Utenti Home       Utenti Aziendali       Chi Siamo       Contratto EULA.

Dettaglio news

Terdot: come un trojan bancario si trasforma in un raffinato tool di hackeraggio in pochi mesi
- MARTEDÌ 21 NOVEMBRE 2017


Terdot
non è nuovo: è un trojan bancario individuato nell'Ottobre del 2016 e che è stato affinato e modificato fino a trasformarsi in un raffinato e sofisticato strumento di hackeraggio che funziona prima di tutto come trojan bancario, ma può fungere anche da infostealer (sottrae cioè informazioni sensibili) e da backdoor (la famosa "porta sul retro" che i cyber criminali aprono per avere sempre accesso al dispositivo infetto).

Non è molto diffuso, ha colpito principalmente utenti in Canada, ma ne parliamo per far comprendere quanto gli strumenti di attacco siano sempre più raffinati e quanto, in conseguenza, essere consapevoli e premunirsi di strumenti validi di difesa sia diventato molto importante.

Come si diffonde?
Il trojan viene diffuso principalmente tramite l'exploit kit Sundown (gli exploit kit sfruttando le vulnerabilità dei software o dei sistemi operativi per "entrare" nei dispositivi) e, in seconda battuta, tramite e-mail di spam. Quello che avviene via email è piuttosto particolare: chi riceve l'email vettore trova, al suo interno, soltanto l'icona di un PDF. Se l'utente fa click sull'icona, si eseguirà il codice JavaScript dannoso che scaricherà, quindi eseguirà, il malware Terdot.


Che cosa fa?
Il trojan non è un pezzo unico di codifica, ma si basa sul codice sorgente del famigerato trojan bancario Zeus che è stato divulgato online nel 2011. Il gruppo criminale che ha sviluppato Terdot non si è però accontentato di riprendere le caratteristiche standard di Zeus. Ha invece ampliato il codice originario e aggiunto nuove funzionalità di attacco. Ciò che è stato preso da Zeus è il meccanismo che consente di iniettare direttamente il codice nei processi del browser e la configurazione di sistema, cosa che consente di controllare quali pagine Terdot deve colpire e come. Ma ciò che assolutamente è nuovo è che Terdot può gestire un server proxy MitM locale (Man in the Middle, una tecnica di attacco in cui lo scambio di informazioni tra due poli viene intercettato e alterato da un terzo che si pone, appunto, in mezzo ai due) per sniffare e reindirizzare il traffico web. Oltre a può scaricare ed eseguire file da un server remoto, quindi può scaricare malware all'infinito. Terdot esegue tutte queste operazioni non tramite codice modificato, il quale potrebbe allertare i software di sicurezza, ma tramite tool legittimi che sono molto spesso in whitelist (cioè sempre consentiti). L'uso di tool e certificati legittimi per operazioni dannose è ormai un trend in questo 2017.

Chi sono le vittime?
Come detto, Terdot ha preso di mira soprattutto istituti canadesi ma cerca anche le credenziali di accesso a servizi email e social come Live.com, Yahoo Mail, Gmail, Facebook, Twitter, Google+ e YouTube. E' stato invece individuato il codice che specifica al trojan di evitare di raccogliere le credenziali di VK.com, il più grande social network della Russia.


Leggi tutte le news     |     Leggi tutti gli update
Ultime news

VENERDÌ 6 DICEMBRE 2019
Deep web e dark web: le parti nascoste del web - cosa sono, come funzionano
Il web che moltissimi di noi conoscono e navigano ogni giorno è solo una infinitesimale parte dell'infinito complesso di pagine disponibili online: parliamo della parte e...

leggi tutte le news

Premi e Certificazioni

La qualità dei prodotti Quick Heal vanta innumerevoli premi e certificazioni a testimonianza della sempre crescente importanza del marchi a livello mondiale nel settore Antivirus e sicurezza informatica

Continua a leggere »

Chi siamo
Panoramica
La nostra storia
Premi & Certificazioni
Scheda riepilogativa
Clienti
Dicono di noi
Trova un rivenditore
Manuali e schede tecniche
Chiedi aiuto
Contatti
Update
Rivenditori
Diventa rivenditore
Strumenti di supporto
Link rapidi
Rinnova ora
File di installazione
Supporto
Contratto EULA.
Download Upgrade

S-MART è un marchio di proprietà netWork Sas
P.IVA: 05345670482

© 2019 nwk - Privacy Policy - Cookie Policy - Login