Aggiornamenti recenti Dicembre 11th, 2024 9:00 AM
Ago 29, 2019 Marco Schiaffino Attacchi, In evidenza, Malware, Minacce, News, RSS 0
L’autenticazione a due fattori (Two Factor Authentication o 2FA) è uno strumento per proteggere in maniera più “robusta” i nostri account. Pensare che l’uso di un sistema 2FA ci metta completamente al sicuro dal furto dell’account, però, è un errore. Se ci troviamo ad avere a che fare con il trojan TrickBot, poi, potremmo pagare caro un eventuale eccesso di fiducia.
TrickBot è un malware in circolazione da tempo (ne abbiamo parlato l’ultima volta in questo articolo) che prende di mira in particolare gli account dei servizi di home banking. Un vero flagello, che è stato mitigato solo dalla diffusione (appunto) dell’autenticazione a due fattori.
I pirati informatici che utilizzano TrickBot, però, hanno cominciato a darsi da fare per trovare il modo di scardinare i sistemi 2FA e, in particolare, quelli che utilizzano l’invio di codici via SMS, utilizzati normalmente dai sistemi di home banking.
La tecnica più efficace in questo senso si chiama SIM swapping (ne abbiamo parlato in questo articolo) e prevede, in pratica, di contattare l’operatore telefonico della vittima per chiedere una nuova SIM e la disattivazione di quella vecchia.
In questo modo i cyber-criminali potranno ricevere il codice di autenticazione sulla nuova SIM e aggirare il sistema di protezione a due fattori.
L’ostacolo che hanno di fronte i pirati è quello di dover impersonare il legittimo proprietario della SIM. In alcuni casi lo fanno sfruttando la complicità di impiegati infedeli delle compagnie telefoniche. Nel caso di TrickBot, invece, i pirati puntano direttamente ai servizi di assistenza.
Il problema (dal loro punto di vista) è che le compagnie telefoniche statunitensi utilizzano un PIN che i clienti devono usare per identificarsi quando contattano i servizi di assistenza. Per poter richiedere una nuova SIM, quindi, serve conoscere il PIN.
Ecco quindi che gli autori di TrickBot hanno pensato bene di inserire nel loro malware un modulo che gli permette di portare un attacco di phishing per ottenere il prezioso PIN.
Come spiegano i ricercatori di Secureworks in un report pubblicato su Internet, nei primi giorni di agosto il trojan è stato riprogrammato per monitorare i collegamenti ad alcuni operatori telefonici (Verizon Wireless, T-Mobile e Sprint) e iniettare codice HTML e JavaScript nel browser dei computer infetti in modo che nelle pagine di login degli operatori appaia un campo aggiuntivo: quello del PIN.
Come fanno notare gli analisti, il nuovo modulo dedicato al furto del PIN è stato inserito in tutte le installazioni di TrickBot. Questo significa che è attivo su tutti i computer già infettati dal gruppo di pirati informatici che utilizza il trojan.
Considerato che il malware è in circolazione dal 2016, stiamo parlando di un numero presumibilmente consistente di computer.
Al di là del nuovo modulo, la minaccia di TrickBot è rilevante anche per un altro motivo. I pirati informatici che gestiscono la botnet, infatti, utilizzano da tempo la formula del “malware as a service” e permettono ad altri cyber-criminali di sfruttare i PC infettati con TrickBot per installare ulteriore malware.
Una formula, questa, sempre più popolare nei bassifondi del Web e che mette a rischio un numero impressionante di persone che, oltre a finire vittima del pericolosissimo trojan , potrebbero trovarsi ad avere anche a che fare con altri attacchi, compresi i ransomware.
Dal punto di vista di chi gestisce i servizi di home banking, invece, l’intera vicenda dovrebbe servire come monito. I sistemi 2FA basati sui codici inviati via SMS stanno infatti mostrando tutti iloro limiti da (troppo) tempo. Forse è il caso di passare oltre.
Giu 19, 2024 0
Feb 05, 2024 0
Lug 03, 2023 0
Ott 05, 2022 0
Dic 11, 2024 0
Dic 10, 2024 0
Dic 09, 2024 0
Dic 09, 2024 0
Dic 10, 2024 0
In Cina scoppia il mercato nero dei dati sensibili: oltre a...Dic 09, 2024 0
Quali strumenti vengono usati in Italia per tracciare gli...Dic 06, 2024 0
Sempre più gruppi hacker stanno sfruttando gli eventi...Dic 05, 2024 0
Il settore della cyber insurance si sta espandendo: se...Dic 04, 2024 0
Le festività e gli weekend sono i periodi peggiori per le...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Dic 11, 2024 0
I ricercatori di ESET hanno scoperto il primo bootkit...Dic 10, 2024 0
In Cina scoppia il mercato nero dei dati sensibili:Dic 09, 2024 0
Quali strumenti vengono usati in Italia per tracciare gli...Dic 09, 2024 0
La Cybersecurity and Infrastructure Security Agency (CISA)...Dic 09, 2024 0
Nel corso di questa settimana, il CERT-AGID ha individuato...