DanaBot, il trojan bancario che attacca anche l’Italia

L’azienda di sicurezza ESET ha registrato di recente nella sua telemetria un incremento delle attività del trojan bancario DanaBot, inclusi diversi casi dall’Italia.

Il DanaBot è un malware scoperto a inizio anno durante un attacco contro utenti australiani. Nel corso dei mesi sono state riscontrate campagne anche in Polonia, Germania, Austria, Ucraina e, per l’appunto, in Italia.

Il trojan è modulare e molte delle funzionalità sono implementate attraverso l’uso di plug-in, che consente ai suoi creatori di variarlo e aggiornarlo spesso e a seconda delle necessità. Fra i plug-in utilizzati si possono menzionare:

  • VNC plug-in – stabilisce una connessione remota al computer colpito per prenderne il controllo
  • Sniffer plug-in – inietta script malevoli nel browser dell’utente mentre questo visita siti bancari
  • Stealer plug-in – ruba le password da un grande numero di applicazioni, come browser, client FTP e VPN, programmi di chat e di posta elettronica, applicazioni di poker, ecc.
  • TOR plug-in – installa un proxy TOR e consente l’accesso a siti del dark web

Nell’agosto 2018 i cyber-criminali hanno iniziato a usare il TOR plug-in per aggiornare la lista dei server di comando e controllo dal sito del dark web y7zmcwurl6nphcve.onion

Il trojan cerca di entrare nel PC dell’utente attraverso e-mail mascherate da fatture di diverse aziende.

I siti bancari italiani presi di mira dal trojan sono i seguenti:

  • credem.it
  • bancaeuro.it
  • csebo.it
  • inbank.it
  • bancopostaimpresaonline.poste.it
  • bancobpm.it
  • bancopopolare.it
  • ubibanca.com
  • icbpi.it
  • bnl.it
  • banking4you.it
  • bancagenerali.it
  • ibbweb.tecmarket.it
  • gruppocarige.it
  • finecobank.com
  • gruppocarige.it
  • popso.it
  • bpergroup.net
  • credit-agricole.it
  • cariparma.it
  • chebanca.it
  • creval.it
  • bancaprossima.com
  • intesasanpaoloprivatebanking.com
  • intesasanpaolo.com
  • hellobank.it

Mentre i siti e i software di posta elettronica dai quali il malware cerca di rubare le password sono:

  • mail.vianova.it
  • mail.tecnocasa.it
  • MDaemon Webmail
  • email.it
  • outlook.live.com
  • mail.one.com
  • tim.it
  • mail.google
  • tiscali.it
  • roundcube
  • horde
  • webmail*.eu
  • webmail*.it
Ho iniziato a interessarmi di cybersecurity dal 1989, quando ho "trovato" il mio primo virus. Dal 1992 me ne occupo professionalmente: per oltre un decennio come collaboratore di testate specializzate (fra cui PC Professionale), poi come consulente del Ministro delle Comunicazioni su aspetti di sicurezza delle reti, quindi con collaborazioni sui medesimi temi con Telespazio (gruppo Finmeccanica). Oggi mi interesso di nuove tecnologie (AI) e cyber warfare. Sono socio fondatore del chapter italiano di Internet Society e membro dell'Associazione Italiana esperti in Infrastrutture Critiche. Dal 2006 lavoro presso ESET Italia, dove ricopro il ruolo di Operations Manager. Il blog è personale.