crimeware

Si definisce Crimeware qualsiasi software malevolo implementato con il preciso scopo di condurre furti d’identità e di credenziali finanziarie/bancarie.

Gli hacker hanno inoltre implementato sistemi di commercializzazione di tali malware attraverso veri e propri e-commerce presenti sul dark web noti come Crimeware-as-a-Service (CaaS).

In questo articolo ci occuperemo di approfondire le caratteristiche di un Crimeware, nonché l’intero sistema organizzativo di un marketplace di Crimeware-as-a-Service.

Crimeware, definizione e come agisce

Prima, però, di far luce su com’è strutturata l’attività di vendita di queste minacce, è opportuno fornire una breve panoramica su cosa sia effettivamente un crimeware.

Come riportato in apertura, il crimeware può essere considerato tale un qualunque malware che abbia il preciso scopo di intaccare dispositivi e sistemi IT al fine di defraudarne

  • informazioni sensibili,

  • credenziali

  • e dati di pagamento.

Sebbene possa assumere le più svariate forme, le statistiche mostrano che le tipologie più diffuse di crimeware si configurano come: trojan, keylogger, sistemi command-and-control e phishing.

Tra queste, proprio in virtù del loro principale obiettivo – ovvero, la sottrazione di credenziali finanziarie – spiccano quelli che vengono definiti Trojan Banker, di cui ci occuperemo più approfonditamente nel prosieguo.

Ma vediamo quali sono le principali tattiche d’azione di un crimeware ogniqualvolta riesce ad infettare un dispositivo:

  1. Installazione di keylogger, ovvero software o dispositivi di monitoraggio in grado di registrare tutte le attività di digitazione compiute su un dispositivo, compresi i documenti visualizzati e la cronologia di utilizzo delle app
  2. Reindirizzamento del web browser della vittima verso siti fraudolenti creati ad hoc dall’aggressore, anche quando questi digita correttamente l’URL nella barra degli indirizzi
  3. Sottrazione delle password direttamente dalla cache di navigazione
  4. Abilitazione del controllo da remoto del device
  5. Sottrazione di somme di denaro dagli account finanziari delle vittime

Crimeware-as-a-Service: in cosa consiste

Per Crimeware-as-a-Service (CaaS) si intende un programma o tool che facilita i criminali informatici nel perseguire i loro scopi illeciti.

Prendendo spunto dalla locuzione SaaS (Software-as-a-Service), nonché dalla logica di fondo nell’organizzazione di tali servizi, il CaaS si presenta come un sistema di compravendita di malware in cui

  • esperti programmatori mettono a disposizione il loro know-how nell’implementare i codici malevoli
  • altri criminali informatici, carenti di capacità tecniche, li acquistano come su un normalissimo e-commerce

Il CaaS viene definito come una forma di polimorfismo lato server, questo perché il motore polimorfico non risedé nella capacità intrinseca del codice di un malware di mutare, ma nella disponibilità di sempre nuove implementazioni sui marketplace dedicati.

Pare che questa tipologia di sistemi abbia fatto la sua prima comparsa intorno al 2008, per non arrestarsi più e far registrare dati in costante crescita anno dopo anno.

Com’è organizzato un Crimeware marketplace

Anche il processo che potrebbe essere definito contrabbando di Crimeware consta di un’organizzazione ben rodata, del tutto speculare al commercio eseguito legalmente.

Gli esperti sono riusciti a mettere in luce le tipiche modalità di commercializzazione di malware su un Crimeware marketplace:

  1. Messa a disposizione di un servizio di hosting e di risorse informatiche.
    In sostanza, l’attaccante noleggia il malware, indica il bersaglio al fornitore del servizio CaaS e sarà quest’ultimo a mettere in atto materialmente l’attacco.
  2. Esternalizzazione del processo di distribuzione, attraverso cui i cybercriminali affidano a questi servizi terzi la gestione del malware, per poi monetizzare in base al numero totale di bersagli infettati
  3. Fornitura di kit esplicativi, che illustrano ogni dettaglio circa le modalità di infezione dello specifico malware, la tipologia di bersagli e quali passaggi attuare al fine di recuperare dati sensibili e documenti riservati.
  4. Intermediazione. In ambienti poco sicuri come i marketplace sul dark web, si rende necessaria la presenza di un intermediario che garantisca all’acquirente la qualità del prodotto venduto. L’ulteriore garanzia offerta da questa figura è che la spesa sostenuta per l’acquisto verrà trattenuta in un fondo fiduciario e rilasciata soltanto quando il compratore entrerà in possesso delle informazioni estorte grazie al malware, in cambio, ovviamente, di una commissione di intermediazione.
  5. Data supplier. Oltre alla figura dell’intermediario, c’è anche chi gestisce i server utilizzati come “siti di stoccaggio” per i dati sottratti attraverso i malware.

