Quasi tutti noi che abbiamo avuto a che fare con l'home banking, abbiamo sentito parlare almeno una volta di phishing. Per phishing si intende una tecnica attraverso la quale un soggetto malintenzionato (chiamato phisher), riesce a raccogliere dati personali di accesso, tramite tecniche di ingegneria sociale che negli anni si sono fatte sempre più raffinate.
I siti maggiormente presi di mira, negli anni, sono stati quelli di istituti bancari, ma sono abbastanza diffusi tentativi di phishing per siti istituzionali, provider internet che forniscono servizi email, servizi finanziari o qualunque altro sito possa fornire informazioni sensibili a livello economico o sull'identità dell'utente. Per approfondimenti sull'argomento, è possibile consultare la relativa News sul Phishing di Marzo 2011.
Negli ultimi giorni, sono giunte ai laboratori del C.R.A.M. (Centro Ricerche Anti-Malware di TG Soft), alcune varianti di un nuovo Malware, della famiglia Trojan.Win32.Banker, in grado di modificare le schermate di accesso ai più diffusi siti di home banking.
Dalla variante Trojan.Win32.Banker.CP, si è registrata un'evoluzione delle attività del malware che, invece di sfruttare le classiche tecniche di phishing presentate all'utente tramite email, modifica dinamicamente il sito web che si sta visitando dal computer infetto.
Il malware riesce a modificare la schermata di accesso (login) ai servizi di home banking, inserendo un campo aggiuntivo, che richiede l'inserimento anche della propria password dispositiva, oltre ai normali dati di accesso.
Naturalmente viene anche modificata la destinazione a cui il pulsante "Invia" manda i dati di accesso inseriti. Provando ad eseguire l'accesso utilizzando la schermata contraffatta, le proprie credenziali, oltre alla password dispositiva per effettuare operazioni, vengono inviate a un server brasiliano, che risponde al dominio saninternet.com. In questo modo, chi ha scritto il malware, che sicuramente controlla anche i server di raccolta dati o gli è stato commissionato il malware per questi scopi, entra in possesso dei dati necessari per poter di fatto rubare direttamente soldi dal conto che è stato "trafugato".
Immagine 1: Videata di login SENZA infezioni.
Cerchiato in verde il certificato di identificazione del sito.
Immagine 2: Videata di login CON infezione.
Cerchiato in rosso il campo aggiuntivo che richiede la password dispositiva. Da notare che anche in questo caso è presente l'indicazione della presenza di un certificato valido per l'identificazione del sito (evidenziato dalla freccia rossa).
Proprio perché il malware è in grado di modificare dinamicamente il sito che si sta visitando e non ne utilizza un clone come si era visto finora, questo approccio è particolarmente insidioso soprattutto per gli utenti meno attenti. Dalle due immagini sopra riportate, facciamo notare che sia nell'accesso da computer non infetto sia nell'accesso da computer infetto, entrambi i browser segnalano che la connessione verso i due siti è da considerarsi sicura:
Immagine 1, computer non infetto con Mozilla Firefox 7.0.1, il certificato è facilmente identificabile, cerchiato in verde, accanto all'indirizzo del sito che si sta visitando;
Immagine 2, computer infetto con Microsoft Internet Explorer 8, la presenza di un certificato valido è visibile dal lucchetto accanto all'indirizzo del sito che si sta visitando, evidenziato dalla freccia rossa.
Riportiamo che in un computer infetto, la modifica della pagina di login è avvenuta solamente utilizzando Internet Explorer 6 e Internet Explorer 8, mentre non si è registrata alcuna modifica utilizzando Mozilla Firefox 7.0.1, Google Chrome 14 e Opera 11.51.
Fino ad ora, i tentativi di phishing erano facilmente individuabili da un occhio attento, dalla semplice ricerca nella pagina del certificato SSL (Secure Sockets Layer) che dovrebbe garantire l'autenticità del sito e la trasmissione crittografata, quindi presumibilmente sicura, di tutto il traffico dati, in particolare delle credenziali di accesso.
(Cliccare per ingrandire)
Come nelle più classiche tecniche di phishing, anche in questo caso tutto inizia da una mail che invita l'utente a visualizzare qualcosa di interessante, reclamare premi o visualizzare presunti ordini effettuati dal costo considerevole. Spesso queste email sono tradotte in un italiano quantomeno improbabile, il che dovrebbe far almeno insospettire chi la sta visualizzando.
Nel nostro esempio l'oggetto riportava: "Biglietto di auguri a voi" e il corpo del messaggio era composto da poche righe, con l'unico scopo di portare l'utente a cliccare sul link proposto:
“Amici ti ha fatto regalo un
hxxp://www.xxxx.com/images/card317004.php”
Il link è stato volutamente oscurato per evitare click incauti e la diffusione del malware stesso.
Di rilievo il fatto che il sito ospitante lo script php, che poi infetta il computer, si trova su un dominio legittimo, probabilmente compromesso e ormai non più sicuro finché il webmaster non provvederà al cambio delle password di accesso.
Una volta che il lettore incuriosito dal messaggio va a cliccare sul link, si ritrova di fronte ad una pagina bianca. In realtà al suo interno è celato un'altro script malevolo.
