La pirateria informatica è la branca del momento, quella che in maniera consistente e significativa continua ad apportare le maggiori evoluzioni tecniche e ad affinare sistemi sempre più sofisticati. Ad aiutare i cyercriminali concorre senza dubbio anche la scarsa consapevolezza dimostrata dagli utenti dato che, come rilevato da una recente indagine di Intel Security, il 97% degli utenti non è in grado di riconoscere un attacco di phishing. D’altra parte, gli stessi criminali della rete dimostrano una forte predisposizione all’automiglioramento e al perfezionamento continuo delle proprie strategie di attacco. L’ultimo gioiellino dell’industria dei raggiri informatici si chiama Slave, un trojan che attacca i conti correnti.
Pirateria informatica in divenire: la rete scopre Slave
Slave è un trojan bancario che ha fatto il suo esordio nel web nel marzo del 2015 e che, dal momento del suo lancio, è andato incontro a continue migliorie funzionali e tecniche che lo hanno reso una minaccia temibile, in grado di colpire un numero crescente di conti correnti bancari. La società americana F5 Networks, leader nell’ambito dell’Application Delivery Networking, ha seguito le evoluzioni del malware per cercare di capire come esso gestisca gli attacchi di pirateria informatica, violando i conti correnti di privati cittadini e aziende partendo dal browser di navigazione che l’utente utilizza per collegarsi alla versione online del proprio deposito.
L’indagine di F5 Networks è stata avviata a partire dal momento in cui è stata accertata la presenza di un malware in grado di manipolare i codici IBAN in fase di effettuazione di un pagamento, modificando di fatto l’indirizzo del beneficiario. A distanza di circa 15 giorni, incrociando le rilevazioni statistiche elaborate, la società è riuscita a individuare una correlazione tra tale tipologia di attacco e il trojan Slave.
Le evoluzioni successive di Slave
Nelle prime fasi di sviluppo e utilizzo, Slave funzionava come altri malware già noti agli addetti ai lavori – tra cui il famoso trojan Zeus – ovvero si limitava a invertire codici IBAN attraverso la tecnica nota come man-in-the-browser, che consiste nel manipolare il browser dell’utente sotto attacco in modo da invalidare qualunque tentativo di difesa e, allo stesso tempo, riuscendo ad accedere al conto personale della vittima. L’attacco si perpetra attraverso il lancio di un codice che modifica le operazioni effettuate dall’utente o ne crea di nuove all’insaputa di quest’ultimo.
Nei mesi successivi, Slave è stato reso sempre più dirompente e difficile da arginare. L’ultimo prototipo del malware preso in rassegna da F5 Networks è in grado di creare chiavi di registro con nomi fittizi e di infettare i browser di navigazione Internet Explorer, Firefox e Chrome e ulteriori attività di pirateria informatica.
Più nel dettaglio
Una volta innestato il proprio codice di controllo all’interno del browser, Slave è in grado di indirizzare la propria azione verso i servizi bancari: scambio di IBAN, come detto, ma anche furto di credenziali e trasferimento di fondi. Inoltre, il trojan ha la capacità di restare silente per un intervallo di tempo predefinito e agire, grazie alla funzione di timestamp di cui è stato dotato, solo nel momento prestabilito, rendendo la sua individuazione ancora più complessa.
