Il
trojan bancario Ramnit è tornato sul suo originario terreno di caccia, dopo le incursioni di successo nel mondo dell’e-commerce; questo è quanto merge dalla
nuova ricerca promossa dagli F5 Labs e dal Security Operations Center (SOC) di F5, che ha preso in esame le configurazioni attive di questa minaccia bancaria nei mesi di febbraio e marzo 2019.
Tutti i segnali indicano come gli autori di Ramnit siano tornati a colpire i servizi finanziari online, in preparazione del periodo che coincide con la dichiarazione dei redditi, in particolare in Italia. A dicembre 2018, il malware Ramnit era stato il protagonista delle festività natalizie amaricane, mostrando la sua capacità di spostare il focus dell'attacco dal mondo finance
ai siti di e-commerce statunitensi.Nell'ultima analisi, invece, risulta che gli autori di Ramnit siano tornati a concentrarsi su siti dei servizi finanziari e i siti di tecnologia finanziaria,
in particolare in Italia (40% di tutti gli attacchi), con una distanza significativa dagli altri Paesi europei: il 9% degli attacchi era rivolto al Regno Unito e l'8% a Francia. Complessivamente, il 70% di tutti gli obiettivi degli attacchi di Ramnit è stato localizzato in Europa, il 27% negli Stati Uniti e il 3% nel resto del mondo.
È interessante notare che
i siti di social networking hanno rappresentato solo una porzione minore degli obiettivi di questi attacchi, anche se nello stesso periodo le più importanti piattaforme di social networking del mondo, come Twitter, Facebook, Tumblr e YouTube subivano attacchi consistenti.
Approfondendo l’analisi, gli F5 Labs hanno scoperto che le configurazioni di Ramnit a marzo tendevano a riadattarsi in modo costante, comprendendo tattiche di
scaling web injection. Si tratta di una novità interessante che comporta la capacità di perseguire
gli obiettivi senza alcun collegamento con una azienda o un sito web specifico. Ricorrono, invece, numerose parole in francese, italiano o inglese aggiunte al mix
nella speranza di catturare in modo casuale i siti web. Insieme a parole utilizzate come semplici obiettivi, ad esempio il termine “bonifico”, Ramnit includeva anche il nome di un'opera italiana, Il Trovatore, e alcuni nomi di dominio errati.
"Ramnit è un Trojan bancario persistente, emerso per la prima volta nel 2010 con forma meno sofisticata di un worm autoreplicante. Oggi, le sue tattiche e obiettivi si sono evoluti rendendolo in grado di colpire altri settori e fare potenzialmente molti più danni. Ha una grande capacità di adattarsi, come abbiamo notato nel recente passaggio al settore finanziario, e i suoi autori sono in grado di espandere in modo significativo la superficie di attacco”", spiega
Roy Moshailov, head of security and malware research di F5 Networks.
Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di
BitCity.it iscriviti alla nostra
Newsletter gratuita.
