giovedì 28 giugno 2012

Phishing, malware, servers remoti e procedure altamente automatizzate, insieme per il furto da conti bancari accessibili dalla rete. (28 giugno)

Il phishing come lo conosciamo e cioe' la falsa pagina di Banca od Azienda, con fake login ad account per accedere al conto online potrebbe avere sempre meno rilevanza nei casi di furto di denaro online.
Cio' non vuole comunque dire che le mails di phishing sono destinate a sparire, ma piuttosto ad evolvere  modificando i loro contenuti con link maggiormente malevoli.
Vediamo alcuni dettagli anche alla luce della recente pubblicazione (June 26, 2012)  di un report McAfee e Guardian Analytics.

McAfee e Guardian Analytics hanno infatti proposto un report che indaga sull'evoluzione del furto da conti bancari online attraverso l'utilizzo di procedure altamente automatizzate ed in grado, a quanto pare, di bypassare le protezioni anche di tipo hardware (chip in unione a PIN code di accesso)

Si tratterebbe di azioni fraudolente portate avanti con l'utilizzo di malware (SpyEye and Zeus) ed impiegando codici altamente  sofisticati per il riconoscimento dei conti bancari di piu' alto valore da colpire,  trasferendo somme in denaro calcolate in percentuale sull'importo presente sul conto bancario.
Si e' ad esempio rilevato l'uso di una percentuale fissa del  3%  oppure del  movimento dal conto colpito ad un conto o carta prepagata per un valore relativamente piccolo, pari a  500 EURO per ogni transazione fraudolenta.
E' chiaro che il sistema utilizzato tende ad evitare allarmi diffusi nascondendosi dietro i relativamente bassi importi sottratti.

In genere una volta che le vittime tentano di accedere al loro conto, le credenziali vengono acquisite attraverso un attacco di “man-in-the-browser-style” che propone un messaggio a video di “sistema in manutenzione"  mentre gli attaccanti trasferiscono i fondi sul loro conto.
Alcuni degli utenti interessati sono stati definiti come  "high rollers" (da cui il nome del rapporto McAfee e Guardian Analytics:'Dissecting Operation High Roller') , con una media di disponibilita' sul loro conto che va da  250.000 a  500.000 EURO mentre i trasferimenti effettuati dai 'ladri' informatici hanno interessato transazioni  sia a livello nazionale che  a livello internazionale tramite un trasferimento con codici  IBAN.
La cosa veramente innovativa parrebbe comunque essere la possibilita' di bypassare  il sistema di autenticazione tramite SmartCard e accesso tramite PIN code.
Normalmente, l'utilizzatore di una smart card la inserisce nel dispositivo di lettura e digita un PIN a fronte del quale il Sistema della Banca genera un token digitale.
Token che lo script malware e' in grado di acquisire ed elaborare,  mentre l'utente rimane in attesa davanti ad un messaggio a video che informa di aspettare lo 'sblocco' della transazione.

Altra novita' e' l'automazione  Server-side delle procedure di trasferimento delle somme in denaro   con utilizzo di  cloud-based server ("server-side") anziche' di codici pre-caricati come parte del malware downloadato sul PC delle vittime (computer "client-side").

Assistiamo cioe' all'utilizzo di un alto livello di automazione che cattura le one-time password, controlla saldo del conto, avvia le operazioni, e cerca su un database dedicato un account 'aggiornato ed attivo' dove trasferire il denaro, il tutto senza la partecipazione attiva dei ladri informatici.
Inoltre il malware sarebbe anche in grado di filtrare eventuali mail di conferma dell'avventa transazione,  impedire la stampa dei report del conto , e modificare i valori delle transazioni visualizzate in base a quanto la vittima si aspetta di vedere.

Il report McAfee - Guardian Analytics  analizza nel dettaglio alcune diverse strategie di attacco  iniziando da una tipologia definita come  “Attacco standard”

E' interessante analizzarne i principali passaggi che riassumono in pratica come si sviluppa un attacco che vede sempre come base una mail di phishing ma che poi evolve piuttosto in un attacco definibile 'malware' .

