SpyEye è un particolare software malevolo: oltre a catturare le credenziali di accesso può sfruttare la connessione attiva per avviare transazioni mentre la persona è identificata nel suo account, rendendo praticamente possibile la visione in tempo reale dei cambiamenti di bilancio del proprio conto senza alcuna apparente spiegazione.

Nella sua ultima versione SpyEye, aggiunge Mickey Boodai CEO di Trusteer, è stato ulteriormentemodificato per superare i sistemi di protezione avanzati che le banche hanno messo in atto per cercare di bloccare le transazioni fraudolente.

Le banche adesso stanno utilizzando sistemi di protezione che si basano sulle abitudini dell’utente. Come un utente utilizza il sito, i parametri abituali, il numero di pagine visitate e il tempo trascorso per le operazioni. Altri indicatori includono gli indirizzi IP e l’area abituale di connessione, per verificare se un utente che si collega abitualmente da Roma un giorno si collega stranamente da San Pietroburgo in Russia.

La versione originale di SpyEye funzionava rapidamente e iniziava una transazione più velocemente di quanto faccia in media utente attraverso il sito web della sua banca. Questo è un segnale d’allarme per bloccare la transizione e le banche si sono attrezzate per questo. Proprio per aggirare questo sistema di protezione, gli autori di SpyEye stanno lavorando per rallentare il loro software malevolo, che adesso dovrebbe comportarsi come una persone reale che sta navigando sulle pagine di un servizio di home banking.

“Hanno prestato scarsa attenzione sul modo in cui si eseguono le operazioni sui siti web delle banche, ma ora stanno cercando di mostrare modelli utente realistici”, ha affermato Boodai.

Si riesce a valutare l’efficacia di SpyEye e del nuovo codice soltanto in minima parte, raccogliendo queste informazioni grazie allo strumento di sicurezza per browser web Rapport di Trusteer che le banche offrono ai loro clienti. Le ultime analisi hanno verificato come SpyEye abbia non soltanto aumentato l’efficacia e migliorato il suo modo di agire, ma anche imparato a operare su un numero maggiore di istituti di credito online di diversi paesi al mondo.

Gli ultimi obiettivi, dopo gli Stati Uniti e l’Europa, sono stati i sistemi bancari di Russia, Arabia Saudita, Bahrain, Oman, Venezuela, Belarus, Ucraina, Moldova, Estonia, Lettonia, Finlandia, Giappone, Hong Kong e Peru. Ciò significa che sono molti i gruppi criminali che stanno acquistando il kit di sviluppo di SpyEye per adattarlo al loro paese.

Gli istituti di credito continuano ad aumentare i loro sistemi di sicurezza per proteggere le transazioni online, ricorda Avivah Litan un analista di Gartner. Nessuno, però, ammette quanto duramente sia stato colpito pur ammettendo infiltrazioni del gruppo hacker ZeuS o SpyEye.

L’intervento della polizia ha ottenuto dei successi limitati. Nel mese di aprile sono stati accusati di frode un lituano di 26 anni e un lettone di 45 che sfruttavano una versione modificata di SpyEye per ottenere denaro.

Sradicare del tutto SpyEye non è facile. Il sistema è studiato come una botnet, un network di computer zombie che vengono contattati da un’ulteriore rete di centri di controllo e di comando. Secondo SpyEye Tracker, un sito web che sta monitorando questo software malevolo, erano circa 46 i centri di controllo attivi lo scorso martedì.

Si tratta di una crescita che dovrebbe allarmare: nel mese di maggio i server attivi erano appena venti,l’aumento potrebbe corrispondere a un numero di infezioni da SpyEye notevolmente aumentato su scala mondiale.

Roman Hüssy, amministratore del sito SpyEye Tracker, al proposito cerca di alzare il livello di allarme affermando che questo malware “sta crescendo troppo rapidamente”.

fonte: www.pcworld.it