Utenti Home       Utenti Aziendali       Chi Siamo       Contratto EULA.

Dettaglio news

Individuato nuovo trojan bancario: si chiama Kronos
- MERCOLEDÌ 25 LUGLIO 2018


E' stata individuata una nuova versione del trojan bancario Kronos: è stata individuata, dopo un lungo periodo di pausa, in diffusione in ben 3 diverse enormi campagne di diffusione via email. In realtà questo trojan ha subito parecchi anni di test, ma pare essere in diffusione per attacchi reali già da Giugno. 

Colpiti utenti tedeschi, giapponesi e polacchi
Le attuali tre campagne in corso sembrano mirare ad utenti specifici, ovvero a utenti di banche tedesche, giapponesi e polacche. 

Prima Campagna:
Data di inizio: 27-30 Giugno 2018
Mezzo: mail di spam contenenti un documento Word con macro dannosa.
Bersagli: utenti di 5 importanti istituti bancari tedeschi

Seconda Campagna:
Data inizio: 13 Luglio 2018
Mezzo: exploit kit RIG
Bersagli: utenti di 13 istituti finanziari giapponesi

Terza Campagna:
Data di inizio: 15-16 Luglio 2018
Mezzo: mail di spam contenenti exploit per la vulnerabilità CVE-2017-11882
Bersagli: utenti polacchi

Campagna di test:
Data di inizio: 20 Luglio 2018
Mezzo: siti web con software in download
Bersagli: non v'è un bersaglio specifico. E' una diffusione test

In tutti i casi, come detto, è in diffusione il trojan Kronos, in una versione che, rispetto all'originale, ha subito svariate modifiche ed update. 

Che cosa fa?
Kronos ha un solo obiettivo: rubare informazioni sensibili come dati finanziari, email e password. Lo fa attraverso l'uso di funzioni di keylogging. E' dotato di un modulo "formgrabber" (visualizza cioè false pagine di login molto simile alle originali dei vari istituti bancari: i dati lì inseriti finiscono in mano dei cyber criminali) e può funzionare su Chrome, Internet Explorer e Firefox. Usa perfino un sistema di iniezione difficilmente tracciabile, spesso in grado di aggirare le protezioni antivirus. 

Come funziona questo trojan?
Una volta eseguito, Kronos si installa in una nuova cartella: la persistenza sul sistema, che gli garantisce di riavviarsi a ogni riavvio del sistema, è garantita da una semplice "run key".


Fatto ciò, modifica il profilo del browser, sovrascrivendo il file user.js (o simili, in base al browser in uso) con una serie di contenuti che modificano le preferenze utente: lo scopo, senza scendere troppo in dettagli tecnici, è ottenere maggiore controllo sul comportamento del browser in uso e ridurre/disattivare le misure di sicurezza. Quindi il malware si inietta in svchost e continua a restare in esecuzione da lì. Tutto il processo è nascosto, avviene in background, cosa che rende molto difficile se non del tutto impossibile per l'utente accorgersi della presenza del trojan bancario sul proprio dispositivo. Per nascondersi infatti Kronos usa un rootkit che cela i processi infetti ai tool di monitoraggio. Ogni volta che Kronos individua un browser vi inietta il suo modulo, quindi si connette col modulo principale eseguito entro il processo svchost. Una tecnica già vista per molti trojan bancari, sopratutto quando si vogliono sottrarre dati dal browser. 

Come ulteriore tecnica di offuscamento Kronos prevede l'uso di hash per caricare dinamicamente funzioni importabili. Invece di caricare funzioni usando nomi espliciti, vengono enumerate tutte le importazioni, in particolare quando si tratta di librerie DLL, calcolando l'hash del nome nella forma DWORD, mentre Kronos li immagazzina come stringhe. Gli autori di malware usano questo metodo per offuscare le funzioni API in uso e nascondere quindi lo scopo reale di un tool dannoso. 



Consigli per stare lontani dai malware per Android
  1. Non scaricare app da app store di terze parti o tramite link inviati via SMS o email.
  2. Tieni sempre disabilitata l'opzione "Unkwnow Sources". Abilitare questa opzione consentirà l'installazione di app provenienti da fonti di terze parti che potrebbero non essere sicure. 
  3. Verifica le permissioni richieste dall'app, prima di installarla: fallo anche per quelle app che scarichi dal Google Play. 
  4. Mantieni attivo il Play Protection. 
  5. Installa una app per la sicurezza mobile affidabile che possa individuare e bloccare le app dannose o false prima che possano infettare il dispositivo. 
  6. Mantieni sempre aggiornate l'app di sicurezza e il sistema operativo. Gli attaccanti bersagliano spesso telefoni e app obsolete. 
Le soluzioni antivirus di Quick Heal dispongono di numerose funzioni contro questo tipo di minaccia: dalla funzione anti-keylogger fino all'apposita funzione Safe Banking per l'esecuzione di transazioni online in assoluta sicurezza. 


Leggi tutte le news     |     Leggi tutti gli update
Ultime news

MARTEDÌ 31 LUGLIO 2018
In estate impennata dei virus che rubano i dati bancari
L'estate, complice anche la scarsa attenzione degli utenti in vacanza, è indubbiamente uno dei periodi dell'anno preferiti dai cyber criminali. Nelle ultime settimane, co...

leggi tutte le news

Premi e Certificazioni

La qualità dei prodotti Quick Heal vanta innumerevoli premi e certificazioni a testimonianza della sempre crescente importanza del marchi a livello mondiale nel settore Antivirus e sicurezza informatica

Continua a leggere »

Chi siamo
Panoramica
La nostra storia
Premi & Certificazioni
Scheda riepilogativa
Clienti
Dicono di noi
Trova un rivenditore
Manuali e documentazione
Chiedi aiuto
Contatti
Update
Rivenditori
Diventa rivenditore
Strumenti di supporto
Link rapidi
Rinnova ora
File di installazione
Versioni di prova
Supporto
Contratto EULA.
Download Upgrade


S-MART è un marchio di proprietà netWork Sas
P.IVA: 05345670482

© 2018 nwk - Privacy Policy - Cookie Policy - Login