Arriva il malware Slave: una nuova minaccia per i conti correnti

Gli esperti di sicurezza F5 scoprono un nuovo malware utilizzato per le frodi bancarie online e analizzano la sua rapida evoluzione negli ultimi quattro mesi

F5 Networks ha scoperto e analizzato l’evoluzione di Slave, un trojan bancario apparso per la prima volta a marzo del 2015 e che, ad oggi, ha già infettato i browser di molti utenti e raggiunto un livello di sofisticazione che lo rende più difficile da identificare e utilizzabile per molteplici tipologie di attacco.

TI PIACE QUESTO ARTICOLO?

Iscriviti alla nostra newsletter per essere sempre aggiornato.

Due settimane prima di scoprire Slave, F5 aveva notato una variante malware sconosciuta che scambiava i numeri IBAN, tecnica utilizzata per frodare gli account destinatari sostituendo il numero nel momento stesso della transazione. L’analisi statistica ha mostrato che esiste una relazione molto forte tra questa variante e il malware Slave da poco scoperto.

Slave è un malware trojan scritto in Visual Basic che nella sua prima versione eseguiva anch’esso uno scambio di IBAN in due fasi utilizzando tecniche”man-in-the-browser” con grande somiglianza al famigerato malware Zeus.

L’ultima versione di Slave comprende la creazione di chiavi di registro con nomi random, infezioni IE, Firefox e Chrome, kernel32.dll hooks e molto altro ancora.

Slave conduce i propri attacchi posizionando delle esche (hooking) nel processo di Internet Explorer e immettendo il suo codice nelle pagine web dei servizi bancari. Questo codice può poi eseguire una serie di funzioni tra cui il furto delle credenziali e l’accesso all’account, lo scambio dell’IBAN o anche il trasferimento automatico dei fondi.

Una delle funzionalità più interessanti di Slave è il controllo timestamp. Il malware viene impostato per essere eseguito entro una tempistica precisa e resta quindi praticamente “valido” solo per alcune settimane, probabilmente evitando così la possibile individuazione.

Leggi anche:  Il 2025 sarà l’anno della disruption

“Per molti aspetti Slave è oggi meno sofisticato di altri trojan bancari già diffusi ma tutto questo non ci rende sicuri”, spiega Paolo Arcagni, Systems Engineer Manager Italy&Malta di F5 Networks. “La sua rapida evoluzione dimostra che il cybercrime è alla continua ricerca di nuove forme di attacco sempre più evolute e difficili da contrastare. Sia che si utilizzi il phishing, le tecniche Man-in-the-Middle o Man-In-The-Browser o altre attività basate sui trojan come web injection, form hijacking, modifiche delle pagine o modifiche delle transazioni, i rischi associati alle frodi web non si possono eliminare e colpiscono organizzazioni di ogni genere”.

Recentemente F5 ha realizzato una ricerca in ambito sicurezza intervistando i responsabili IT delle aziende del settore finance. Il 48% di essi ha dichiarato di aver subito perdite finanziarie notevoli negli ultimi due anni e ha sottolineato la preoccupazione e la sempre maggiore esposizione della propria organizzazione e dei propri clienti alle minacce legate alle frodi web.