8 aprile 2016

I trojan-banker completamente nuovi non sono un fenomeno frequente — di regola, i malintenzionati preferiscono modificare i software nocivi già esistenti e da tempo conosciuti. Doctor Web ha scoperto un tale software modificato, denominato Trojan.Gozi, che si basa su un codice sorgente liberamente disponibile.

È un programma malevolo capace di funzionare sui computer con le versioni di Windows a 32 e 64 bit, dispone di una gamma molto ampia di funzioni. Trojan.Gozi consente ai malintenzionati di rubare i dati che gli utenti inseriscono in vari moduli visualizzati sullo schermo, di registrare battiture (keylogging), può incorporare contenuti estranei nelle pagine web visualizzate sul computer infetto (cioè eseguire il web injection). Inoltre, tramite Trojan.Gozi i criminali informatici possono ottenere l'accesso remoto al desktop della macchina infetta utilizzando la tecnologia Virtual Network Computing (VNC). Questo trojan, su comando dei malintenzionati, può avviare un server proxy SOCKS sul computer infetto e inoltre può scaricare e installare vari plugin.

Come i molti altri programmi malevoli di oggi, per determinare gli indirizzi dei suoi server di comando, Trojan.Gozi utilizza un specifico algoritmo di generazione dei domini — Domain generation algorithm (DGA). A tale scopo, il trojan scarica da server NASA un file di testo utilizzabile come un dizionario, lo trasforma in un specifico modo tenendo conto della data corrente e in base ai valori ottenuti genera dei nomi a dominio che utilizzerà successivamente come gli indirizzi dei server di comando. Il trojan cambia il server di gestione automaticamente ogni 15 giorni. Vengono criptate tutte le informazioni che Trojan.Gozi invia e riceve dai server di comando.

A differenza delle versioni precedenti di tali programmi malevoli, Trojan.Gozi ha la possibilità di creare reti malevole paritarie (P2P), cioè può scambiarsi informazioni direttamente con le altre macchine infette. Le informazioni trasmesse in questo modo anche vengono criptate.

Grazie a una gamma di funzioni spia abbastanza ampia, e in primo luogo alla possibilità di eseguire i web injection, Trojan.Gozi può rubare sul computer infetto diverse informazioni confidenziali, comprese le credenziali di accesso ai sistemi di home-banking. Questo programma malevolo viene rilevato con successo dal software antivirus Dr.Web e perciò non rappresenta alcuna minaccia ai nostri utenti.