C’è un Topo Alieno nel Cyberspazio.

Con RATs è a rischio il nostro conto corrente e non ce ne accorgiamo. Ecco cosa fare

Lo sappiamo, la crescente digitalizzazione sta mettendo sempre più in evidenza il rischio cyber. Infatti, il significativo incremento di tutto quello che facciamo nella dimensione Cyber, ha aumentato la superficie vulnerabile ad attacchi e frodi commesse dagli hacker.

Così come sottolineato da autorevoli fonti informative sulla cybersecurity (ad es. sul rapporto Clusit 2021 e l’Internet Crime Complaint Center dell’FBI) viene confermata questa tendenza: rispetto al pre-covid, sono aumentate di circa il 300% le segnalazioni giornaliere di attacchi cyber all’FBI; inoltre, nel triennio 2017-2020, sono stati registrati circa 6.200 gli attacchi di particolare gravità con impatti economici significativi (c.a. 400 M€ per singolo attacco). 

In questo scenario, è di fondamentale importanza capire come i frodatori facciano sempre più leva sul fattore umano e sui comportamenti – non sempre adeguati – delle persone, puntando in particolare su emotività e inconsapevolezza.

In questo contesto, ci si mette pure la tecnologia: un tipico esempio dii come un software lecito venga utilizzato per scopi illeciti, lo abbiamo nel RATs.

Cos’è il RATs?

Sebbene il nome poco amichevole, il RATs è nato con uno scopo del tutto lecito e davvero utile! Infatti si tratta di un software che ha lo scopo di far accedere da remoto a personal computer, per agevolare l’assistenza tecnica.

Ma, come spesso capita, i criminali informatici hanno sfruttato questa caratteristica per i loro intenti criminosi. 

Ma in pratica cosa possono fare? 

Nelle versioni più sofisticate, sono in grado di alterare pagine web in real-time interagendo con il proprio server C2C e modificando così il flusso applicativo, rendendolo apparentemente legittimo all’utente compromesso.

Oggigiorno i truffatori usano i RAT per attaccare l’online banking, utilizzando protocolli di accesso remoto come il Virtual Network Computing (VNC) o Remote Desktop Protocol (RDP) per controllare il PC dell’utente.

Leggendo queste poche righe, immagino vi starete dicendo: “Cosa ci può essere di peggio..?”

Qualcosa di peggio, effettivamente c’è. Ad esempio, Alien!

Se parliamo di Alien, parliamo di Malware.

Prima cosa: che cos’è un malware? Un Malware (abbreviazione di “malware” in inglese o malware) si riferisce a qualsiasi tipo di software dannoso creato per accedere segretamente a un dispositivo all’insaputa dell’utente. Di malware ne esistono di diversi tipi, ad esempio: spyware, adware, virus, cavalli di Troia, worm e ransomware.  

Parlando di malware pericolosi è bene citare Alien, un malware bancario che colpisce dispositivi Android ed è in grado di ottenere il controllo completo del dispositivo (e.g. intercettazione codici OTP) e di effettuare Overlay Attacks verso una lista di applicazioni Android ben definita, e recuperata attraverso delle comunicazioni cifrate con il proprio server C2C. 

Le principali caratteristiche introdotte da Alien sono:

• il modulo VNC (con funzionalità RAT)

• l’intercettazione del contenuto delle notifiche Android (es. arrivo di un nuovo messaggio, e-mail, codici OTP, ecc.).

Come il “RAT in the Browser” viene sfruttato da Alien per colpire i Clienti Bancari?

Il trojan bancario STATMOFLSA agisce come un RitB (RAT-in-the-Browser) iniettando codice malevolo attraverso tecniche di MitB (Man-in-the-Browser) ed in questo modo il browser della vittima risulta diventare il componente di middleman di ogni sessione web del browser compromesso. 

Queste specifiche tipologie di trojan sono molto complesse da rilevare: infatti l’ignaro utente continua ad agire indisturbato all’interno della propria sessione web tramite il proprio device ed il proprio indirizzo IP, i quali risultano essere leciti (e quindi non sospetti) all’istituto bancario, mentre il trojan è già entrato all’opera eseguendo per conto dell’utente svariate operazioni di bonifico. 

L’utente difficilmente è in grado di notare cambiamenti rilevanti durante la navigazione perché questa tipologia di trojan è in grado di alterare pagine web in real-time interagendo con il proprio server C2C rendendo così il flusso applicativo apparentemente legittimo.

Come potersi difendere?

Come detto, le tecniche descritte sono molto potenti e sofisticate e spesso di difficile individuazione. Cosa possiamo fare per proteggerci? Sapere che alcuni sistemi operativi sono meno impermeabili alla tipologia di attacco è il primo passo per cercare di non cadere nella trappola. Il secondo passo è quello di utilizzare e aggiornare software antivirus e antimalware. Ultimo consiglio è quello di verificare spesso il proprio estratto conto (magari anche ogni volta che si è fatto un bonifico) per controllare gli addebiti e – nel caso si notasse qualche operazione sospetta –  chiamare subito la propria Banca per chiedere il ritiro dell’operazione e il disconoscimento.

E’ bene sottolineare nuovamente come il fenomeno delle frodi di natura cyber verso la clientela bancaria a causa dell’emergenza sanitaria legata al Coronavirus è aumentato, come riportato anche in diversi studi internazionali tra cui quello di Europol, che evidenzia l’incremento del phishing del 170% solo nei primi mesi di emergenza.

Le frodi fanno sempre più leva sul fattore umano e sui comportamenti delle persone, puntando in particolare su emotività e inconsapevolezza dei clienti, che vengono raggirati mediante tecniche di phishing svia E-mail, SMS o telefono. In particolare, la fiducia del cliente viene conquistata falsificando il mittente di E-mail ed SMS con quello della banca (Swap Alias) o il numero chiamante con il numero verde della banca tramite (Spoofing).

Bisogna restare allerti, e adottare tutti  quegli accorgimenti che ci permettono di navigare in sicurezza e farci dormire sonni tranquilli.