Furto finanziario dagli account di online banking: Trend Micro sventa la minaccia olandese

furto online banking

La polizia olandese ha arrestato quattro persone per aver diffuso il malware TorRAT. Si tratta di un malware indirizzato agli utenti di lingua olandese che sfruttava il Deepweb e il sistema Tor per le comunicazioni di Command and Control (C&C) in modo da non essere rilevato. Il suo obiettivo primario era il furto finanziario dagli account di online banking. TorRAT comprometteva i sistemi attraverso l’invio di messaggi spam, (soprattutto false fatture) confezionati a dovere, nella lingua tipica del paese e senza riportare errori grammaticali come la maggior parte dei messaggi di spam.

Per non lasciare tracce ed evitare di essere identificato dai software antivirus, il malware utilizzava un account tormail.org per le comunicazioni email e servizi di crittografia underground. La monetizzazione della frode avveniva tramite la valuta digitale bitcoin, utilizzata anche per riciclare il denaro rubato e per effettuare pagamenti ad altri componenti della gang criminale.

Questi processi rendevano molto difficile identificare i cybercriminali ma il Dutch National High Tech Crime Unit (NHTCU ) di Trend Micro è stato comunque in grado di arrestarli grazie ad alcuni errori commessi dalla banda. Si ritene infatti che la gang abbia utilizzato un servizio di crittografia chiamato “SamArt“. La cifratura del malware rende molto più difficile l’individuazione da parte dei software antivirus ma se si vuole veramente nascondere la propria identità adottare un tool di terze parti mette a rischio l’anonimato. Un altro errore significativo in questo senso è stato commesso nell’autunno del 2012, quando alcuni dei server C&C, anche se su sistemi Tor nascosti, sono stati ospitati in un datacenter turco.

Cruciale era per la gang anche affrontare un problema classico: rubare i soldi è la parte più facile, metterseli in tasca e portali via come propri è un po’ più complesso. È relativamente semplice manipolare delle transazioni bancarie su un computer infetto ma il riciclaggio del denaro rubato implica un processo che prevede intermediari. La banda olandese avrebbe riciclato denaro attraverso operazioni di bitcoin e persino creato un proprio servizio di scambio bitcoin, FBTC Exchange, che è stato oscurato dopo gli arresti.

L’acquisto di un servizio di crittografia esterno, l’utilizzo di tormail.org e il reclutare e abusare di intermediari ha esposto i cybercriminali al rischio di essere scoperti da parte dei ricercatori più esperti. Un singolo errore può iper fortuna portare al disfacimento di tutta l’operazione criminale.