Sapevamo che sarebbe accaduto e infatti è arrivato: una variante del trojan Zeus, nota con il nome di Panda Banker, ha iniziato ad attaccare i conti correnti di utenti italiani.
La scoperta è stata dell’azienda Arbor Networks che già dal mese di luglio aveva notato un picco di attività di spam diretto al nostro Paese e che a settembre ha rilevato una nuova campagna di diffusione.
Dopo una intensa opera di analisi, il ricercatore Dennis Schwarz ha identificato il malware allegato come una variante di Zeus e ha inviato il suo report a Marco Gioanola, Senior Consulting Engineer di Arbor Networks in Italia.
“Nell’analisi di Dennis” – ci dice al telefono Marco Gioanola – “è apparso subito chiaro che l’attacco era portato su grande scala. Per motivi legali non posso fare i nomi delle banche coinvolte, ma tutti i maggiori istituti italiani sono ‘supportati’ dal malware, insieme a un blocco di banche molto piccole che non capiamo come siano finite nel mucchio dei target potenziali”.
Il trojan arriva tramite messaggi di email provenienti, in apparenza, da fonti affidabili come colleghi o amici che ci inviano spesso delle comunicazioni e il malware è per lo più camuffato da file PDF o ZIP. Addirittura, alcune volte è presentato direttamente come un file eseguibile EXE.
Una volta eseguito, viene lanciato il downloader Andromeda (Panda Banker si appoggia proprio all’infrastruttura Andromeda per la diffusione), che si preoccupa di scaricare il malware specifico e infettare il computer del malcapitato. Dall’analisi risulta che, purtroppo, il trojan in questione è in grado anche di aggiornarsi con nuove funzionalità e potrebbe addirittura mutare in qualcosa di diverso: per esempio, dopo aver rubato le credenziali bancarie, potrebbe diventare un ransomware, bloccando i file o addirittura tutto il pc della vittima.
Prima della sua mutazione, però, è bene preoccuparsi di quello che è in grado di fare da subito: “In pratica” – spiega Marco Gioanola – “Panda Banker si piazza tra le comunicazioni dell’utente e della banca, intercettando le credenziali e impartendo delle operazioni senza che l’utente abbia modo di accorgersene. I sistemi di controllo bancari basati su codici multipli (che assegnano un codice univoco a ogni operazione effettuata inviandolo tramite sms o scegliendolo da un tesserino con tanti codici) dovrebbero essere al sicuro dalle operazioni non autorizzate, ma non dal furto delle credenziali”.
Per quanto strano, sembra proprio che non tutte le banche abbiano ancora attivo un sistema di verifica multicodice: “Le grandi banche” – dice Gioanola – “hanno messo in piedi dei sistemi antitruffa più avanzati, ma in alcuni casi non sono stati attivati dai clienti. In alcune piccole banche, invece, il sistema multicodice manca del tutto”.
Le raccomandazioni per gli utenti, quindi, sono sempre le stesse: cambiate le password di tanto in tanto e non cliccate mai su documenti arrivati via posta elettronica se prima non li avete fatti esaminare a un buon antivirus aggiornato.
Inoltre, tenete sempre sott’occhio le comunicazioni che arrivano dalla banca, via sms o mail. Se vi giunge un codice non richiesto, per esempio, sapete che c’è qualcosa che non va…