F5 Networks ha scoperto e analizzato l’evoluzione nel corso degli ultimi quattro mesi di Slave, un trojan bancario apparso per la prima volta a marzo del 2015 e che, a oggi, ha già infettato i browser di molti utenti e raggiunto un livello di sofisticazione che lo rende più difficile da identificare e utilizzabile per molteplici tipologie di attacco.

Prima di scoprire Slave, F5 aveva notato una variante malware sconosciuta che scambiava i numeri IBAN, in modo da frodare gli account destinatari sostituendo il numero nel momento stesso della transazione. Slave è un malware trojan scritto in Visual Basic che funziona in modo molto simile, sfruttando tecniche “man-in-the-browser” con grande somiglianza al malware Zeus.

L’ultima versione di Slave analizzata da F5 Networks comprende la creazione di chiavi di registro con nomi random, infezioni IE, Firefox e Chrome, kernel32.dll hooks e molto altro ancora. In pratica questo malware compie i suoi attacchi utilizzando delle “esche” nel processo di Internet Explorer e immettendo il suo codice nelle pagine web dei servizi bancari. Questo codice può poi eseguire una serie di funzioni tra cui il furto delle credenziali e l’accesso all’account, lo scambio dell’IBAN o anche il trasferimento automatico dei fondi.

La rapida evoluzione di Slave dimostra che il cybercrime è alla continua ricerca di nuove forme di attacco sempre più evolute e difficili da contrastare

Una delle funzionalità più interessanti e al tempo stesso temibili di Slave è il controllo timestamp. Il malware viene impostato per essere eseguito entro una tempistica precisa e resta quindi praticamente “valido” solo per alcune settimane, probabilmente evitando così la possibile individuazione.

“La rapida evoluzione di Slave dimostra che il cybercrime è alla continua ricerca di nuove forme di attacco sempre più evolute e difficili da contrastare. Sia che si utilizzi il phishing, le tecniche Man-in-the-Middle o Man-In-The-Browser o altre attività basate sui trojan come web injection, form hijacking, modifiche delle pagine o modifiche delle transazioni, i rischi associati alle frodi web non si possono eliminare e colpiscono organizzazioni di ogni genere” ha dichiarato Paolo Arcagni, Systems Engineer Manager Italy&Malta di F5 Networks.

Recentemente F5 ha anche realizzato una ricerca in ambito sicurezza intervistando i responsabili IT delle aziende del settore finanziario. Il 48% di essi ha dichiarato di aver subito perdite finanziarie notevoli negli ultimi due anni e ha sottolineato la preoccupazione e la sempre maggiore esposizione della propria organizzazione e dei propri clienti alle minacce legate alle frodi web.