Gli esperti del Global Research and Analysis Team di Kaspersky Lab hanno trovato le prove di un attacco mirato ai clienti di una grande banca europea
Secondo i registri presenti nel server utilizzato dai criminali è stato sottratto, dai conti correnti bancari delle vittime, più di mezzo milione di euro in una sola settimana. Le prime avvisaglie di questa frode sono state individuate il 20 gennaio di quest’anno, quando gli esperti di Kaspersky Lab hanno rilevato in rete un server di comando e controllo (C&C). Il pannello di controllo del server ha indicato la presenza di un programma Trojan utilizzato proprio per rubare denaro dai conti correnti bancari dei clienti.
Gli esperti, inoltre hanno individuato i registri delle transazioni avvenute sul server contenenti informazioni sui conti correnti delle vittime e sulle somme di denaro prelevate. Sono state identificate oltre 190 vittime, la maggior parte delle quali si trova in Italia e in Turchia. Sempre secondo i registri, le somme di denaro rubate da ciascun conto bancario, oscillavano dai 1.700 ai 39.000 euro.
La truffa ha avuto inizio non più tardi del 13 gennaio 2014 ed è andata avanti per una settimana prima che fosse individuato il server di comando e controllo. In questo frangente i criminali informatici sono riusciti a rubare più di 500 mila euro. Due giorni dopo la scoperta da parte del GReATdel server C&C, i criminali hanno rimosso tutte le informazioni che avrebbero consentito di rintracciarli. Gli esperti, però, sono convinti che questo sia dovuto ai cambiamenti dell’infrastruttura tecnica utilizzata piuttosto che alla fine della campagna Luuuk.
“Una volta scoperto il server C&C abbiamo immediatamente sottoposto alle forze dell’ordine e al servizio di sicurezza della banca, le prove che avevamo su quanto stava accadendo”, ha dichiarato Vicente Diaz, Principal Security Researcher di Kaspersky Lab.
Strumenti dannosi utilizzati
Nel caso LUUUK, gli esperti ritengono che importanti dati finanziari siano stati intercettati in modo automatico e che le transazioni fraudolente venissero effettuate nel momento in cui la vittima effettuava la registrazione sui conti bancari online.
“Sul server C&C non esisteva alcuna informazione sul tipo di malware utilizzato in questa campagna di malware. Tuttavia, molte varianti di Zeus che conosciamo (Citadel, SpyEye, IceIX, ecc) hanno questo tipo di capacità. Crediamo, infatti, che il malware utilizzato in questa campagna possa essere una variante di Zeus che utilizza sofisticati processi web di infezione”, ha aggiunto Vicente Diaz.
Schemi di disinvestimento del denaro
Il denaro rubato veniva trasferito sui conti dei truffatori in un modo del tutto insolito. I nostri esperti hanno notato una stranezza nell’organizzazione di quello che in gergo si chiama ‘drops’ (o money-mules), nel quale i partecipanti alla truffa ricevono parte del denaro rubato in conti bancari appositamente creati e in contanti tramite bancomat. Sono stati individuati diversi gruppi ‘drop’ a ciascuno dei quali venivano assegnate diverse somme di denaro. Un gruppo era responsabile del trasferimento delle somme di denaro che si aggiravano tra i 40 e i 50 mila euro, un secondo gruppo si occupava delle somme tra i 15 e i 20 mila e il terzo gruppo non trasferiva più di 2 mila euro.
[blockquote style=”4″]”Le differenze nella quantità di denaro affidato a un gruppo piuttosto che ad un altro sono indicative dei livelli di fiducia goduti da ciascun drop. Capita che i membri di questi gruppi spesso ingannino i loro partner del crimine, scappando con i contanti che avrebbero dovuto trasferire. Creando diversi gruppi con differenti livelli di fiducia, coloro che gestiscono Luuuk, tentano di prevenire le perdite, quindi, più soldi vengono affidati e più è alto il livello di fiducia nei confronti del gruppo”, ha aggiunto Vicente Diaz. [/blockquote]
Il server di comando e controllo (C&C) relativo al Luuuk è stato chiuso poco dopo l’inizio delle indagini. Tuttavia, il livello di complessità dell’operazione MITB fa pensare che i criminali continueranno a cercare nuove vittime. L’indagine sull’attività Luuuk, nella quale sono impegnati gli esperti di Kaspersky Lab, è ancora in corso.
Kaspersky Fraud Prevention contro Luuuk
Le prove scoperte dagli esperti di Kaspersky Lab indicano che la truffa è stata organizzata da criminali professionisti. Tuttavia, gli strumenti utilizzati possono essere contrastati efficacemente da alcuni sistemi di sicurezza. Ad esempio, Kaspersky Lab ha sviluppato Kaspersky Fraud Prevention – una piattaforma multi livello che aiuta le organizzazioni finanziarie a proteggere i propri clienti dalle frodi finanziarie online. La piattaforma include componenti che tutelano i dispositivi client da molti tipi di attacchi, compresi gli attacchi Man-in-the-Browser, e aiutano le aziende a rilevare e bloccare le transazioni fraudolente.