Questa volta il linguaggio usato per l'exploit è il JavaScript, il linguaggio più utilizzato dagli exploit pack per i browser, come è stato anche evidenziato alla conferenza internazionale di Virus Bulletin (Vedi News TG Soft @ VB2011). Il JavaScript code.js è ospitato su un altro dominio e viene richiamato nella pagina php tramite un Iframe nascosto che punta ad un dominio indonesiano hxxp://xxxxxxxx.in/t/19c2560a82a9f0f00fb5c13bf6076d4a, che però è locato in Ucraina. Analizzando il codice della pagina html si nota subito la presenza di una sequenza casuale di numeri seguita da uno script offuscato e un ulteriore Iframe. Il codice JavaScript al suo interno è codificato utilizzando un array che contiene il codice ASCII dei rispettivi caratteri. Decodificando da ASCII a char ed analizzandone il codice, si nota che lo script crea un file di nome "l.vbs" nella cartella dei file temporanei %temp%. Il Vbscript, facendo una richiesta http GET al sito, scarica un file eseguibile di nome tiwy.exe (il nome è casuale e cambia ad ogni infezione). Il file viene poi eseguito automaticamente all'avvio del computer utilizzando la chiave [Run] per l'utente corrente (HKEY_CURRENT_USER). Dettagli tecnici sui file analizzati sono riportati nella tabella sottostante.
Chiave di registro creata per l'esecuzione automatica.
HKCU\Software\Microsoft\Windows\CurrentVersion\Run [{AAD4C06D-C3ED-42F8-AE54-360ABB07B23F}] = %temp%\tiwy.exe
File Scaricati:
Nome File: 308213ffd8da65109fc20bdf38441e5b.vbs o l.vbs
md5: 03af0e9666766b6429fe4dbae7aa1935
Dimensione: 3099 byte
Nome File: exe.exe o tiwy.exe
md5: 89f253863722d49555a88d8f1c553b8e
Dimensione: 148480 byte
Nome File: code.js
md5: ac64f620f1d9ca1a291c9a72ce4b6d2c
Dimensione: 136 byte
L'ultimo file scaricato, ovvero il malware vero e proprio, che si esegue automaticamente ad ogni avvio del computer, è in grado di agganciarsi al processo del browser ed apportare quindi modifiche ai siti visualizzati. Come già evidenziato, nel nostro studio si sono registrate modifiche utilizzando Internet Explorer 6 e Internet Explorer 8, mentre Firefox 7, Opera 11 e Chrome 14 sono sembrati immuni, anche se questo non esclude che future versioni del malware vengano aggiornate per essere rese “compatibili” anche con altri browser. Analizzandone il comportamento abbiamo registrato la modifica di svariate schermate di login ai principali siti di home banking.
La modifica effettuata aggiunge un campo, non presente nelle versioni legittime dei rispettivi siti, che richiede la password dispositiva per effettuare l'accesso. La password dispositiva, come dice il nome stesso, è necessaria solamente per effettuare operazioni bancarie, quali bonifici, giroconti, ricariche telefoniche, ecc. Una volta che un utente malintenzionato riesca ad entrare in possesso di login, password e password dispositiva, può accedere al conto ed eseguire spostamenti di denaro verso un altro conto.
Nessun istituto bancario richiede mai la password dispositiva per effettuare l'accesso alla propria area riservata ai clienti per l'home banking, quindi nel caso in cui questo dovesse succedere su un vostro computer, contattate immediatamente il servizio di assistenza, se ne esiste uno, dell'AntiVirus installato sul computer, come ad esempio il servizio di supporto tecnico riservato ai clienti di Vir.IT eXplorer PRO, per avere un'analisi immediata del computer ed individuare tempestivamente il malware, procedendo ad una rapida bonifica della macchina. Un'altra buona abitudine per mantenere la sicurezza delle proprie credenziali sufficientemente elevata, è quella di cambiare periodicamente le password di accesso a siti di una certa importanza, come quelli di home banking e di scegliere password che non siano banali, non troppo corte, che non rappresentino informazioni relative alla nostra identità facilmente recuperabili (es. data di nascita) e che siano alfanumeriche, ovvero che contengano sia lettere che numeri. Per evitare attacchi dizionario sarebbe anche utile non scegliere parole di senso compiuto ma sequenze casuali di numeri e lettere.
Facendo alcuni test sui principali servizi di Banca Online, abbiamo verificato che i due siti maggiormente presi di mira sono quelli relativi al servizio TimeImpresa della Banca Popolare di Vicenza (Immagini 3 e 4) e all'Antonveneta (Immagini 1 e 2), mentre i siti delle maggiori banche, come Unicredit, BNL, MPS ed altri sono risultati non modificati anche su computer infetti. Questo non garantisce che future versioni del malware non vengano migliorate ed aggiornate per potersi adattare anche agli altri siti finora non "sfruttati".
Immagine 3: Videata di login SENZA infezioni.
Puntato dalla freccia verde il certificato di identificazione del sito.
Immagine 4: Videata di login CON infezione.
Cerchiato in rosso il campo aggiuntivo che richiede la password dispositiva. Come nel caso Antonveneta, anche in questo caso è presente l'indicazione della presenza di un certificato valido per l'identificazione del sito (evidenziato dalla freccia rossa).
Data la particolare delicatezza ed importanza dei nostri dati di accesso, sia a livello privato che aziendale, raccomandiamo di porre sempre una particolare attenzione quando si eseguono queste operazioni e, nel caso si notasse qualcosa di diverso dal solito o di sospetto, di contattare il proprio servizio di Banca Online ed eventualmente il supporto tecnico del proprio prodotto AntiVirus per un controllo immediato del computer.
C.R.A.M. Centro Ricerche Anti Malware by TG Soft
Ogni informazioni pubblicata sul nostro sito può essere utilizzata e pubblicata su altri siti internet, blog, forum, facebook e/o in ogni altra forma sia in modalità cartacea che elettronica a patto che venga sempre e comunque citata la fonte esplicitamente "Fonte: C.R.A.M. by TG Soft www.tgsoft.it"