AdminKit - Tekkie

Brasile: un paese ricco di banker
Dmitrij Bestuzhev
Chiunque si sia occupato di analisi del codice dei malware sviluppati per il furto di dati
bancari sarà certamente d'accordo sul fatto che il Brasile sia uno dei paesi in cui si
producono più banker. Ma perché è proprio il Brasile uno dei leader della produzione di
questo tipo di malware? Chi c'è dietro questo tipo di crimini, e qual è il ritratto del
cybercriminale medio? L'analisi delle particolarità del codice dei malware scritti in
Brasile ci ha permesso di trarre alcune interessanti conclusioni in merito.
Perché proprio il Brasile?
Il Brasile è uno dei paesi più ricchi dell'America Latina, abitato da circa 200 milioni di
persone. Circa un terzo della popolazione, quindi circa 70 milioni di persone, usa
Internet, e il numero di utenti è in continua crescita.
In Brasile ci sono differenze sociali molto pronunciate tra i più poveri, la classe media e i
ricchi. In questa situazione di divario, la ricchezza degli uni spinge gli altri, quelli con
minori possibilità, a intraprendere attività illegali, nel caso specifico: la realizzazione di
malware volti al furto di dati bancari. Tenendo inoltre conto del fatto che nel paese i
sistemi di Internet banking sono in crescita, questo tipo di attività criminale deve
probabilmente sembrare piuttosto attraente. Infine, nella legislazione brasiliana
mancano norme che permettano di contrastare con efficacia i criminali informatici.
Le maggiori banche brasiliane sono il Banco do Brasil, i cui servizi Internet hanno circa
7.900.000 utenti, Bradesco (6.900.000 utenti), Itaú (4.200.000 utenti), Caixa (3.690.000
utenti). Si tratta di un grande bacino di utenza, che fa certamente gola ai criminali:
anche se la percentuale di attacchi che ha effettivamente successo rimanesse bassa, i
profitti per i criminali possono essere estremamente elevati.
Truffe
Purtroppo molti clienti di diverse banche sono fatti oggetto di attacchi di pirateria
informatica.
Page 1
Distribuzione
in
quote
dei
malware
che
rubano
i dati personali dei clienti di varie banche
Come si può vedere dal grafico, la gran parte dei malware sviluppati per il furto di
denaro dai conti bancari ha come bersaglio i clienti delle banche Bradesco, Caixa,
Banco do Brasil e Itaú: non è affatto una sorpresa, considerando che si tratta delle
banche più importanti, i cui servizi vengono utilizzati da milioni di persone.
Oltre al numero di clienti, a condizionare la scelta di quale banca aggredire ci sono
anche i meccanismi di difesa utilizzati dalle organizzazioni stesse. Cosa fanno le
banche per garantire la sicurezza delle transazioni dei clienti?
Molte banche, prima di garantire al cliente l'accesso alla propria pagina Web, gli offrono
di installare lo speciale plug-in G-Buster, il cui compito è bloccare qualsiasi malware
presente sul computer del cliente al momento dell'autorizzazione o direttamente al
momento della transazione. In particolare, le banche Caixa e Banco do Brasil utilizzano
solo questo meccanismo per difendere i clienti. Purtroppo, come vedremo in seguito, la
presenza nel computer del plugin G-Buster non garantisce in alcun modo la sicurezza
delle operazioni bancarie via Internet.
Altre banche, come Itaú, oltre al plugin offrono altri mezzi di protezione: token o security
card (tessere di sicurezza).
Page 2
La security card utilizzata dalla banca Itaú
Inoltre, la banca Bradesco fornisce un ulteriore mezzo di difesa, che consiste nel
generare per ogni cliente una coppia unica di chiavi cifrate (certificati). Una delle chiavi
