7 settembre 2012

Doctor Web — sviluppatore russo di software antivirale — avvisa della propagazione di un nuovo trojan che minaccia gli utenti di servizi di Internet banking forniti da alcune banche russe. Il trojan modifica le impostazioni del browser in modo da reindirizzare il traffico del sistema di Internet banking attraverso il server dei malintenzionati. Di conseguenza i cybercriminali possono rubare le informazioni riservate degli utenti.

Il malware Trojan.Proxy.23968 chiamato da Doctor Web Trojan.Carberp.450 è stato aggiunto alle basi di dati dei virus Dr.Web alla fine di agosto 2012. Questo cavallo di troia è progettato per installare nel sistema infettato un proxy, utilizzando il quale i malintenzionati possono intercettare informazioni riservate trasferite nei sistemi di Internet Banking di alcune banche russe.

Una volta avviato sul computer della vittima, il trojan modifica i parametri della connessione di rete inserendoci un collegamento a uno scenario di configurazione automatica. Tramite questo collegamento sul computer si scarica un file che consente di instradare il traffico web attraverso il proxy dei malintenzionati. A sua volta, il proxy reindirizza la vittima a una falsa pagina di Internet banking che contiene un modulo per l’inserimento dello username e della password.

Il sistema di Internet banking della banca russa che è stata attaccata per prima utilizza il protocollo protetto HTTPS. Per mascherare la sessione di connessione a un server fraudolento, il cavallo di troia installa nel sistema un certificato digitale auto-firmato. Quindi la falsa pagina di Internet banking che si apre nel browser dell’utente ha un URL che somiglia a quello della pagina originale, presenta un aspetto identico e la connessione si effettua tramite il protocollo cifrato HTTPS. Recentemente gli specialisti di Doctor Web hanno osservato che il trojan installa nuovi certificati digitali e che sotto attacco sono i sistemi di Internet banking di alcune altre banche.

Anche dopo una rimozione completa di Trojan.Proxy.23968 dal sistema, nelle impostazioni dei browser rimangono le modifiche apportate da questo programma malevolo. Perciò l’utente potrebbe diventare vittima dei cybercriminali, anche se il trojan stesso è stato cancellato da un software antivirale. Se il computer era infetto da Trojan.Proxy.23968, il team di Doctor Web consiglia di utilizzare l’utility Dr.Web CureIt! per eseguire una scansione completa. Quest’utility dispone di un meccanismo di cura che consente di eliminare le conseguenze di un’infezione. Inoltre si consiglia di controllare personalmente le impostazioni del browser.