Contatta il reparto vendite 800 13.40.41 | Richiedi il Supporto Partner EN flag

Articoli

Icona delle News




Doctor Web ha esaminato un nuovo trojan banker

I trojan studiati per rubare denaro dai conti bancari

29/11/17 coretech News

×Non sei ancora nostro cliente DrWeb? Diventa Partner CoreTech e visita il nostro configuratore prezzi

I trojan studiati per rubare denaro dai conti bancari rappresentano una seria minaccia. Di solito, i trojan banker sono programmi malevoli multicomponente abbastanza complessi, per cui vengono al mondo raramente. Gli analisti dei virus Doctor Web hanno esaminato una nuova versione di un programma malevolo appartenente alla famiglia ampiamente conosciuta Trojan.Gozi.

Il nuovo banker, denominato Trojan.Gozi.64, si basa sul codice sorgente delle versioni precedenti del programma Trojan.Gozi che già da tempo si trova in pubblico dominio. Come gli altri rappresentanti di questa famiglia, Trojan.Gozi.64 è capace di infettare computer con le versioni di Windows a 32 e 64 bit. Il trojan ha un'architettura a moduli, ma, a differenza delle varianti precedenti, è costituito interamente da singoli plugin scaricati. Inoltre, Trojan.Gozi.64 non dispone di algoritmi per la generazione dei nomi di server di controllo — i relativi indirizzi sono trascritti nella sua configurazione, mentre una delle prime versioni di Gozi utilizzava come il dizionario un file di testo scaricato da un server di NASA.

Gli autori hanno imposto al trojan un limite, grazie a cui esso è in grado di funzionare nei sistemi operativi Microsoft Windows 7 e superiori, mentre nelle versioni di Windows più antecedenti il malware non si avvia. Moduli addizionali vengono scaricati dal server di gestione tramite una specifica libreria loader e il protocollo di comunicazione utilizza una crittografia. Il loader di Trojan.Gozi.64 può svolgere sulla macchina infetta le seguenti funzioni malevole:

  • controllo degli aggiornamenti del trojan;
  • download da server remoto dei plugin di browser attraverso cui vengono effettuati code injection;
  • download da server remoto della configurazione dei code injection;
  • ottenimento di task personali, in particolare, per il download di ulteriori plugin;
  • gestione remota del computer.

Per effettuare i code injection in ciascun browser Trojan.Gozi.64 utilizza un rispettivo plugin configurabile. Al momento gli analisti dei virus sanno dei plugin di Microsoft Internet Explorer, Microsoft Edge, Google Chrome e Mozilla Firefox. Dopo aver installato il relativo plugin, il trojan riceve dal server di gestione un archivio ZIP con una configurazione per l'esecuzione dei code injection. Come risultato, Trojan.Gozi.64 può integrare nelle pagine web visualizzate dall'utente contenuto arbitrario – per esempio, falsi moduli di autenticazione sui siti bancari e nei sistemi di home-banking. In quanto la manipolazione delle pagine web avviene direttamente sul computer infetto, l'URL di tale sito nella barra degli indirizzi del browser rimane corretto, il che può fuorviare l'utente e abbassare la sua vigilanza. I dati inseriti in un falso modulo vengono trasmessi ai malintenzionati per cui un account dell'utente vittima del trojan può essere compromesso.

screenshot Android.RemoteCode.106.origin #drweb

Oltre a ciò, sul computer infetto possono essere scaricati e installati ulteriori moduli – in particolare, un plugin che registra le battiture sulla tastiera (keylogger), un modulo per l'accesso in remoto alla macchina infetta (VNC), un componente di server proxy SOCKS, un plugin per il furto di credenziali dai mail client e altri ancora.

Banner

Il banker Trojan.Gozi.64 non rappresenta alcun pericolo per gli utenti dei prodotti antivirus Dr.Web in quanto le firme antivirali del programma malevolo e dei suoi moduli sono aggiunti ai nostri database dei virus.


Articoli su DrWeb

Statistiche sulle infezioni Dr.Web AV-DeskServizio Agent Monitoring GratuitoStatistiche sulle infezioni Dr.Web AV-DeskStatistiche sulle infezioni Dr.Web AV-DeskStatistiche sulle infezioni Dr.Web AV-DeskStatistiche sulle infezioni Dr.Web AV-DeskStatistiche sulle infezioni Dr.Web AV-DeskStatistiche sulle infezioni Dr.Web AV-DeskStatistiche sulle infezioni Dr.Web AV-DeskStatistiche sulle infezioni Dr.Web AV-DeskStatistiche sulle infezioni Dr.Web AV-DeskCambio tariffe Dr. WebStatistiche sulle infezioni Dr.Web AV-DeskStatistiche sulle infezioni Dr.Web AV-DeskDoctor Web ha rilevato nello store di applicazioni Android ufficiale un trojan clickerStatistiche sulle infezioni Dr.Web AV-DeskStatistiche sulle infezioni Dr.Web AV-DeskTrojan banker Bolik viene distribuito con il pretesto di NordVPNStatistiche sulle infezioni Dr.Web AV-DeskNuovo trojan backdoor rilevato Doctor Web su Google PlayNews Doctor Web – Compromesso il sito di VSDCStatistiche sulle infezioni Dr.Web AV-DeskDr.Web Data Loss Prevention – la migliore protezione contro i CryptolockerDoctor Web: trojan Android.InfectionAdsStatistiche sulle infezioni riscontrate da Dr.Web AV-DeskA rischio centinaia di milioni di utenti di UC Browser per AndroidDoctor Web rileva un trojan in un programma per il monitoraggio del tasso di cambio delle criptovaluteDoctor Web rileva un trojan che sfrutta una falla zero-day nel client Counter-StrikeBollettino DoctorWeb – Le minacce di Febbraio 2019Doctor Web: attenzione ai Trojan Android diffusi tramite App che sembrano innocueVariazione Listini Dr.Web dal 1 Dicembre 2018Dr.Web: l’antivirus con laboratorio R&D proprietarioConfermato il Laboratorio di Doctor Web al CoreTech Partner SummitDoctor Web6 tipi di impiegati a rischio malware in ufficioCirca l'8% delle smart TV e dei dispositivi con Android è vulnerabile a un nuovo minerDoctor Web mette in guardia dalla diffusione di un nuovo cryptolocker GandCrabAnatomia di un Antivirus: sicuri di stare al sicuro?I prodotti Dr.Web sono compatibili con gli aggiornamenti di sicurezza Windows di gennaioDoctor Web ha esaminato un nuovo backdoor per WindowsDoctor Web avverte: i malintenzionati hackerano siti web tramite "l'Internet degli oggetti"Un milione di richieste: un numero tondo per il supporto tecnico Doctor WebDoctor Web ha esaminato un nuovo trojan bankerDoctor Web ha scoperto in Google Play applicazioni con un trojan che sono state scaricate da oltre 2.000.000 di utentiDrWeb Cloud: licenze NFR gratuite per tutti i PartnerRilascio di Dr.Web Light 11.0.0 per AndroidDoctor Web: panoramica sulle attività dei virus ad ottobre 2017Rilascio di Dr.Web 11.0.4 per Microsoft Exchange ServerBadRabbit ha paura dei computer con Dr.Web: un'indagine sul trojan clamorosoCoreTech e Doctor Web, una nuova partnership per la sicurezza degli endpoint con la potenza del Cloud

Video Premium su DrWeb

Corsi Premium - Dr.Web
Ripe Ncc Member
vmware
CloudLinux
Plesk
HP
Microsoft