viene conservata sul computer del cliente, l'altra si consiglia di conservarla in di un
dispositivo di memoria esterno. Al momento dell'accesso al sito della banca, il sistema
richiede all'utente il percorso di accesso al secondo certificato. Per ottenere l'accesso, il
cliente deve inserire nel computer la memoria esterna (ad esempio una memoria flash)
su cui è conservato il secondo certificato.
Dei pregi e difetti dei diversi tipi di autenticazione utilizzati dalle banche abbiamo già
parlato
sul
nostro
blog
http://www.securelist.com/ru/weblog/31971/Bezopasnost_dlya_chelovecheskogo_faktor
a. Teoricamente tali meccanismi dovrebbero essere in grado di garantire una sufficiente
sicurezza agli utenti. Nella pratica, come vedremo in seguito, non è affatto così.
Purtroppo, i sistemi di difesa utilizzati o non garantiscono la completa sicurezza dei
clienti o costano e gli utenti non intendono acquistarli. Ad esempio, per ottenere il token
occorre pagare. È proprio per questo che i clienti si rifiutano di utilizzare tali apparecchi
e pertanto diventano vulnerabili agli attacchi dei criminali.
A quali metodi ricorrono i criminali per aumentare l'efficacia degli attacchi di massa ai
computer degli utenti?
Contagio dei siti
Il mezzo principale attraverso cui si diffondono i malware sono le pagine Web. Per il
download di programmi dannosi, i criminali effettuano un uso illecito delle pagine
perfettamente legali su diversi domini, registrati in tutto il mondo, utilizzando siti di
hosting temporanei o gratuiti. È interessante notare che come hosting gratuito per la
diffusione dei malware si utilizzano spesso domini dell'azienda russa RBC Media:
nm.ru, pochta.ru e così via.
Page 3
In alcuni casi, quando i truffatori organizzano azioni veramente serie e pertanto hanno
bisogno non di un sito temporaneo ma di una risorsa di lunga durata, utilizzano un
hosting stabile per gli attacchi, con applicazioni in grado di determinare l'indirizzo IP
delle potenziali vittime. La conoscenza dell'indirizzo IP del visitatore della pagina
"contaminata" consente ai cybercriminali di sferrare attacchi mirati e nascondere i
malware agli antivirus. Agli specialisti della sicurezza in Internet e a tutti coloro che non
risiedono nei paesi dell'America Latina non viene inviato un codice binario dannoso.
Nella maggior parte dei casi al massimo ricevono foto di ragazze brasiliane.
Come fanno i clienti delle banche a finire sulle pagine "infette"? A condurli su pagine di
quel tipo sono i messaggi di spam, preparati con l'aiuto dei metodi classici del social
engineering. A volte tali messaggi ed e-mail imitano comunicati inviati dalla banca
stessa, o notizie "scottanti" legate alla vita sociale del paese. E poi ci sono,
naturalmente, i messaggi spam pornografici. Quale che sia il tipo di messaggio, il link al
suo interno porta a una risorsa sotto il controllo dei criminali.
Attacco "alla brasiliana"
È importante notare che i banker brasiliani non si diffondono mai come file singoli: nel
processo di infiltrazione nel computer della vittima viene sempre installato un intero
pacchetto di malware aggiuntivi.
I cybercriminali effettuano attacchi molto complessi e non si concentrano solo sui dati
bancari. Lo schema classico del processo di infezione è il seguente:
Page 4
Schema classico di infezione dei computer dei clienti delle banche
All'inizio nel server si trova un trojan, che ha il compito di scaricare e installare nel
sistema dell'utente tutti gli altri malware:

