I banking trojan sono ormai diventati una delle principali minacce finanziarie per gli utenti dell’online banking. Progettati per rubare le informazioni elaborate nei sistemi bancari, il loro impiego comporta grandi perdite finanziarie per gli utenti. Uno di questi programmi malevoli è Gookit, un complesso malware bancario multistadio scoperto per la prima volta nel 2014. In seguito alle recenti campagne di Gootkit contro gli utenti delle banche italiane e tedesche, i ricercatori di Kaspersky hanno esaminato il sample più recente di questo malware e analizzato le sue caratteristiche.
Gootkit viene distribuito tramite campagne di spam e siti web compromessi, attraverso i quali gli attaccanti inducono i visitatori a scaricare il malware. Una volta che il malware viene installato, l’attaccante ottiene l’accesso completo al dispositivo infetto. Questo rende Gootkit più di un semplice Trojan bancario, ovvero una backdoor. Gootkit è in grado non solo di ottenere in qualsiasi momento l’accesso remoto al dispositivo, ma può anche rubare dati dal browser, eseguire attacchi man-in-the-browser, keylogging, fare screenshot e molte altre azioni dannose. Oltre a sottrarre denaro, che è il suo obiettivo principale, Gootkit può quindi essere utilizzato anche per attività di spionaggio e raccolta dati, a differenza di altri Trojan bancari che non lo permettono.
“Gootkit è un esempio lampante di come gli sviluppatori di malware migliorino i loro strumenti. In questi anni, abbiamo osservato una moltitudine di trojan bancari, ma la maggior parte di questi è progettata con l’unico obiettivo di rubare dati finanziari. Nel caso di Gootkit, gli attaccanti fanno un ulteriore passo in avanti. Oltre a creare un malware multiuso che permette loro maggiore flessibilità e la possibilità di adattare rapidamente i loro obiettivi, investono in strumenti che gli consentono di eludere il rilevamento”, ha dichiarato Anton Kuzmenko, security researcher di Kaspersky. “Questo ci ricorda ancora una volta che bisogna essere cauti nel fare download dal web, cosi come la necessità di dotarsi di una soluzione di sicurezza affidabile in grado di rilevare queste minacce prima che sia troppo tardi”.
Maggiori informazioni su Gootkit e le sue tecniche per eludere il rilevamento sono disponibili su Securelist.
Per proteggersi da minacce simili a Gootkit, Kaspersky raccomanda di:
- Installare una soluzione di sicurezza affidabile sui propri dispositivi.
- Non scaricare e non installare software da fonti non note.
- Non aprire allegati, cliccare su link o eseguire programmi ricevuti tramite email da mittenti sconosciuti.
- Non visitare siti web sospetti ma solo quelli che dispongono di certificati di sicurezza – la cui URL comincia con “https://” e non ‘http://’, in cui ’s’ significa ’sicuro’ – e di un’icona a forma di lucchetto nella barra degli indirizzi.