Briz.F, il Trojan che ruba dati bancari

I laboratori di Panda Software hanno rilevato la comparsa di un nuovo Trojan, Briz.F, disegnato per rubare dati legati a servizi di banking online. Questa nuova minaccia utilizza il richiamo a pagine web dal contenuto pornografico per installarsi sui computer degli utenti. La diffusione di Briz.F è la diretta conseguenza della trama della creazione e vendita di versioni customizzate del Trojan Briz, recentemente scoperto e smantellato da Panda Software.

Le pagine web che ospitano Briz.F sono programmate per scaricare automaticamente il codice sui PC quando gli utenti le visitano, sfruttando diverse vulnerabilità del software. Tuttavia, è possibile imbattersi in questo Trojan anche attraverso altri mezzi come messaggi di posta elettronica, download di file da Internet, reti di file-sharing P2P, etc.

Il “modus operandi” di Briz.F è complesso ed elaborato. L’attacco inizia con l’installazione di un file, iexplore.exe, che prepara il campo individuando se esiste una connessione Internet. In caso positivo, si connette ad alcune pagine web per scaricare un altro file, ieschedule.exe. Infine, iexplore.exe disabilita i servizi di Windows Security Center e l’accesso condiviso a Internet.

In seguito, ieschedule.exe invia le informazioni del computer infetto (nome, indirizzo IP, luogo, etc.) ad un indirizzo stabilito dall’aggressore. Nello stesso tempo, scarica altri file, inclusi smss.exe, che modifica i file host per prevenire l’accesso a siti di prodotti di sicurezza e ieredir.exe, che dirige gli utenti a false pagine web quando cercano di connettersi ad alcuni servizi, in particolare quelli relativi a strutture bancarie.

Inoltre, il Trojan raccoglie informazioni da Windows Protected Storage e da Outlook, Eudora e The Bat, inviandole all’attaccante. Molti dei file installati sul sistema si autodistruggono nel momento nel quale hanno realizzato il loro scopo, creando difficoltà all’utente nel comprendere se è stato vittima di un attacco di Briz.F.

Per i clienti di Panda Software, le tecnologie di protezione preventiva TruPrevent hanno individuato e bloccato Briz.F senza la necessità di identificarlo a priori, senza bisogno quindi di aggiornamenti, proteggendo così i PC dotati di queste tecnologie fin dal primo momento dell’apparizione di questa minaccia. Per tutti gli altri, occorre dunque fare attenzione e aggiornare i propri antivirus.