il programma che ruba i dati relativi al social network dell'utente;

il programma che combatte gli antivirus;

uno o due banker, con il compito di monitorare tutte le comunicazioni con la
banca, intercettare nome utente e password e inviarli al pirata informatico.
Social network
I social network rappresentano, al giorno d'oggi, una fonte importante di informazioni di
qualsiasi tipo sui loro utenti: nome completo, data e luogo di nascita, stato sociale e
altro ancora. Tutti questi dati possono essere facilmente utilizzati dai cybercriminali, ad
esempio allo scopo di ottenere, attraverso il call center della banca, i codici PIN delle
carte bancarie dell'utente in modo «ufficiale».
Il social network più popolare in Brasile è Orkut. Questa rete conta circa 23 milioni di
utenti in tutto il mondo, il 54% dei quali vive in Brasile. Una cifra non da poco. Sono
Page 5
proprio gli utenti di questo social network quelli esposti con maggior frequenza agli
attacchi dei cybercriminali brasiliani.
Frammento di codice scritto per tentare il furto della password del social network Orkut
Di regola, i dati personali e la password di accesso al social network vengono spediti
per e-mail all'indirizzo del cybercriminale.
Lotta ai sistemi di difesa
In che modo i cybercriminali contrastano gli antivirus installati nei computer e il plugin
G-Buster?
Va ricordato che proprio tale plugin dovrebbe garantire la sicurezza delle transazioni dei
clienti di diverse banche. Per proteggere G-Buster dalla cancellazione ad opera dei
malware, i suoi autori utilizzano una tecnologia rootkit allo scopo di radicare il plugin in
profondità nel sistema. E invece i cybercriminali usano, come arma contro il plugin, dei
programmi del tutto legali pensati appositamente per la lotta ai rootkit.
Il più popolare tra questi programmi è l'anti-rootkit Avenger. All'arrivo sul computer della
vittima, il trojan-downloader scarica nel sistema proprio questa utility, insieme a un
elenco dei file da cancellare (istruzioni). Tutto ciò di cui hanno bisogno i cybercriminali
per rimuovere il plugin in modo efficace è installare l'utility e riavviare il sistema.
Page 6
Funzionamento del codice di rimozione del plugin G-Buster che utilizzano l'utility antirootkit Avenger
L'unico parametro di cui ha bisogno l'utility per funzionare è il percorso (comprensivo di
nome) dei file da eliminare. Come si può vedere dalla schermata, in questo caso il
plugin G-buster può essere rimosso solo da sistemi in cui sia stato installato in
portoghese o in inglese.
Dopo il riavvio, il plugin viene eliminato completamente dal sistema e al suo posto, in
alcuni casi, ne viene installato un altro modificato contenente il malware. Il plugin
modificato permette all'utente l'accesso al conto bancario, ruba i dati al momento
dell'accesso e li invia al pirata.
Questo stesso percorso, cioè l'uso di anti-rootkit Avenger con indicazione precisa dei
file da cancellare all'avvio del computer, si usa per rimuovere anche gli antivirus dal
sistema dell'utente.
Furto dei dati
Il trojan-banker scaricato nel computer dell'utente, dopo una normale transazione
bancaria, intercetta i dati ottenuti dall'accesso al conto della vittima e li spedisce per email all'indirizzo del criminale informatico, oppure a un server FTP o un server remoto
contenente un database.
Page 7
Frammento di codice che risponde all'invio dei dati rubati al server remoto contenente il
database
Estratto dal database (conti degli utenti rubati dai cybercriminali)
Estratto dal database della banca Bradesco (dati dei clienti, rubati dai cybercriminali)
Page 8
Nelle immagini abbiamo riprodotto alcuni estratti da database reali, su cui sono
conservati i dati dei clienti: username, password, certificato di sicurezza e così via
Ma i cybercriminali non si limitano al furto dei dati bancari e delle informazioni
d'accesso ai social network. Spesso cercano di ottenere l'indirizzo MAC della scheda di
rete dell'utente, l'indirizzo IP, l'identificativo del computer e altri dati che possano essere
utilizzati per l'accesso al conto bancario. Allo stesso tempo tentano di difendersi e
compromettere la loro vittima: in caso di inchiesta da parte della banca, dai log
risulterebbe che è stato il cliente a prelevare da o depositare in un dato conto le relative
somme di denaro.
Anche gli indirizzi e-mail presenti nel computer infetto e la password di accesso al
sistema rappresentano una preda allettante per i cybercriminali. Innanzitutto perché
spesso tali indirizzi e password sono gli stessi utilizzati per l'accesso agli account nei
social network. E, come abbiamo detto in precedenza, ciò apre notevoli opportunità per
futuri atti criminosi. Inoltre, questi stessi indirizzi possono essere quelli depositati in
banca come indirizzi e-mail da usare per contatti e comunicazioni ufficiali con il cliente.
Questi, in tali casi, vengono considerati in genere affidabili dalle banche. Provate solo a
pensare cosa possono fare dei cybercriminali che riescano ad accedere a tali indirizzi!
Anche per il furto della password di posta elettronica i cybercriminali si avvalgono di
programmi legali, quelli utilizzati dai tecnici e dagli operatori in tutti quei casi in cui un
utente smarrisce o dimentica la password e ha bisogno di aiuto per ripristinarla. Questi
programmi sono in grado di leggere le password nascoste nei client di posta più diffusi:
Microsoft Outlook, Microsoft Outlook Express e così via.
Gli indirizzi di posta elettronica e le password di accesso rubate vengono poi inoltrate al
criminale attraverso un server Web remoto.
Page 9
Parte di codice dal quale si evince come gli indirizzi rubati vengano inoltrati a un server
Web remoto
I dati rubati dai cybercriminali vengono conservati in un server Web
Page 10
Ritratto di un cybercriminale
Dopo avere ricevuto i dati personal dell'utente e l'accesso al suo conto bancario, i
cybercriminali, se si parla di cifre sostanziose, utilizzano un "mulo" via Internet, sul cui
conto viene effettuata la prima transazione dal conto della vittima. Il mulo, a sua volta,
trasferisce il denaro su un altro conto, trattenendo una certa percentuale della somma
come corrispettivo. Quando il furto dal conto è di somme modeste, (200-500 dollari),
allora in linea di massima i soldi vengono trasferiti direttamente sul conto del
cybercriminale con una sola transazione.
Per capire chi si nasconde dietro queste operazioni è necessario analizzare i seguenti
fatti:

