I nostri esperti hanno scoperto un nuovo attacco mirato che utilizza il Trojan Silence per colpire le istituzioni finanziarie. Le banche russe sono al centro del mirino, ma sono state infettate anche le banche di Armenia e Malesia.
Dal punto di vista della strategia adottata, questo attacco è simile alla classica campagna APT Carbanak: si invia un’e-mail di phishing con un allegato dannoso agli impiegati di banche e istituti finanziari. Si passa prima a spiare i dipendenti e poi a effettuare transazioni fraudolente. Questo metodo già collaudato ha consentito in passato ai cybercriminali di guadagnare miliardi di dollari, per cui perché non provarci di nuovo?
Tuttavia, questa volta è stata perfezionata la tecnica di “abbordaggio” via mail. Dopo aver infettato i dispositivi ed essersi insinuati in queste istituzioni finanziarie, i cybercriminali inviano via mail dei “contratti” ai partner delle banche. La nuova vittima riceve un messaggio di phishing da un indirizzo email di una persona in carne e ossa che lavora nella banca in questione. In questo modo aumenta di molto la possibilità che il destinatario clicchi sull’allegato dannoso.
Silence: come funziona
La vittima, un impiegato, apre l’allegato “contratto” che è invece un file con estensione .chm, un file HTML help di Microsoft, che contiene un codice JavaScript dannoso. Tale codice carica e attiva un dropper che a sua volta carica i moduli del Trojan Silence, che opera come servizio Windows. Abbiamo individuato moduli per il controllo e il monitoraggio, registrazione dello schermo e comunicazione con i server di controllo, oltre a un programma per l’esecuzione in remoto dei comandi.
Tali moduli consentono ai cybercriminali di raccogliere dati sulla rete infetta e di salvare immagini degli schermi degli impiegati. All’inizio vengono monitorati tutti i dispositivi ma poi ci si concentra su quelli che potrebbero contenere maggiori dati finanziari di interesse. Quando i cybercriminali ottengono un quadro generico della gestione delle informazioni nel sistema, possono trasferire facilmente il denaro ai propri conti.
Per maggiori dettagli tecnici, vi consigliamo la lettura del post su Securelist.
Come proteggere il vostro business da un attacco Silence
Come potrete immaginare, ricordare ai dipendenti di non aprire allegati di email esterne non basta. Per proteggere banche e istituti finanziari dalle moderne minacce informatiche, consigliamo di:
- Organizzare formazioni e workshop periodici a cui dovranno partecipare tutti i dipendenti affinché abbiano un’idea dei veri rischi che si corrono. Date un’occhiata alla nostra sezione Kaspersky Security Awareness (in lingua inglese): non si tratta di una serie di letture che riguardano le minacce informatiche, ma sono degli esercizi pratici con simulazioni di attacco che aiutano a sviluppare le capacità di reazione dei dipendenti di fronte a questo genere di minacce;
- Utilizzare soluzioni di sicurezza in grado di individuare le anomalie della rete anche a livelli più profondi, come ad esempio Kaspersky Anti-Targeted Attack. Questa soluzione di sicurezza rileva anche quegli attacchi mirati che impiegano metodi non ancora conosciuti.