Ecco le principali fasi :


- Ricezione da parte dell'utente Internet di una mail di phishing con link a pagina contente codice malevolo o ulteriori links (spesso in maniera automatica) ad altre pagine / siti con exploits ecc....
- Se l'utente segue il link in mail, possibile attivazione dell'exploit (Black Hole kit ecc ) che a fronte di una eventuale  vulnerabilita'  del browser della vittima,  cerchera' di sfruttarla per per  comprometterne il computer.
- Ulteriore installazione da parte dello script exploit  di un Trojan Downloader che a sua volta  installera' SpyEye o Zeus od altro malware dedicato…....  sul dispositivo della vittima.

A questo punto se l'utente accede a servizi bancari online dal computer infetto :

- Il malware verifica alcuni parametri, come ad esempio il tipo di conto ed saldi contabili.
- Se i parametri sono quelli che il malware sta cercando, lo stesso contatta il server di comando e controllo e scarica codice appropriato  allo specifico bersaglio Banca.
- Lo script iniettato prende il controllo della sessione e  contatta il server per ottenere istruzioni specifiche.
Si puo' trattare esempio di una simulazione di messaggio di errore che  viene attivato dopo che la vittima ha effettuato il login (es. come la vittima effettua il login, puo' essere chiesto di rispondere ad una domanda di sicurezza e viene proposto il messaggio di errore. Questo  crea il ritardo che consente al software malevolo di eseguire la transazione al posto del reale utente della banca.)
A questo punto la vittima non ha effettivamente autenticato ma e' bloccata con un messaggio "please wait" per il tempo necessario ad eseguire la transazione da parte dei ladri informatici.
Seguiranno ulteriori  operazioni nascoste da parte del malware anche a seconda che la Banca richieda ulteriori codici di autenticazione della transazione.
Inoltre il malware rimarra' residente nella memoria del computer e potra' alterare il report generato  dalla banca,  filtrare eventuali mails di conferma ecc.....

Una variante di questo tipo di attacco vede la novita'  dell'utilizzo di servers sui quali vengono installati i softwares che gestiscono le transazioni fraudolente.
Sono stati individuati sino a 60 cloud-based server malevoli per gestire  le transazioni al posto di gestirle dalla macchina compromessa dell'utente.
La maggior parte dei server maligni sono ospitati da provider definiti  bulletproof ISPs  (Internet Service Provider a 'prova di proiettile”); si tratta cioe' di fornitori di servizi locati in paesi in cui spesso non e' in vigore una legislazione od accordi internazionali per perseguire le frodi su Internet.

Una ulteriore variante documentata dal report vede una azione ibrida da parte dei malfattori con impiego di procedure sia automatiche che manuali a supporto dell'attivita fraudolenta di accesso al conto preso di mira.


Dalla lettura del report e da quanto esposto su post pare comunque evidente che:

1) Anche se alcuni parlano di una '…..fine dl phishing........' in realta', anche se con forme diverse la pratica delle mails fraudolente riconducibili a Banche, aziende ecc... (phishing)  rimane ben attiva e presente online.
Se ricordiamo, infatti, come si sviluppano questi attacchi, il report indica chiaramente che l'azione preliminare e' sempre “ …...... L'invio di una mail di phishing con link a pagina contente codice malevolo o ulteriori links …..”

2) E' da notare come a seguito della fake mail ci sia sempre una compromissione del  computer   attraverso piu' o men noti codici malware (KIT BlackHole ecc.....) che sfruttano vulnerabilita' vecchie, non correttamente patchate, o nuove …....
Se vediamo come attualmente lo spam malware e' diffuso  (vedi ad esempio  il ricorrente caso della mail (tutto sommato di phishing) con link a file zip con malware che sta colpendo utenti IT) possiamo pensare che una parte di questi codici malevoli sia costituita da trojan downloader che potrebbero al limite scaricare su PC colpito software orientato al furto online.

Il report completo McAfee - Guardian Analytics  (in lingua inglese) e' scaricabile da qui 

Edgar

1 commento:

Admin ha detto...

bell'articolo complimenti!
Mi ero già scaricato il report in inglese, ma tu ne hai fatto un riassunto interessante.