Si chiama “Panda banker”, ed è un nuovo trojan che prende di mira gli utenti onine delle banche italiane, con l’obiettivo di carpire le loro credenziali d’accesso per poter poi effettuare operazioni dai conti online all’insaputa dei titolari. Panda, ricostruiscono Marco Gioanola, senior consulting engineer di Arbor Networks e Dennis Schwarz, Asert Research Analyst, è probabilmente una variante del noto trojan Zeus. I ricercatori Asert hanno individuato due recenti campagne di attacco attive contro gli utenti di alcune delle maggiori banche italiane, mentre Arbor ha contattato i Cert (computer emergency response team) degli istituti coinvolti.
Il malware, spiegano Gioanola e Schwarz, viene distribuito attraverso campagne di invio email, provenienti da mittenti apparentemente legittimi, contenenti un allegato Pdf, Zip o Exe che, se aperto installa, ovviamente all’insaputa dell’utente, il downloader Andromeda che si occupa quindi di infettare il pc con Panda. Una volta infetto, il computer contatta i server di Comando e Controllo (C&C) al fine di comunicare i dati della vittima ed eventualmente autoaggiornarsi per includere nuove funzionalità, incluse quelle di ransomware.
“Oltre a rubare password e credenziali di accesso – sottolineano Gioanola e Schwarz – Panda utilizza strumenti automatizzati per eseguire pagamenti e movimenti di fondi quando l’utente è collegato ai siti target”.
Diverse campagne di attacco sono state scoperte negli scorsi mesi, mirate di volta in volta a Olanda, Australia, Brasile, Italia e altri paesi europei. Ciò, insieme alla modalità di diffusione di Panda, fa supporre che diversi gruppi localizzati di attaccanti utilizzino “a noleggio” l’infrastruttura di Andromeda per distribuire il nuovo malware e aggiungere i pc infetti alla loro botnet.
Ma come ci si può difendere da questa minaccia? “La prima regola di igiene personale per quanto riguarda Internet – spiegano i due esperti – è di non cliccare mai su allegati, specialmente se non richiesti esplicitamente, prima di averne verificata l’autenticità col presunto mittente. In quanto le campagne di attacco sono focalizzate sugli utenti dei servizi di banking e le operazioni generate dal trojan appaiono provenienti da connessioni legittime, è molto difficile per le banche coinvolte predisporre meccanismi di difesa sui siti stessi. E’ quindi importante controllare periodicamente la lista delle operazioni del proprio Internet Banking al fine di individuare al più presto eventuali movimenti inattesi”.