Il trojan Odinaff punta al colpo grosso nel settore bancario

Ott 13, 2016 Marco Schiaffino Apt, Malware, Minacce, News, RSS, Trojan 0

Backdoor installate in gruppi finanziari e banche: i pirati stanno preparando un altro attacco al circuito internazionale di pagamenti SWIFT?

Pazienza, prudenza e un’attenta pianificazione. Non è una novità: i pirati informatici che puntano a mettere a segno il “colpo grosso” di solito si muovono con una certa cautela.

La nuova campagna di attacchi è stata individuata da Symantec e gira intorno alla distribuzione di un trojan battezzato Odinaff. Secondo i ricercatori che ne hanno studiato le caratteristiche, il malware sarebbe funzionale a creare le condizioni per un attacco in grande stile.

L’obiettivo, come emerge dal report pubblicato sul blog di Symantec, potrebbe essere il circuito SWIFT, il sistema di pagamento internazionale usato dagli istituti di credito per muovere grandi somme di denaro da una banca all’altra, già finito nei mesi scorsi nel mirino dei cyber-criminali.

Un boccone prelibato per i cyber-criminali, che già nei mesi scorsi hanno sfruttato le intrinseche debolezze del circuito per tentare un “colpaccio” da 1 miliardo di dollari ai danni della Banca Centrale del Bangladesh e che, alla fine, ha fruttato comunque la bellezza di 81 milioni di dollari.

Odinaff ha fatto la sua comparsa nel mese di gennaio e, stando ai rilevamenti di Symantec, avrebbe colpito prevalentemente proprio gli istituti di credito negli USA, Regno Unito, Hong Kong, Australia e Ucraina.

Le vittime a cui si è riusciti a risalire operano per la maggior parte nel settore finanziario.

Il trojan è stato distribuito per lo più sfruttando il caro vecchio sistema delle Macro inserite in documenti allegati a email, che installano il malware sui computer presi di mira.

I pirati, però, hanno installato Odinaff anche su computer già compromessi da altri malware, creando in buona sostanza una rete di PC compromessi pronti all’azione.

Il malware viene descritto come una “backdoor leggera”: mantiene un collegamento con i server Command and Control verificando ogni 5 minuti l’eventuale presenza di istruzioni da parte dei pirati.

Analizzando il codice, però, i ricercatori di Symantec si sono resi conto che le funzionalità del trojan possono essere espanse facilmente: Odinaff è infatti in grado di scaricare e installare software aggiuntivo oltre che consentire l’esecuzione di comandi Shell in remoto.

Le strategie adottate dai cyber-criminali, inoltre, fanno pensare a una strategia preparata minuziosamente nel solco delle più classiche APT (Advanced Persistent Threat) e caratterizzata dall’uso di strumenti di analisi poco invasivi che gli permettono di studiare la rete locale e individuare i bersagli chiave da raggiungere.

A far pensare a un attacco nei confronti del circuito SWIFT, però, è uno strumento specifico individuato dai ricercatori. Si tratta di una funzione che è in grado di analizzare il log del software SWIFT e ricercare particolari transazioni attraverso parole chiave. Lo strumento permetterebbe poi di “nascondere” le transazioni in questione in modo che non vengano rilevate dagli operatori.

Una porzione di codice individuata, inoltre, conterrebbe una sorta di funzione di autodistruzione, che sarebbe in grado di sovrascrivere il Master Boot Record del disco fisso per rendere il computer temporaneamente inutilizzabile.

Una tecnica che permetterebbe quindi ai pirati di guadagnare tempo e riuscire a incassare il denaro trasferito prima che qualcuno possa rendersi conto della truffa, più o meno come è accaduto nel caso della Banca Centrale del Bangladesh.

In quel caso, però, i cyber-criminali avevano sfruttato la coincidenza di una serie di festività per poter contare su un vantaggio temporale. Con Odinaff, sembra si preparino a un vero e proprio sabotaggio.

Condividi l'articolo