo trojan, lascia le sessioni attive dopo che i clienti pensano di essersi “disconnessi”; ciò consente ai criminali di prelevare denaro e compiere frodi senza essere notati. Un malware completamente nuovo che supera i limiti dell’hacking attraverso l’evoluzione delle metodologie di attacco esistenti. Ciò dimostra come l’abilità commerciale dell’hacker possa eludere molte applicazioni per la sicurezza IT tradizionalmente usate per difendere i beni digitali – e finanziari – degli utenti.
Abbiamo monitorato Oddjob per alcuni mesi ma non siamo stati in grado di riferire sulle sue attività, finora, a causa di indagini in corso da parte delle forze dell’ordine. Ora appena terminate.
Il nostro team di ricerca ha effettuato il reverse engineering e analizzato il codice di Oddjob, proprio delle banche colpite e dei suoi metodi di attacco. Trusteer ha già avvertito le istituzioni finanziarie che Oddjob è utilizzato da criminali con sede nell’Europa orientale per attaccare clienti in diversi paesi, inclusi USA, Polonia e Danimarca.
L’aspetto più interessante di questo malware è che sembra essere in divenire, viste le differenze nelle funzioni hook negli ultimi giorni e settimane e il modo in cui i protocolli dei Command&Control (C&C) funzionano. Riteniamo che queste funzioni e protocolli continueranno a evolvere nel prossimo futuro e che la nostra analisi della funzionalità del malware non potrà essere al 100 per cento completa, visto che chi scrive il codice continuerà a rifinirlo.
La caratteristica più evidente di Oddjob è che è stato progettato per intercettare le comunicazioni degli utenti tramite il browser. Utilizza questa capacità per rubare/iniettare informazioni e terminare le sessioni utente all’interno di Internet Explorer e Firefox.
Abbiamo estratto i dati di configurazione di Oddjob, concludendo che è in grado di eseguire diverse azioni sui siti Web vittima, a seconda di come viene configurato. Il codice è in grado di effettuare il log delle richieste GET e POST, catturando pagine complete, terminando le connessioni e iniettando dati nelle pagine web.
Tutte le richieste dei log e delle pagine catturate vengono inviati al server C&C in tempo reale, permettendo ai truffatori di effettuare l’hijack di sessione, anche in tempo reale; ma senza che l’utente legittimo del conto bancario online ne sia al corrente.
Tramite il tapping dell’ID del token di sessione, che le banche utilizzano per identificare la sessione di banking online di un utente, i truffatori possono spacciarsi per l’utente legittimo e completare una serie di operazioni bancarie.
La differenza più importante rispetto agli hacking tradizionali è che i truffatori non hanno bisogno di autenticarsi ai computer che effettuano l’online banking, si limitano a sovrapporsi alla sessione esistente e autenticata; come un bambino potrebbe scivolare inosservato attraverso un tornello a un evento sportivo, stazione ferroviaria, ecc…
Un’altra caratteristica interessante di Oddjob, che lo distingue dalla folla del malware, è la sua capacità di bypassare la richiesta di disconnessione di un utente per chiudere la sessione online. Dato che l’intercettazione e la chiusura avvengono in background, l’utente legittimo pensa di essersi disconnesso, mentre, in realtà, i truffatori rimangono connessi; consentendo loro di massimizzare il potenziale di profitto delle loro attività fraudolente.
L’intero matching è case-insensitive e, tramite questo processo di pattern matching, i truffatori che usino Oddjob saranno in grado di scegliere accuratamente le sessioni e gli obiettivi per trarne il migliore vantaggio.
L’ultimo aspetto degno di nota di Oddjob è che la configurazione del malware non viene salvata su disco, processo che potrebbe attivare un’analisi di sicurezza; invece, ogni volta che si apre una nuova sessione del browser, viene recuperata dal server C&C una nuova copia della configurazione.
La buona notizia è che il software Rapport secure web access di Trusteer, attualmente utilizzato da milioni di clienti che usano l’online banking, può impedire che Oddjob venga eseguito.
