Internet Banking, attenzione al malware Panda

Un nuovo malware, denominato Panda Banker, sta prendendo di mira gli utenti di diverse banche italiane. Panda è probabilmente una variante del noto trojan Zeus e ha lo scopo principale di rubare credenziali di accesso ai servizi di Internet Banking e di eseguire operazioni bancarie all’insaputa dell’utente. 

I ricercatori ASERT hanno individuato due recenti campagne di attacco attive contro gli utenti di alcune delle maggiori banche italiane. Arbor Networks (fornitore mondiale di protezione da attacchi DDoS nei segmenti Enterprise, Carrier e Mobile) ha contattato i CERT (Computer Emergency Response Team) degli istituti coinvolti ed è a disposizione per fornire i dettagli di cui ASERT è in possesso.

Il malware viene distribuito attraverso campagne di invio email, provenienti da mittenti apparentemente legittimi, contenenti un allegato PDF, ZIP o EXE che, se aperto, installa (ovviamente all’insaputa dell’utente) il downloader Andromeda che si occupa quindi di infettare il pc con Panda. Una volta infetto, il computer contatta i server di Comando e Controllo (C&C) al fine di comunicare i dati della vittima ed eventualmente autoaggiornarsi per includere nuove funzionalità, incluse quelle di ransomware (1).

Oltre a rubare password e credenziali di accesso, Panda utilizza strumenti automatizzati per eseguire pagamenti e movimenti di fondi quando l’utente è collegato ai siti target.

Diverse campagne di attacco sono state scoperte negli scorsi mesi, mirate di volta in volta a Olanda, Australia, Brasile, Italia e altri paesi europei. Ciò, insieme alla modalità di diffusione di Panda, fa supporre che diversi gruppi localizzati di attaccanti utilizzino “a noleggio” l’infrastruttura di Andromeda per distribuire il nuovo malware e aggiungere i pc infetti alla loro botnet.

Si stima che i malware cosiddetti “banker” abbiano fruttato ai loro autori miliardi di dollari nel corso degli anni.

Come difendersi

E’ importante comprendere che la prima regola di igiene personale per quanto riguarda Internet è di non cliccare mai su allegati, specialmente se non richiesti esplicitamente, prima di averne verificata l’autenticità col presunto mittente.

In quanto le campagne di attacco sono focalizzate sugli utenti dei servizi di banking e le operazioni generate dal trojan appaiono provenienti da connessioni legittime, è molto difficile per le banche coinvolte predisporre meccanismi di difesa sui siti stessi. E’ quindi importante controllare periodicamente la lista delle operazioni del proprio Internet Banking al fine di individuare al più presto eventuali movimenti inattesi.


(1) Ransomware
Come la maggior parte del malware, anche il ransomware può provenire dall’apertura di un allegato malevolo in un’email, da un clic su un pop-up ingannevole o semplicemente dalla visita di un sito web compromesso. Mette a rischio le aziende in una delle seguenti modalità: bloccando lo schermo di un utente o crittografando i file.
Il ransomware lock-screen, come suggerisce il nome, provoca il ‘congelamento’ del PC visualizzando un messaggio con la richiesta di riscatto del criminale, rendendo il computer inutilizzabile fino a quando il malware viene rimosso. Se questo è un fastidio per gli utenti, è una cosa superabile perché riguarda generalmente un singolo PC, ed è di solito relativamente facile da rimuovere.

One Response

  1. Anonimo 1 dicembre 2016

Leave a Reply