I ricercatori di Kaspersky Lab hanno rilevato NukeBot, un nuovo malware progettato per rubare le credenziali dei clienti dei servizi di online banking.
Le versioni precedenti del Trojan erano note agli esperti di sicurezza come TinyNuke, ma non disponevano delle funzionalità necessarie per lanciare degli attacchi. Le ultime versioni, invece, sono completamente funzionanti e contengono il codice per prendere di mira gli utenti di banche specifiche.
Sebbene la comparsa di una famiglia malware in the wild non sia insolita, il fatto che i criminali dispongano di una versione del Trojan pronta a sferrare un attacco, significa che molto presto potrebbero avviare una campagna dannosa su vasta scala e infettare diversi utenti. Kaspersky Lab ha pubblicato una breve analisi del malware per dare un allarme preventivo ai propri clienti e gli altri utenti.
NukeBot è un Trojan bancario. Al momento dell’infezione, “inietta” il codice dannoso nella pagina web di un servizio bancario online visualizzato nel browser delle vittime, ruba i loro utenti e altera le loro credenziali. Secondo i ricercatori di Kaspersky Lab, esiste già un certo numero di sample di questo Trojan in the wild che sono stati condivisi sui forum di hacking underground. La maggior parte di questi sample sono bozze di malware ancora grezzi e mal funzionanti. Tuttavia, gli esperti della società sono riusciti a individuarne alcuni che costituiscono una reale minaccia.
Circa il 5% di tutti i campioni trovati da Kaspersky Lab sono le nuove “versioni da combattimento” di NukeBot, alle quali sono state apportate delle migliorie al codice sorgente e alle capacità di attacco. Tra le altre cose queste versioni contengono iniezioni di pezzi specifici di codice, che imitano parti di interfaccia utente di veri e propri servizi bancari online. Sulla base dell’analisi delle iniezioni, gli esperti di Kaspersky Lab credono che i principali obiettivi della nuova versione di NukeBot siano utenti di diverse banche francesi e statunitensi.
Inoltre, i ricercatori di Kaspersky Lab sono riusciti a individuare alcune modifiche apportate a NukeBot che non hanno funzionalità di iniezione web e sono state progettate per rubare le password di posta elettronica e browser. Ciò significa che gli sviluppatori delle nuove versioni potrebbero mirare ad ampliare la funzionalità di questa famiglia di malware.
“I criminali che si nascondono dietro alle recenti versioni di questo malware non stanno attualmente distribuendo NukeBot in modo attivo ma questo potrebbe accadere molto presto. Abbiamo già avuto modo di osservare situazioni simili con altre famiglie malware: dopo un breve periodo di test di un malware pronto all’attacco, i criminali iniziano a distribuirlo attraverso siti web infetti, spam e phishing. Finora abbiamo individuato versioni di NukeBot pronte ad attaccare i clienti di almeno sei banche situate in Francia e negli Stati Uniti, tuttavia questa lista di obiettivi sembra essere solo all’inizio. Lo scopo della nostra breve ricerca è quello di avvertire le banche e i clienti dei servizi di online banking rispetto a questa potenziale minaccia e di invitarli a utilizzare i risultati della nostra ricerca per proteggersi per tempo da questa minaccia”, ha dichiarato Morten Lehn, General Manager Italy di Kaspersky Lab.
Per proteggere sé stessi e i propri clienti dagli attacchi NukeBot, gli esperti di sicurezza di Kaspersky Lab consigliano:
Alle organizzazioni finanziarie che forniscono servizi di online banking:
- Assicurarsi di avere installato un’efficace soluzione di prevenzione delle frodi in modo da poter individuare rapidamente e con precisione l’utilizzo non autorizzato degli account dei clienti e le attività finanziarie irregolari.
Ai clienti dei servizi di online banking:
- Utilizzare una soluzione di sicurezza Internet con tecnologie pensate per proteggere le transazioni finanziarie, come Safe Money di Kaspersky Lab
- Eseguire regolarmente una scansione del sistema per controllare eventuali infezioni.
I prodotti di Kaspersky Lab hanno rilevato il malware come Trojan-Banker.Win32.TinyNuke.