A cura di
Dmitrij Bestuzhev
Chiunque si sia occupato di analisi del codice dei malware sviluppati per il furto di dati bancari sarà certamente d’accordo sul fatto che il Brasile sia uno dei paesi in cui si producono più banker. Ma perché è proprio il Brasile uno dei leader della produzione di questo tipo di malware? Chi c’è dietro questo tipo di crimini, e qual è il ritratto del cybercriminale medio? L’analisi delle particolarità del codice dei malware scritti in Brasile ci ha permesso di trarre alcune interessanti conclusioni in merito.
Perché proprio il Brasile?
Il Brasile è uno dei paesi più ricchi dell’America Latina, abitato da circa 200 milioni di persone. Circa un terzo della popolazione, quindi circa 70 milioni di persone, usa Internet, e il numero di utenti è in continua crescita.
In Brasile ci sono differenze sociali molto pronunciate tra i più poveri, la classe media e i ricchi. In questa situazione di divario, la ricchezza degli uni spinge gli altri, quelli con minori possibilità, a intraprendere attività illegali, nel caso specifico: la realizzazione di malware volti al furto di dati bancari. Tenendo inoltre conto del fatto che nel paese i sistemi di Internet banking sono in crescita, questo tipo di attività criminale deve probabilmente sembrare piuttosto attraente. Infine, nella legislazione brasiliana mancano norme che permettano di contrastare con efficacia i criminali informatici.
Le maggiori banche brasiliane sono il Banco do Brasil, i cui servizi Internet hanno circa 7.900.000 utenti, Bradesco (6.900.000 utenti), Itaú (4.200.000 utenti), Caixa (3.690.000 utenti). Si tratta di un grande bacino di utenza, che fa certamente gola ai criminali: anche se la percentuale di attacchi che ha effettivamente successo rimanesse bassa, i profitti per i criminali possono essere estremamente elevati.
Truffe
Purtroppo molti clienti di diverse banche sono fatti oggetto di attacchi di pirateria informatica.
Distribuzione in quote dei malware che rubano i dati personali dei clienti di varie banche
Come si può vedere dal grafico, la gran parte dei malware sviluppati per il furto di denaro dai conti bancari ha come bersaglio i clienti delle banche Bradesco, Caixa, Banco do Brasil e Itaú: non è affatto una sorpresa, considerando che si tratta delle banche più importanti, i cui servizi vengono utilizzati da milioni di persone.
Oltre al numero di clienti, a condizionare la scelta di quale banca aggredire ci sono anche i meccanismi di difesa utilizzati dalle organizzazioni stesse. Cosa fanno le banche per garantire la sicurezza delle transazioni dei clienti?
Molte banche, prima di garantire al cliente l’accesso alla propria pagina Web, gli offrono di installare lo speciale plug-in G-Buster, il cui compito è bloccare qualsiasi malware presente sul computer del cliente al momento dell’autorizzazione o direttamente al momento della transazione. In particolare, le banche Caixa e Banco do Brasil utilizzano solo questo meccanismo per difendere i clienti.
Purtroppo, come vedremo in seguito, la presenza nel computer del plugin G-Buster non garantisce in alcun modo la sicurezza delle operazioni bancarie via Internet. Altre banche, come Itaú, oltre al plugin offrono altri mezzi di protezione: token o security card (tessere di sicurezza).
La security card utilizzata dalla banca Itaú
Inoltre, la banca Bradesco fornisce un ulteriore mezzo di difesa, che consiste nel generare per ogni cliente una coppia unica di chiavi cifrate (certificati). Una delle chiavi viene conservata sul computer del cliente, l’altra si consiglia di conservarla in di un dispositivo di memoria esterno. Al momento dell’accesso al sito della banca, il sistema richiede all’utente il percorso di accesso al secondo certificato. Per ottenere l’accesso, il cliente deve inserire nel computer la memoria esterna (ad esempio una memoria flash) su cui è conservato il secondo certificato.