I paradossi della commercializzazione dei Crimeware

Vediamo due paradossi legati ai servizi di commercializzazione di Crimeware-as-a-Service:

  • la sofisticazione degli attacchi cresce, ma decrescono le competenze degli attaccanti.
    Se negli anni addietro, per essere un attaccante era necessariamente possedere salde competenze informatiche, oggi non è più necessario poiché i tool automatici o kit per la creazione dei malware vengono acquistati direttamente sul web
  • inoltre, chi queste competenze le possiede, potrebbe deciderle di farle fruttare in modo illecito programmando un malware, noleggiandone il codice tramite web ma non figurare in alcun modo come soggetto coinvolto negli attacchi che verranno messi in atto.

In questo scenario, si profila, però, un fattore decisamente positivo per gli esperti di cybersecurity.
Sebbene, infatti, la fornitura di malware attraverso i CaaS abbia provocato un aumento nella:

  • sofisticazione
  • frequenza delle minacce
  • dalle rilevazioni risulta che, quantomeno attraverso tali canali, i pirati informatici non si premurino di rilasciare tipologie di attacchi totalmente sconosciute ai professionisti IT.

Per la maggior parte, infatti, si tratta di entità maliziose ben note già da molto tempo, tra cui:

  • trojan
  • keylogger
  • phishing
  • strutture di Command-and-Control.

Tecnologie che ne facilitano la proliferazione

Alla luce di quanto appreso, è lecito domandarsi quali siano gli stratagemmi utilizzati dagli hacker per sfuggire ai controlli di sicurezza.

La risposta si cela dietro tre fattori chiave:

  1. pagamenti in criptovaluta
  2. reti di anonimato, quali ad esempio Tor
  3. avanzamento della tecnologia informatica mobile, ovvero la diffusione capillare di smartphone e dispositivi portatili.

Nello specifico, la criptovaluta rappresenta una tipologia di moneta elettronica, nota come moneta elettronica anonima.
Questa tipologia di valuta, da sempre utilizzata sul dark web sottoforma di SIM telefoniche prepagate o gift card, garantisce:

  • transazioni accettate a livello internazionale
  • irreversibilità
  • assenza di legislazione
  • e anonimato tanto per il compratore che per il venditore

Il Bitcoin, la criptovaluta più utilizzata, in particolare offre l’ulteriore vantaggio di non essere emesso (e quindi controllato) da alcuna banca centrale o società finanziaria.

Tipologie più diffuse di Crimeware: i Trojan Banker

Come anticipato in apertura, i crimeware vengono definiti tali qualora il malware (di qualsiasi tipo esso sia) miri alla sottrazione di credenziali, soprattutto se di natura finanziaria.

Tra questi, lo ricordiamo, spiccano proprio i Trojan bancari.

Illustriamo, quindi, quali sono i Trojan Banker ad oggi più diffusi:

  • Emotet

    Nato come trojan bancario, poi evolutosi in dropper, quindi veicolo di diffusione per altri trojan bancari.
    Il vantaggio offerto dalla configurazione come dropper è quello di far rimanere il codice maligno silente, per evitare che venga rilevato dagli antivirus.
    Viene diffuso solitamente tramite e-mail di phishing contenenti allegati Word (.docx) infetti da scaricare.

  • Trickbot

    Scoperto per la prima volta nel 2016, si è evoluto in un malware altamente modulare e multi-stadio che fornisce ai suoi operatori una suite completa di strumenti per condurre una miriade di attività informatiche illegali.

Come arginare il fenomeno crimeware

Sfortunatamente, trattandosi di un’intera impalcatura organizzativa, per arginare il sistema CaaS non è possibile identificare una specifica tecnica di cybersecurity come panacea di tutti i mali.

Si rende, quindi, necessario un approccio olistico che comporti un serrato coordinamento tra forze legislative e le società che si occupano di sicurezza IT.

Senza dubbio, un tassello fondamentale in tal senso può essere costituito dalla Cyber Threat Intelligence nel suo ruolo chiave di investigazione in forum e marketplace illegali presenti sul deep web.

Lato utente, le raccomandazioni per non incorrere in un Crimeware che possa rubare la propria identità digitale o gli estremi delle carte di credito prevedono sostanzialmente:

  1. aggiornamenti periodici di browser e app

  2. esecuzione regolare di un backup dei propri dati

  3. utilizzo di password complesse per i propri account, soprattutto nell’ambito dell’online banking

  4. non scaricare file o fare click su link sospetti contenute nelle e-mail

  5. abilitare l’autenticazione a due fattori.

Chi è Onorato Informatica?

Azienda specializzata in sicurezza informatica da oltre 15 anni, certificata ISO 9001 e 27001

Onorato Informatica è un’azienda informatica, specializzata in sicurezza informatica, da oltre 15 anni.
Forniamo servizi di Vulnerability Assessment e Penetration Test a oltre 4500 clienti in tutta Italia.

Ci occupiamo di Cyber Security dalle nostre sedi di Mantova, Parma, Milano e Los Angeles. Siamo un’azienda certificata ISO 9001ISO 27001 e azienda etica.

Se vuoi conoscere i servizi di sicurezza informatica e sapere come possiamo aiutarti, contattaci.

Articoli che potrebbero interessarti: