Cavallo di Troia: È un virus o un malware?

Cos'è un cavallo di Troia? 

Attenti ai greci che portano doni: nell'epico poema di Virgilio, The Aeneid, uno stratega di guerra greco chiamato Odisseo elabora un piano per far entrare i suoi uomini nella città fortificata di Troia. Invece di distruggere o scalare le mura della città, Odisseo vede un altro modo: con l'inganno. I soldati troiani osservano i greci che sembrano salpare, lasciando dietro di sé un grande cavallo di legno come segno di resa. Ubriacati dalla vittoria, i troiani portano il cavallo dentro le mura, solo per scoprire che Odisseo e i suoi uomini erano stati nascosti all'interno per tutto il tempo.

Come il suo omonimo, gli attacchi del cavallo di Troia (o semplicemente "Trojan") in informatica sono definiti come un tipo di malware che utilizza l'inganno e l'ingegneria sociale per indurre gli utenti ignari a eseguire programmi informatici apparentemente benigni che nascondono secondi fini malevoli. Anche se tecnicamente non si tratta di virus informatici, ma di una forma separata di malware, il termine "virus del cavallo di Troia" è diventato un modo comune per riferirsi ad essi. 

Come si caratterizza un Trojan

A volte si pensa a un Trojan come a un virus o a un worm, ma in realtà non si tratta di nessuno dei due. Un virus è un infettore di file che può autoreplicarsi e diffondersi collegandosi a un altro programma. I worm sono un tipo di malware simile ai virus, ma non hanno bisogno di essere collegati a un altro programma per diffondersi. La maggior parte dei virus è ormai considerata una minaccia tradizionale. Anche i worm sono diventati rari, anche se di tanto in tanto compaiono. 

"Un Trojan può essere come un coltellino svizzero dell'hacking."

Considerate i trojan come un termine generico per indicare la distribuzione di malware , perché esistono vari tipi di trojan. A seconda dell'intento del programmatore criminale, un Trojan può essere come un coltellino svizzero dell'hacking: agiscecome malware a sé stante o come strumento per altre attività, come la consegna di payload futuri, la comunicazione con l'hacker e la trasmissione di informazioni. hacker in un secondo momento, o aprire il sistema agli attacchi, proprio come fecero i soldati greci dall'interno della fortezza di Troia.

In altre parole, un Trojan è una strategia di consegna che hackers utilizzano per distribuire qualsiasi tipo di minaccia, dal ransomware che richiede immediatamente denaro allo spyware che si nasconde mentre ruba informazioni preziose come dati personali e finanziari.

Tenete presente che gli adware o i PUP (programmi potenzialmente indesiderati) possono essere confusi con i Trojan perché il metodo di distribuzione è simile. Ad esempio, a volte l'adware si insinua nel computer come parte di un pacchetto di software. Si pensa di scaricare un solo software, ma in realtà sono due o tre. Gli autori dei programmi di solito includono l'adware per motivi di marketing affiliato, in modo da poter monetizzare il loro programma di installazione con offerte, di solito chiaramente etichettate. Questi bundler di adware sono in genere meno dannosi dei trojan. Inoltre, non si nascondono come i Trojan. Tuttavia, poiché il vettore di distribuzione dell'adware assomiglia a quello di un Trojan, può causare confusione.

Sintomi del virus Trojan

I Trojan possono sembrare praticamente qualsiasi cosa, dai software gratuiti e musica, agli annunci pubblicitari del browser alle app apparentemente legittime. Un qualsiasi numero di comportamenti poco saggi degli utenti può portare a un'infezione da Trojan. Ecco alcuni esempi:

• Scaricare applicazioni craccate. La promessa di avere una copia gratuita illegale di un software può essere allettante, ma il software craccato o il generatore di chiavi di attivazione possono nascondere un attacco Trojan.
• Scaricare programmi gratuiti sconosciuti. Quello che sembra un gioco gratuito o uno screensaver potrebbe essere davvero un Trojan, soprattutto se lo trovi su un sito non affidabile.
• Aprire allegati infetti. Ricevi un'email strana con quello che sembra un allegato importante, come una fattura o una ricevuta di consegna, ma quando ci clicchi sopra si attiva un Trojan.
• Visitare siti web loschi. Alcuni siti hanno bisogno solo di un momento per infettare il tuo computer. Altri usano trucchi come fingere di trasmettere un film popolare, ma solo se scarichi un certo codec video, che è in realtà un trojan.
• Qualsiasi altro tipo di ingegneria sociale che si camuffa sfruttando le ultime tendenze. Ad esempio, nel dicembre 2017 è stato scoperto che una vasta base installata di processori Intel era vulnerabile agli attacchi a causa di problemi hardware. Hackers hanno sfruttato il panico che ne è derivato falsificando una patch chiamata Smoke Loader, che ha installato un Trojan.

Notizie sul cavallo di Troia

• SharkBot: il Trojan bancario per Android che svuota i conti degli utenti
• Sorgente di trojan: Nascondere il codice maligno in bella vista
• Trojan Polazert usando risultati avvelenati di Google Search per diffondersi
• Bizarro: un banking Trojan pieno di brutti trucchi
• Trojan Android xHelper utilizza tattiche di re-infezione persistente: ecco come rimuoverlo
• La nuova versione del trojan IcedID utilizza payload steganografici
• Nuovo malware Trojan Android scoperto in Google Play
• Trojans: Qual è la verità?

Storia del virus cavallo di Troia

Divertimento e giochi

Un programma chiamato ANIMAL, rilasciato nel 1975, è generalmente considerato il primo esempio al mondo di un attacco Trojan. Si presentava come un semplice gioco lungo le linee dei venti domande. Tuttavia, in background, il gioco si copiava su directory condivise dove altri utenti potevano trovarlo. Da lì, il gioco poteva diffondersi attraverso intere reti di computer. Nel complesso, era un scherzo innocuo.

Nel dicembre 1989, gli attacchi Trojan non erano più uno scherzo. Diverse migliaia di dischetti contenenti il Trojan AIDS, il primo ransomware conosciuto, furono spediti agli abbonati della rivista PC Business World e a una mailing list della conferenza sull'AIDS dell'Organizzazione Mondiale della Sanità. Questo trojan DOS rimaneva inattivo per 90 cicli di avvio, criptava tutti i nomi dei file del sistema, quindi visualizzava un avviso che chiedeva all'utente di inviare 189 dollari a una casella postale di Panama per ricevere un programma di decriptazione.

Negli anni '90, apparve un altro famoso Trojan mascherato sotto forma di un semplice gioco da Whack-A-Mole. Il programma nascondeva una versione di NetBus, un programma che permette di controllare da remoto un sistema Microsoft Windows su una rete. Con accesso remoto, l'attaccante poteva fare qualsiasi cosa a un computer, anche aprire il suo vassoio CD.

Amore e denaro

Nel 2000, un Trojan chiamato ILOVEYOU divenne l'attacco cibernetico più distruttivo della storia all'epoca, con danni stimati fino a 8,7 miliardi di dollari. I destinatari ricevevano una e-mail con quella che sembrava un'allegato di testo chiamato "ILOVEYOU." Se erano abbastanza curiosi da aprirlo, il programma lanciava uno script che sovrascriveva i loro file e si inviava a ogni contatto nell'elenco della posta dell'utente. Per quanto ingegnoso fosse il worm da un punto di vista tecnico, il suo uso dell'ingegneria sociale era senza dubbio la sua componente più brillante.

Nel corso degli anni 2000, gli attacchi Trojan hanno continuato a evolversi, così come le minacce che portavano con sé. Invece di prendere di mira la curiosità delle persone, i Trojan hanno sfruttato l'aumento del download illegale, camuffando il malware in file musicali, film o codec video. Nel 2002 è emerso un cavallo di Troia backdoor Windows, chiamato Beast, in grado di infettare quasi tutte le versioni di Windows. Poi, alla fine del 2005, è stato distribuito un altro Trojan backdoor chiamato Zlob, camuffato da un codec video necessario sotto forma di ActiveX.

Gli anni 2000 hanno visto anche un aumento del numero di utenti Mac, e i criminali informatici li hanno seguiti. Nel 2006, è stata annunciata la scoperta di un primo malware per Mac OS X, un cavallo di Troia a bassa minaccia noto come OSX/Leap-A o OSX/Oompa-A.

Le motivazioni dietro gli attacchi Trojan hanno iniziato a cambiare in quel periodo. Molti dei primi attacchi informatici erano motivati da desiderio di potere, controllo o pura distruzione. Negli anni 2000, un numero crescente di attacchi era motivato dall'avidità. Nel 2007, un Trojan chiamato Zeus mirava a Microsoft Windows per rubare informazioni bancarie tramite un keylogger. Nel 2008, gli hacker hanno rilasciato Torpig, noto anche come Sinowal e Mebroot, che disattivava le applicazioni antivirus, consentendo ad altri di accedere al computer, modificare i dati e rubare informazioni riservate come password e altri dati sensibili.