Dei pregi e difetti dei diversi tipi di autenticazione utilizzati dalle banche abbiamo già parlato sul nostro blog http://www.securelist.com/ru/weblog/31971/Bezopasnost_dlya_chelovecheskogo_faktora. Teoricamente tali meccanismi dovrebbero essere in grado di garantire una sufficiente sicurezza agli utenti. Nella pratica, come vedremo in seguito, non è affatto così. Purtroppo, i sistemi di difesa utilizzati o non garantiscono la completa sicurezza dei clienti o costano e gli utenti non intendono acquistarli. Ad esempio, per ottenere il token occorre pagare. È proprio per questo che i clienti si rifiutano di utilizzare tali apparecchi e pertanto diventano vulnerabili agli attacchi dei criminali.
A quali metodi ricorrono i criminali per aumentare l’efficacia degli attacchi di massa ai computer degli utenti?
Contagio dei siti
Il mezzo principale attraverso cui si diffondono i malware sono le pagine Web. Per il download di programmi dannosi, i criminali effettuano un uso illecito delle pagine perfettamente legali su diversi domini, registrati in tutto il mondo, utilizzando siti di hosting temporanei o gratuiti. È interessante notare che come hosting gratuito per la diffusione dei malware si utilizzano spesso domini dell’azienda russa RBC Media: nm.ru, pochta.ru e così via.
In alcuni casi, quando i truffatori organizzano azioni veramente serie e pertanto hanno bisogno non di un sito temporaneo ma di una risorsa di lunga durata, utilizzano un hosting stabile per gli attacchi, con applicazioni in grado di determinare l’indirizzo IP delle potenziali vittime.
La conoscenza dell’indirizzo IP del visitatore della pagina “contaminata” consente ai cybercriminali di sferrare attacchi mirati e nascondere i malware agli antivirus. Agli specialisti della sicurezza in Internet e a tutti coloro che non risiedono nei paesi dell’America Latina non viene inviato un codice binario dannoso. Nella maggior parte dei casi al massimo ricevono foto di ragazze brasiliane.
Come fanno i clienti delle banche a finire sulle pagine “infette”? A condurli su pagine di quel tipo sono i messaggi di spam, preparati con l’aiuto dei metodi classici del social engineering. A volte tali messaggi ed e-mail imitano comunicati inviati dalla banca stessa, o notizie “scottanti” legate alla vita sociale del paese. E poi ci sono, naturalmente, i messaggi spam pornografici. Quale che sia il tipo di messaggio, il link al suo interno porta a una risorsa sotto il controllo dei criminali.
Attacco “alla brasiliana”
È importante notare che i banker brasiliani non si diffondono mai come file singoli: nel processo di infiltrazione nel computer della vittima viene sempre installato un intero pacchetto di malware aggiuntivi.
I cybercriminali effettuano attacchi molto complessi e non si concentrano solo sui dati bancari. Lo schema classico del processo di infezione è il seguente:
Schema classico di infezione dei computer dei clienti delle banche
All’inizio nel server si trova un trojan, che ha il compito di scaricare e installare nel sistema dell’utente tutti gli altri malware:
• il programma che ruba i dati relativi al social network dell’utente;
• il programma che combatte gli antivirus;
• uno o due banker, con il compito di monitorare tutte le comunicazioni con la banca, intercettare nome utente e password e inviarli al pirata informatico.
Social network
I social network rappresentano, al giorno d’oggi, una fonte importante di informazioni di qualsiasi tipo sui loro utenti: nome completo, data e luogo di nascita, stato sociale e altro ancora. Tutti questi dati possono essere facilmente utilizzati dai cybercriminali, ad esempio allo scopo di ottenere, attraverso il call center della banca, i codici PIN delle carte bancarie dell’utente in modo «ufficiale».
Il social network più popolare in Brasile è Orkut. Questa rete conta circa 23 milioni di utenti in tutto il mondo, il 54% dei quali vive in Brasile. Una cifra non da poco. Sono proprio gli utenti di questo social network quelli esposti con maggior frequenza agli attacchi dei cybercriminali brasiliani.
Frammento di codice scritto per tentare il furto della password del social network Orkut
Di regola, i dati personali e la password di accesso al social network vengono spediti per e-mail all’indirizzo del cybercriminale.
Lotta ai sistemi di difesa
In che modo i cybercriminali contrastano gli antivirus installati nei computer e il plugin G-Buster?
Va ricordato che proprio tale plugin dovrebbe garantire la sicurezza delle transazioni dei clienti di diverse banche. Per proteggere G-Buster dalla cancellazione ad opera dei malware, i suoi autori utilizzano una tecnologia rootkit allo scopo di radicare il plugin in profondità nel sistema. E invece i cybercriminali usano, come arma contro il plugin, dei programmi del tutto legali pensati appositamente per la lotta ai rootkit.
Il più popolare tra questi programmi è l’anti-rootkit Avenger. All’arrivo sul computer della vittima, il trojan-downloader scarica nel sistema proprio questa utility, insieme a un elenco dei file da cancellare (istruzioni). Tutto ciò di cui hanno bisogno i cybercriminali per rimuovere il plugin in modo efficace è installare l’utility e riavviare il sistema.
Funzionamento del codice di rimozione del plugin G-Buster che utilizzano l’utility anti-rootkit Avenger
L’unico parametro di cui ha bisogno l’utility per funzionare è il percorso (comprensivo di nome) dei file da eliminare. Come si può vedere dalla schermata, in questo caso il plugin G-buster può essere rimosso solo da sistemi in cui sia stato installato in portoghese o in inglese.
Dopo il riavvio, il plugin viene eliminato completamente dal sistema e al suo posto, in alcuni casi, ne viene installato un altro modificato contenente il malware. Il plugin modificato permette all’utente l’accesso al conto bancario, ruba i dati al momento dell’accesso e li invia al pirata.
Questo stesso percorso, cioè l’uso di anti-rootkit Avenger con indicazione precisa dei file da cancellare all’avvio del computer, si usa per rimuovere anche gli antivirus dal sistema dell’utente.
Furto dei dati
Il trojan-banker scaricato nel computer dell’utente, dopo una normale transazione bancaria, intercetta i dati ottenuti dall’accesso al conto della vittima e li spedisce per e-mail all’indirizzo del criminale informatico, oppure a un server FTP o un server remoto contenente un database
Frammento di codice che risponde all’invio dei dati rubati al server remoto contenente il database
Estratto dal database (conti degli utenti rubati dai cybercriminali)
Estratto dal database della banca Bradesco (dati dei clienti, rubati dai cybercriminali)
Nelle immagini abbiamo riprodotto alcuni estratti da database reali, su cui sono conservati i dati dei clienti: username, password, certificato di sicurezza e così via.
Ma i cybercriminali non si limitano al furto dei dati bancari e delle informazioni d’accesso ai social network. Spesso cercano di ottenere l’indirizzo MAC della scheda di rete dell’utente, l’indirizzo IP, l’identificativo del computer e altri dati che possano essere utilizzati per l’accesso al conto bancario. Allo stesso tempo tentano di difendersi e compromettere la loro vittima: in caso di inchiesta da parte della banca, dai log risulterebbe che è stato il cliente a prelevare da o depositare in un dato conto le relative somme di denaro.
Anche gli indirizzi e-mail presenti nel computer infetto e la password di accesso al sistema rappresentano una preda allettante per i cybercriminali. Innanzitutto perché spesso tali indirizzi e password sono gli stessi utilizzati per l’accesso agli account nei social network. E, come abbiamo detto in precedenza, ciò apre notevoli opportunità per futuri atti criminosi. Inoltre, questi stessi indirizzi possono essere quelli depositati in banca come indirizzi e-mail da usare per contatti e comunicazioni ufficiali con il cliente. Questi, in tali casi, vengono considerati in genere affidabili dalle banche. Provate solo a pensare cosa possono fare dei cybercriminali che riescano ad accedere a tali indirizzi!
Anche per il furto della password di posta elettronica i cybercriminali si avvalgono di programmi legali, quelli utilizzati dai tecnici e dagli operatori in tutti quei casi in cui un utente smarrisce o dimentica la password e ha bisogno di aiuto per ripristinarla. Questi programmi sono in grado di leggere le password nascoste nei client di posta più diffusi: Microsoft Outlook, Microsoft Outlook Express e così via.
Gli indirizzi di posta elettronica e le password di accesso rubate vengono poi inoltrate al criminale attraverso un server Web remoto.
Parte di codice dal quale si evince come gli indirizzi rubati vengano inoltrati a un server Web remoto
I dati rubati dai cybercriminali vengono conservati in un server Web
Ritratto di un cybercriminale
Dopo avere ricevuto i dati personal dell’utente e l’accesso al suo conto bancario, i cybercriminali, se si parla di cifre sostanziose, utilizzano un “mulo” via Internet, sul cui conto viene effettuata la prima transazione dal conto della vittima. Il mulo, a sua volta, trasferisce il denaro su un altro conto, trattenendo una certa percentuale della somma come corrispettivo. Quando il furto dal conto è di somme modeste, (200-500 dollari), allora in linea di massima i soldi vengono trasferiti direttamente sul conto del cybercriminale con una sola transazione.
Per capire chi si nasconde dietro queste operazioni è necessario analizzare i seguenti fatti:
• quasi tutti gli esemplari di banker rinvenuti sono scritti in linguaggio Delphi;
• alcuni esemplari risultano infetti da virus Virut oppure Induc;
• in alcuni casi per diffondere il malware vengono utilizzate illecitamente pagine Web del tutto legali.
Dall’analisi dei programmi universitari brasiliani è risultato chiaramente che Delphi non fa parte dei linguaggi di programmazione insegnati nelle università. La programmazione in Delphi non si impara all’università ma solo in specifici corsi di programmazione o negli istituti tecnici. Ciò significa che i cybercriminali non devono necessariamente essere laureati o universitari e anzi possono essere anche molto giovani.
Il fatto che gli esemplari di banker riscontrati siano infetti a loro volta da virus quali Virut potrebbe significare che anche i computer dei cybercriminali sono infetti. Molto spesso questo tipo di contagio ha origine nei siti con crack per i software, numeri di serie e codici per i programmi e contenuto pornografico, ma anche nei siti p2p.
Sono soprattutto questi siti e programmi quelli più usati dai cybercriminali. In Brasile sono visitati soprattutto da ragazzi, e questa potrebbe essere un’ulteriore prova a supporto della giovane età dei cybercriminali brasiliani, anche se la pirateria informatica non conosce limiti né fasce d’età preferenziali.
Il fatto che i cybercriminali usino illecitamente pagine Web perfettamente legali è una prova del loro lavoro di squadra. Ogni membro del gruppo ha la sua specializzazione: hacking, scrittura codice di malware e così via.
Se le cose stanno così allora, secondo le nostre ipotesi, dietro gli attacchi informatici ai clienti delle banche brasiliane non c’è mai una sola persona, ma sempre gruppi di cybercriminali nei quali si trovano giovani di famiglie poco abbienti. La sete di guadagni facili spinge queste persone a mantenersi così: scrivere il codice di un malware, attaccare i clienti delle banche, rubare i soldi, spenderli e ricominciare da capo. È un circolo vizioso da cui è molto difficile tirare fuori i giovani.
Una recente inchiesta della polizia brasiliana, conclusasi con l’arresto di diverse persone, conferma le nostre ipotesi. Di seguito sono riportate alcune foto degli arrestati.
Foto di cybercriminali (dagli archivi della polizia federale del Brasile)
Sembrerebbe che il nostro ritratto del cybercriminale sia grossomodo realistico. E invece la realtà non è così semplice.
