A cura di Marco Gioanola, Senior Consulting Engineer di Arbor Networks e Dennis Schwarz, ASERT Research Analyst

Guerrilla

Un nuovo malware, denominato Panda Banker, sta prendendo di mira gli utenti di diverse banche italiane. Panda è probabilmente una variante del noto trojan Zeus e ha lo scopo principale di rubare credenziali di accesso ai servizi di Internet Banking e di eseguire operazioni bancarie all’insaputa dell’utente.

I ricercatori ASERT hanno individuato due recenti campagne di attacco attive contro gli utenti di alcune delle maggiori banche italiane. Arbor ha contattato i CERT (Computer Emergency Response Team) degli istituti coinvolti ed è a disposizione per fornire i dettagli di cui ASERT è in possesso.

Il malware viene distribuito attraverso campagne di invio email, provenienti da mittenti apparentemente legittimi, contenenti un allegato PDF, ZIP o EXE che, se aperto, installa (ovviamente all’insaputa dell’utente) il downloader Andromeda che si occupa quindi di infettare il pc con Panda. Una volta infetto, il computer contatta i server di Comando e Controllo (C&C) al fine di comunicare i dati della vittima ed eventualmente autoaggiornarsi per includere nuove funzionalità, incluse quelle di ransomware.

Oltre a rubare password e credenziali di accesso, Panda utilizza strumenti automatizzati per eseguire pagamenti e movimenti di fondi quando l’utente è collegato ai siti target.

Diverse campagne di attacco sono state scoperte negli scorsi mesi, mirate di volta in volta a Olanda, Australia, Brasile, Italia e altri paesi europei. Ciò, insieme alla modalità di diffusione di Panda, fa supporre che diversi gruppi localizzati di attaccanti utilizzino “a noleggio” l’infrastruttura di Andromeda per distribuire il nuovo malware e aggiungere i pc infetti alla loro botnet.

Si stima che i malware cosiddetti “banker” abbiano fruttato ai loro autori miliardi di dollari nel corso degli anni.

Come difendersi

E’ importante comprendere che la prima regola di igiene personale per quanto riguarda Internet è di non cliccare mai su allegati, specialmente se non richiesti esplicitamente, prima di averne verificata l’autenticità col presunto mittente.

In quanto le campagne di attacco sono focalizzate sugli utenti dei servizi di banking e le operazioni generate dal trojan appaiono provenienti da connessioni legittime, è molto difficile per le banche coinvolte predisporre meccanismi di difesa sui siti stessi. E’ quindi importante controllare periodicamente la lista delle operazioni del proprio Internet Banking al fine di individuare al più presto eventuali movimenti inattesi.