Oddjob è soltanto una delle numerose applicazioni di malware pro-attivo che il nostro gruppo di ricerca nota regolarmente, ma la sua metodologia di codifica implica parecchio lavoro da parte dei coder che stanno dietro al fraudware.
Sono necessarie attente analisi e ricerca per effettuare il reverse engineering e analizzare applicazioni fraudolente come Oddjob, ma il nostro messaggio alle banche e ai loro utenti di servizi bancari online è immutato. Hanno bisogno di mantenere una vigilanza costante, applicare gli aggiornamenti software, essere consapevoli delle minacce nuove e implementare sofisticate soluzioni di sicurezza complementari che possano difendere da metodi di attacco sempre in evoluzione .
Fonte: New Financial Trojan Keeps Online Banking Sessions Open after Users “Logout”
We have found a new type of financial malware with the ability to hijack customers’ online banking sessions in real time using their session ID tokens.
OddJob, which is the name we have given this Trojan, keeps sessions open after customers think they have “logged off”’, enabling criminals to extract money and commit fraud unnoticed. This is a completely new piece of malware that pushes the hacking envelope through the evolution of existing attack methodologies.
It shows how hacker ingenuity can side-step many commercial IT security applications traditionally used to defend users’ digital – and online monetary – assets. We have been monitoring OddJob for a few months, but have not been able to report on its activities until now due to ongoing investigations by law enforcement agencies. These have just been completed.
Our research team has reverse engineered and dissected OddJob’s code methodology, right down to the banks it targets and its attack methods. Trusteer has already warned Financial Institutions that OddJob is being used by criminals based in Eastern Europe to attack their customers in several countries including the USA, Poland and Denmark.
The most interesting aspect of this malware is that it appears to be a work in progress, as we have seen differences in hooked functions in recent days and weeks, as well as the way the Command & Control (C&C) protocols operate. We believe that these functions and protocols will continue to evolve in the near future, and that our analysis of the malware’s functionality may not be 100 per cent complete as the code writers continue to refine it.
OddJob’s most obvious characteristic is that it is designed to intercept user communications through the browser. It uses this ability to steal/inject information and terminate user sessions inside Internet Explorer and Firefox.
We have extracted OddJob’s configuration data and concluded that it is capable of performing different actions on targeted Web sites, depending on its configuration. The code is capable of logging GET and POST requests, grabbing full pages, terminating connections and injecting data into Web pages.
All logged requests/grabbed pages are sent to the C&C server in real time, allowing fraudsters to perform session hijacks, also in real time, but hidden from the legitimate user of the online bank account.
By tapping the session ID token – which banks use to identify a user’s online banking session – the fraudsters can electronically impersonate the legitimate user and complete a range of banking operations.
The most important difference from conventional hacking is that the fraudsters do not need to log into the online banking computers – they simply ride on the existing and authenticated session, much as a child might slip in unnoticed through a turnstile at a sports event, train station, etc.
Another interesting feature of OddJob, which makes it stand out from the malware crowd, is its ability to bypass the logout request of a user to terminate their online session. Because the interception and termination is carried out in the background, the legitimate user thinks they have logged out, when in fact the fraudsters remain connected, allowing them to maximise the profit potential of their fraudulent activities.
All matching is case-insensitive, and, using this process of pattern matching, fraudsters using OddJob are able to cherry pick the sessions and targets they swindle to their best advantage.
The final noteworthy aspect of OddJob is that the malware’s configuration is not saved to disk – a process that could trigger a security analysis application – instead; a fresh copy of the configuration is fetched from the C&C server each time a new browser session is opened.
The good news is that Trusteer’s Rapport secure web access software- which is now in use by millions of online banking customers – can prevent OddJob from executing.
It’s important to note that OddJob is just one of several pro-active malware applications that our research team sees on a regular basis, but its coding methodology indicates a lot of thought on the part of the coders behind the fraudware.
Careful analysis and research is needed to reverse engineer and dissect fraudulent applications like OddJob, but our message to banks and their online banking users is unchanged. They need to maintain constant vigilance, apply software updates, maintain an awareness of new threats and deploy complementary security solutions that can defend against evolving attack methods.
Source: New Financial Trojan Keeps Online Banking Sessions Open after Users “Logout”