Inchiesta russa
I tipici banker brasiliani hanno una serie di particolarità, tra cui dimensioni dei file notevoli e stringhe in portoghese nel codice. Tuttavia, con una periodicità piuttosto regolare, si riscontrano, nella massa di malware simili, degli esemplari molto particolari.
Questi banker sono strutturati in modo tale da sembrare a un primo sguardo identici a quelli classici: non solo attaccano le stesse banche, ma i nomi dei file potrebbero corrispondere ai nomi utilizzati dai cybercriminali brasiliani. Un’analisi più approfondita però ha permesso di individuare una serie di differenze:
• le dimensioni dei file sono state ottimizzate;
• il sistema operativo su cui avviene la compilazione non è in lingua portoghese;
• il furto dei dati avviene attraverso canali sicuri.
Chi c’è dietro questi banker? Sempre criminali brasiliani ma più istruiti? Probabilmente no.
Innanzitutto, al posto del classico Avenger, per il furto del plugin di sicurezza della banca viene utilizzato un altro anti-rootkit denominato Partizan. Questo anti-rootkit fa parte del programma UnHackMe, che viene fornito anche in russo.
In secondo luogo, come abbiamo già detto, nel codice mancano stringhe in portoghese.
E infine, dall’analisi del canale sicuro utilizzato per trasmettere i dati sono state riscontrate alcune interessanti informazioni di registrazione: 
Informazioni di registrazione di uno dei messaggi utilizzati per la trasmissione dei dati bancari rubati
Chi potrebbe esserci dietro questi attacchi? A un primo sguardo questi malware si direbbero l’opera di programmatori brasiliani. Quindi, se venisse avviata un’inchiesta probabilmente i colpevoli verrebbero cercati in Brasile e nel frattempo, almeno a giudicare dalle informazioni di registrazione e da altri segni distintivi (ad esempio la lingua di programmazione, le dimensioni del file e le stringhe di codice), nel caso in esame i soldi dei clienti delle banche brasiliane verrebbero rubati da criminali russi. A quanto pare qualcuno ha fatto gol al Brasile!
Conclusioni
La polizia brasiliana sta svolgendo un lavoro molto serio nella ricerca dei cybercriminali. Perché allora la quantità di malware cresce di giorno in giorno?
Probabilmente il problema risiede nel modo in cui reagiscono le banche in caso di appropriazione indebita del denaro dei clienti: cercando di evitare di sollevare troppo clamore con un’indagine. Se un cliente, a causa dell’attacco al proprio computer da parte di un malware, perde del denaro, le banche preferiscono compensare la somma perduta, evitando un’indagine pubblica vera e propria. Al cliente viene semplicemente consigliato di formattare il proprio computer, disinstallando il sistema operativo.
Inoltre ci sono anche problemi di scambio di dati tra le unità anti-crimini informatici dei diversi stati del Brasile. Questa, va detto, è una questione che non riguarda solo il Brasile, ma anche molti altri paesi.
Uno dei fattori alla base del successo di questi cybercriminali è il livello piuttosto basso di preparazione in materia di sicurezza Internet degli utenti, cioè i clienti delle banche.
Finché sussistono questi problemi (basso livello di preparazione degli utenti in ambito di sicurezza Web, politica delle banche, le condizioni sociali, l’assenza di leggi apposite), c’è poca speranza che Internet diventi un luogo più sicuro.
Probabilmente le banche in passato hanno preferito risparmiare sui sistemi e dispositivi accessori di protezione dei clienti, invece di offrire i servizi a pagamento. Comunque, in definitiva questo comportamento ha permesso di ridurre le probabilità che avvenga un’appropriazione indebita del denaro dei clienti, in altre parole i proventi per i criminali si riducono.
È evidente anche che è necessario operare con nuovi sistemi di scambio d’informazioni tra le aziende che si occupano di sicurezza informatica, nonché tra le forze dell’ordine dei diversi paesi. Fino a quando non si avvierà la giusta collaborazione è difficile che si riuscirà a ridurre sensibilmente la quantità di crimini informatici.