quasi tutti gli esemplari di banker rinvenuti sono scritti in linguaggio Delphi;

alcuni esemplari risultano infetti da virus - Virut oppure Induc;

in alcuni casi per diffondere il malware vengono utilizzate illecitamente pagine
Web del tutto legali.
Dall'analisi dei programmi universitari brasiliani è risultato chiaramente che Delphi non
fa parte dei linguaggi di programmazione insegnati nelle università. La programmazione
in Delphi non si impara all'università ma solo in specifici corsi di programmazione o
negli istituti tecnici. Ciò significa che i cybercriminali non devono necessariamente
essere laureati o universitari e anzi possono essere anche molto giovani.
Il fatto che gli esemplari di banker riscontrati siano infetti a loro volta da virus quali Virut
potrebbe significare che anche i computer dei cybercriminali sono infetti. Molto spesso
questo tipo di contagio ha origine nei siti con crack per i software, numeri di serie e
codici per i programmi e contenuto pornografico, ma anche nei siti p2p. Sono
soprattutto questi siti e programmi quelli più usati dai cybercriminali. In Brasile sono
visitati soprattutto da ragazzi, e questa potrebbe essere un'ulteriore prova a supporto
della giovane età dei cybercriminali brasiliani, anche se la pirateria informatica non
conosce limiti né fasce d'età preferenziali.
Il fatto che i cybercriminali usino illecitamente pagine Web perfettamente legali è una
prova del loro lavoro di squadra. Ogni membro del gruppo ha la sua specializzazione:
hacking, scrittura codice di malware e così via.
Se le cose stanno così allora, secondo le nostre ipotesi, dietro gli attacchi informatici ai
clienti delle banche brasiliane non c'è mai una sola persona, ma sempre gruppi di
Page 11
cybercriminali nei quali si trovano giovani di famiglie poco abbienti. La sete di guadagni
facili spinge queste persone a mantenersi così: scrivere il codice di un malware,
attaccare i clienti delle banche, rubare i soldi, spenderli e ricominciare da capo. È un
circolo vizioso da cui è molto difficile tirare fuori i giovani.
Una recente inchiesta della polizia brasiliana, conclusasi con l'arresto di diverse
persone, conferma le nostre ipotesi. Di seguito sono riportate alcune foto degli arrestati.
Foto di cybercriminali (dagli archivi della polizia federale del Brasile)
Sembrerebbe che il nostro ritratto del cybercriminale sia grossomodo realistico. E
invece la realtà non è così semplice.
Page 12
Inchiesta russa
I tipici banker brasiliani hanno una serie di particolarità, tra cui dimensioni dei file
notevoli e stringhe in portoghese nel codice. Tuttavia, con una periodicità piuttosto
regolare, si riscontrano, nella massa di malware simili, degli esemplari molto particolari.
Questi banker sono strutturati in modo tale da sembrare a un primo sguardo identici a
quelli classici: non solo attaccano le stesse banche, ma i nomi dei file potrebbero
corrispondere ai nomi utilizzati dai cybercriminali brasiliani. Un'analisi più approfondita
però ha permesso di individuare una serie di differenze:

le dimensioni dei file sono state ottimizzate;

il sistema operativo su cui avviene la compilazione non è in lingua portoghese;

