Non è il trojan bancario più sofisticato in circolazione, ma è uno dei più pericolosi poiché in continua evoluzione. Slave, un malware scoperto a marzo, a distanza di quattro mesi continua a mutare e a trovare nuove forme di attacco, come sottolineato da un’analisi del vendor di sicurezza F5 Networks. Si tratta di un programma malevolo che agisce via Web e che molto somiglia a una variante scoperta da F5 poco prima della comparsa di Slave, a sua volta molto simile al famigerato trojan bancario Zeus.
In tutti i casi si tratta di programmi compilati in Visual Basic e in grado di realizzare frodi bancarie eseguendo uno scambio di codici Iban in due fasi, attraverso tecniche “man-in-the-browser”. A detta di F5, a distanza di quattro mesi dalla sua scoperta oggi Slave ha raggiunto un livello di sofisticazione che lo rende più difficile da identificare e che moltiplica le modalità di attacco che è possibile lanciare.
L’ultima versione di Slave comprende la creazione di chiavi di registro con nomi random, infezioni di Internet Explorer, Firefox e Chrome, kernel32.dll hooks e molto altro ancora. Il programma agisce posizionando delle esche (hooking) nel processo del browser e immettendo il suo codice nelle pagine Web dei servizi bancari; tale codice può poi eseguire una serie di funzioni tra cui il furto delle credenziali e l’accesso all’account, lo scambio dell’Iban e il trasferimento automatico dei fondi.
A detta di F5 Networks, una delle funzionalità più interessanti è il controllo “timestamp”: il malware viene impostato per essere eseguito entro una tempistica precisa. In questo modo risulta valido e funzionante solo per alcune settimane, e dunque la sua identificazione da parte di programmi antivirus e antimalware diventa più ardua.
Il costo delle frodi finanziarie per le aziende europee negli ultimi due anni (fonte:F5 Networks)
“Per molti aspetti Slave è oggi meno sofisticato di altri trojan bancari già diffusi ma tutto questo non ci rende sicuri”, ha commentato Paolo Arcagni, systems engineer manager per l’Italia e Malta di F5 Networks. “La sua rapida evoluzione dimostra che il cybercrime è alla continua ricerca di nuove forme di attacco sempre più evolute e difficili da contrastare”. Da una ricerca condotta dalla stessa F5 Networks intervistando i responsabili It di aziende del settore finance è risultato che il 48% di esse ha subito perdite finanziarie notevoli negli ultimi due anni.