In estate impennata dei virus che rubano i dati bancari
L'estate, complice anche la scarsa attenzione degli utenti in vacanza, è indubbiamente uno dei periodi dell'anno preferiti dai cyber criminali. Nelle ultime settimane, come di consueto, si è registrata una vera e propria impennata dei cosiddetti trojan bancari (quei malware che hanno come scopo il sottrarre dati sensibili per rubare denaro/effettuare transazioni approfittando degli account di online banking, delle carte di credito/debito ecc... delle vittime). In questa ondata di attacchi informatici si è distinto sopratutto, per quanto riguarda l'Italia, il malware Dorkbot, diffuso anche a livello mondiale. Oltre a Dorkbot, anche Emotet e Ramnit stanno colpendo utenti italiani. Al primo posto dei malware più diffusi in questo periodo troviamo però Coinhive, un servizio in teoria legittimo, ma usato illegittimamente in maniera assai copiosa per sfruttare il potenziale di calcolo dei dispositivi infetti per estrarre criptovaluta: Coinhive ha colpito o ha avuto impatto sul 17% circa delle imprese locali. Una piccola panoramica delle minacce più diffuse questa estate 1. Dorkbot Dorkbot ha funzionalità di backdoor: consente cioè ad un attaccante da remoto di "aprirsi un varco" e lasciarlo aperto nel sistema infetto. Una vera e propria "porta sul retro" che consente all'attaccante di poter eseguire svariate attività dannose senza che l'utente ne sia consapevole o debba concedere alcuna permissione. Tra le azioni solitamente messe in campo da questo malware troviamo:
2. Emotet E' un malware contraddistinto dall'uso massiccio di tecniche di offuscamento (ovvero modi di "sporcare il codice" rendendo difficile agli antivirus l'individuare la minaccia). E' un trojan bancario che sottrae le informazioni sensibili per accedere ai conti online intercettando il traffico di rete. Ha anche la capacità di scaricare ed eseguire ulteriori malware. Viene solitamente diffuso via email, con allegati dannosi oppure siti web compromessi. Leggi anche > 3. CoinHive CoinHive è un servizio per il mining di criptovaluta tramite borwser. Consente di estrarre Monero, una delle più diffuse criptovalute. E' un codice Javascript che viene inserito in una pagina web: da quel momento qualsiasi utente che si connetta a quella pagina "presta" la capacità di calcolo della propria CPU all'attaccante, che ci guadagna estraendo cripto valuta. Ha moltissimi effetti collaterali, primo tra tutti un sovrautilizzo della CPU che determina quasi sempre surriscaldamento della componente hardware del pc con rischio deterioramento della macchina. Nasce originariamente con servizio legittimo che i proprietari di siti web potevano inserire nei propri siti per profitto al posto delle invadenti e fastidiose pubblicità. E' poi, nei fatti, diventato uno strumento illegittimo, dato che quasi sempre viene usato senza che l'utente ne sia al corrente. E' un trojan bancario molto particolare dato che è un trojan bancario a tutti gli effetti il quale, però, nel caso se ne tenti la rimozione, diviene un ransomware. Lokibot mostra all'utente false schermate di login nelle finestre delle app bancarie più popolari: se un utente inserisce le credenziali in queste finestre fake semplicemente consegna le chiavi del proprio account bancario/finanziario nelle mani degli attaccanti. In realtà le versioni più recenti mirano a sottrarre anche le credenziali di social e app famose come Skype, Outlook e Whatsapp. Il furto dei dati avviene installando un proxy SOCK5 che reindirizza il traffico in uscita. Come ransomware invece, una volta ottenuti i privilegi di amministrazione,cripta i file e blocca lo schermo del dispositivo. C'è però un difetto nella routine di criptazione: i file non finiscono criptati e questa è la buona notizia. La cattiva è che il telefono finirà comunque bloccato perché lo screenlocker invece funziona a dovere. Come ti protegge Quick Heal? Quick Heal è dotato di moltissime funzioni utili contro questo tipo di minaccia. Eccone alcune:
Leggi tutte le news | Leggi tutti gli update |