Le varianti non riguardano solamente il Covid, ma anche altrettanto virulenti e pericolosi trojan bancari.
La segnalazione da parte dei ricercatori di Kaspersky fa seguito ad un’analisi dei tentativi di sottrazione delle credenziali rilevati in 70 istituti bancari fra America meridionale ed Europa, con particolare riferimento a Spagna, Portogallo, Francia e Italia. È stata così individuata la famiglia di trojan Bizarro, caratterizzata dalla particolare efficacia d’azione e dall’azione di reclutamento di money mules, ovverosia soggetti che, più o meno consapevolmente, prestano i propri conti bancari e mezzi di pagamento per riciclare i proventi di campagne fraudolente online.
L’attacco è fondamentalmente human-based, e conta sull’inconsapevole cooperazione da parte della vittima che apre il link contenuto in un’e-mail fraudolenta utilizzata come tecnica di consegna dell’attacco. In questo modo viene scaricato un archivio ZIP da un server compromesso (i ricercatori segnalano a riguardo l’utilizzo di server WordPress, Amazon e Azure), da cui è possibile selezionare l’installazione attraverso un pacchetto MSI.
Una volta che il trojan viene installato, termina immediatamente le funzioni di tutti i servizi bancari collegati ai web browser costringendo così l’utente a reinserire le credenziali. Inoltre, permette ai cybercriminali di carpire i dati di accesso insieme ad alcune informazioni di sistema (nome computer, sistema operativo, browser e antivirus), e viene iniziato il monitoraggio dell’attività dell’utente mediante acquisizione di screenshot e controllo degli appunti per ottenere eventuali indirizzi di wallet BitCoin.
In seguito all’installazione di una backdoor, Bizarro dà agli attaccanti la possibilità di eseguire oltre 100 comandi, fra cui l’apertura di finti pop-up o l’emulazione di siti di accesso a servizi per facilitare l’esecuzione delle tattiche di ingegneria sociale e ottenere facilmente le credenziali di online banking e di altri dati da parte delle vittime.
Ad esempio, uno dei messaggi visualizzati consiste in un finto aggiornamento di sicurezza dei servizi di online banking, così da rassicurare le vittime circa l’approvazione di transazioni per finalità di conferma dell’identità o viene segnalata la compromissione del sistema per tentare così di ottenere i codici di autenticazione a due fattori.
Pur considerata la particolarità del vettore di attacco impiegato, è importante ancora una volta evidenziare come la vulnerabilità collegata ad un utilizzo poco consapevole degli strumenti da parte dell’utente sia il fattore su cui i cybercriminali continuano a fondare la maggior parte dei successi dei propri attacchi. Pertanto, l’adozione di buone abitudini di sicurezza è e rimane la migliore difesa anche contro ogni eventuale futura variante.
