I ricercatori del team Forward Looking Threat Research di Trend Micro si rivelano fondamentali nell’operazione di polizia, fornendo alle autorità olandesi tutte le Informazioni necessarie per procedure con gli arresti
La polizia olandese ha comunicato di aver arrestato quattro persone per aver diffuso il malware TorRAT. Si tratta di un malware indirizzato agli utenti di lingua olandese che sfrutta il Deepweb e il sistema Tor per le comunicazioni di Command and Control (C&C) in modo da non essere rilevato. Il suo obiettivo primario era il furto finanziario dagli account di online banking.
Il malware TorRAT punta alla compromissione di un sistema attraverso l’invio di messaggi spam, spesso false fatture, confezionati a dovere, nella lingua tipica del paese e senza riportare errori grammaticali come la maggior parte dei messaggi di spam.
Per non lasciare tracce ed evitare di essere identificato dai software antivirus, il malware utilizzava un account tormail.org per le comunicazioni email e servizi di crittografia underground. La monetizzazione della frode avveniva tramite la valuta digitale bitcoin, utilizzata anche per riciclare il denaro rubato e per effettuare pagamenti ad altri componenti della gang criminale.
Questi processi rendevano molto difficile identificare i cybercriminali ma il Dutch National High Tech Crime Unit (NHTCU ) è stato comunque in grado di arrestarli grazie ad alcuni errori commessi dalla banda.
Gli errori della gang di TorRAT: anonimato della rete e tracce nascoste
Riteniamo che la gang abbia utilizzato un servizio di crittografia chiamato “SamArt”. La cifratura del malware rende molto più difficile l’individuazione da parte dei software antivirus ma se si vuole veramente nascondere la propria identità adottare un tool di terze parti mette a rischio l’anonimato. Un altro errore significativo in questo senso è stato commesso nell’autunno del 2012, quando alcuni dei server C&C anche se su sistemi Tor nascosti sono stati ospitati in un datacenter turco.
Cruciale era per la gang anche affrontare un problema classico: rubare i soldi è la parte più facile, metterseli in tasca e portali via come propri è un po’ più complesso. È relativamente semplice manipolare delle transazioni bancarie su un computer infetto ma il riciclaggio del denaro rubato implica un processo che prevede intermediari. La banda olandese avrebbe riciclato denaro attraverso operazioni di bitcoin e persino creato un proprio servizio di scambio bitcoin, FBTC Exchange, che è stato oscurato dopo gli arresti.
L’acquisto di un servizio di crittografia esterno, l’utilizzo di tormail.org e il reclutare e abusare di intermediari ha esposto i cybercriminali al rischio di essere scoperti da parte dei ricercatori più esperti. Un singolo errore può infatti portare al disfacimento di tutta l’operazione criminale.
Se da una parte Tor offre un alto grado di anonimato, inevitabilmente, ad un certo punto, gli attori criminali devono apparire da dietro il sipario di Tor per utilizzare i beni sottratti. Questo fa si che divengano rintracciabili, come conferma anche il recente arresto negli Stati Uniti del gestore di Silk Road, il mercato underground delle droghe illegali. Anche se utilizzava Tor, è stato identificato dall’FBI dopo un’indagine approfondita delle tracce e testimonianze lasciate su Internet.