il furto dei dati avviene attraverso canali sicuri.
Chi c'è dietro questi banker? Sempre criminali brasiliani ma più istruiti? Probabilmente
no.
Innanzitutto, al posto del classico Avenger, per il furto del plugin di sicurezza della
banca viene utilizzato un altro anti-rootkit denominato Partizan. Questo anti-rootkit fa
parte del programma UnHackMe, che viene fornito anche in russo.
In secondo luogo, come abbiamo già detto, nel codice mancano stringhe in portoghese.
E infine, dall'analisi del canale sicuro utilizzato per trasmettere i dati sono state
riscontrate alcune interessanti informazioni di registrazione:
Informazioni
di
registrazione
di
uno
dei
messaggi
utilizzati per la trasmissione dei dati bancari rubati
Chi potrebbe esserci dietro questi attacchi? A un primo sguardo questi malware si
direbbero l'opera di programmatori brasiliani. Quindi, se venisse avviata un'inchiesta
probabilmente i colpevoli verrebbero cercati in Brasile e nel frattempo, almeno a
giudicare dalle informazioni di registrazione e da altri segni distintivi (ad esempio la
lingua di programmazione, le dimensioni del file e le stringhe di codice), nel caso in
Page 13
esame i soldi dei clienti delle banche brasiliane verrebbero rubati da criminali russi. A
quanto pare qualcuno ha fatto gol al Brasile!
Conclusioni
La polizia brasiliana sta svolgendo un lavoro molto serio nella ricerca dei cybercriminali.
Perché allora la quantità di malware cresce di giorno in giorno?
Probabilmente il problema risiede nel modo in cui reagiscono le banche in caso di
appropriazione indebita del denaro dei clienti: cercando di evitare di sollevare troppo
clamore con un'indagine. Se un cliente, a causa dell'attacco al proprio computer da
parte di un malware, perde del denaro, le banche preferiscono compensare la somma
perduta, evitando un'indagine pubblica vera e propria. Al cliente viene semplicemente
consigliato di formattare il proprio computer, disinstallando il sistema operativo.
Inoltre ci sono anche problemi di scambio di dati tra le unità anti-crimini informatici dei
diversi stati del Brasile. Questa, va detto, è una questione che non riguarda solo il
Brasile, ma anche molti altri paesi.
Uno dei fattori alla base del successo di questi cybercriminali è il livello piuttosto basso
di preparazione in materia di sicurezza Internet degli utenti, cioè i clienti delle banche.
Finché sussistono questi problemi (basso livello di preparazione degli utenti in ambito di
sicurezza Web, politica delle banche, le condizioni sociali, l'assenza di leggi apposite),
c'è poca speranza che Internet diventi un luogo più sicuro. Probabilmente le banche in
passato hanno preferito risparmiare sui sistemi e dispositivi accessori di protezione dei
clienti, invece di offrire i servizi a pagamento. Comunque, in definitiva questo
comportamento ha permesso di ridurre le probabilità che avvenga un'appropriazione
indebita del denaro dei clienti, in altre parole i proventi per i criminali si riducono.
È evidente anche che è necessario operare con nuovi sistemi di scambio d'informazioni
tra le aziende che si occupano di sicurezza informatica, nonché tra le forze dell'ordine
dei diversi paesi. Fino a quando non si avvierà la giusta collaborazione è difficile che si
riuscirà a ridurre sensibilmente la quantità di crimini informatici.
Informazioni su Kaspersky Lab
Kaspersky Lab offre la migliore protezione contro minacce IT quali virus, spyware,
crimeware, hacker, phishing e spam. Le soluzioni Kaspersky Lab hanno i più rapidi
tempi di reazione contro le minacce per la protezione di utenti consumer, PMI, aziende
Enterprise e dispositivi mobili. Le tecnologie Kaspersky Lab vengono inoltre utilizzate
all’interno di prodotti e servizi delle più importanti aziende IT.
Page 14
Per ulteriori informazioni su Kaspersky Lab, visitate il sito www.kaspersky.it. Per
informazioni su antivirus, anti-spyware, anti-spam ed ogni altro tema legato alla
sicurezza informatica, visitate il sito www.stop-cybercrime.it
Contatti per la stampa
Kaspersky Lab
Alessandra Venneri
[email protected]
Tel +39 06.58891031
Mob +39 335.1980618
Sangalli M&C srl
Michela Sangalli
[email protected]
Francesco Corona
[email protected]
tel +39 02.89056404 fax +39 02.89056974
www.sangallimc.it
©
2009 Kaspersky Lab.
Page 15