Più grandi e cattivi

Quando il crimine informatico è entrato nel 2010, l'avidità è continuata, ma hackers hanno iniziato a pensare più in grande. L'ascesa di criptovalute non tracciabili come il Bitcoin ha portato a un aumento degli attacchi ransomware. Nel 2013 è stato scoperto il cavallo di Troia Cryptolocker. Cryptolocker cripta i file sul disco rigido dell'utente e richiede il pagamento di un riscatto allo sviluppatore per ricevere la chiave di decrittazione. Più tardi, nello stesso anno, sono stati scoperti anche diversi Trojan ransomware imitatori.

"Molti dei Trojan di cui sentiamo parlare oggi sono stati progettati per prendere di mira specificamente un'azienda, un'organizzazione o persino un governo."

Gli anni 2010 hanno anche visto un cambiamento nel modo in cui le vittime sono prese di mira. Mentre molti Trojan utilizzano ancora un approccio generale, cercando di infettare il maggior numero possibile di utenti, sembra che stia prendendo piede un approccio più mirato. Molti dei Trojan di cui sentiamo parlare oggi sono stati progettati per prendere di mira un'azienda specifica, un'organizzazione o persino un governo. Nel 2010, il Trojan Windows Stuxnet è stato rilevato. È stato il primo worm ad attaccare i sistemi di controllo computerizzati, e ci sono suggerimenti che sia stato progettato per prendere di mira le strutture nucleari iraniane. Nel 2016, il Tiny Banker Trojan (Tinba) ha fatto notizia. Dalla sua scoperta, è stato riscontrato che ha infettato oltre due dozzine di importanti istituti bancari negli Stati Uniti, tra cui TD Bank, Chase, HSBC, Wells Fargo, PNC e Bank of America. Nel 2018, l'Emotet Trojan, un tempo un Trojan bancario a sé stante, è stato visto distribuire altri tipi di malware, compresi altri Trojan.

Come uno dei modi più antichi e comuni di consegnare malware, la storia dei Trojan segue la storia del crimine informatico stesso. Quello che è iniziato come un modo per fare scherzi agli amici si è trasformato in un modo per distruggere reti, rubare informazioni, fare soldi e prendere potere. I giorni degli scherzi sono ormai lontani. Invece, continuano a essere strumenti seri di criminalità informatica utilizzati principalmente per il furto di dati, lo spionaggio e gli attacchi Denial of Service distribuiti (DDoS).

Quali sono i diversi tipi di cavallo di Troia?

I Trojan sono versatili e molto popolari, quindi è difficile caratterizzare ogni tipo. Detto ciò, la maggior parte dei Trojan sono progettati per prendere il controllo del computer di un utente, rubare dati, spiare gli utenti o inserire ulteriore malware nel computer di una vittima. Ecco alcune minacce comuni che provengono dagli attacchi Trojan:

• Backdoors, che creano accesso remoto al tuo sistema. Questo tipo di malware modifica la tua sicurezza per permettere al hacker di controllare il dispositivo, rubare i tuoi dati e persino scaricare altro malware.
• Spyware, che osserva mentre accedi a conti online o inserisci i dettagli della carta di credito. Poi trasmettono le tue password e altri dati identificativi al hacker.
• Trojan zombificanti, che prendono il controllo del computer per renderlo schiavo di una rete sotto il controllo dell'hacker. Questo è il primo passo verso la creazione di una botnet (robot + rete), che viene spesso utilizzata per eseguire un attacco DDoS (Distributed Denial-of-Service) volto a distruggere una rete inondandola di traffico.
• I trojan downloader, di cui Emotet è un buon esempio, download e distribuiscono altri moduli dannosi, come ransomware o keylogger.
• Trojan dialer, che potrebbero sembrare anacronistici poiché non usiamo più modem dial-up. Ma ne parleremo nella sezione successiva.

App Trojanizzate su smartphone Android

I Trojan non sono solo un problema per laptop e desktop. Attaccano anche i dispositivi mobili, il che ha senso dato il bersaglio appetibile presentato dai miliardi di telefoni in uso.

Come per i computer, il Trojan si presenta come un programma legittimo, anche se in realtà è una versione falsa dell'app piena di malware.

Questi trojan di solito si nascondono in mercati di app non ufficiali e pirata, allettando gli utenti a scaricarli. I trojan eseguono l'intera gamma di malefatte, infettando il telefono con annunci pubblicitari e keyloggers, che possono rubare informazioni. I dialer trojan possono perfino generare entrate inviando SMS premium.    

"Le estensioni del browser possono agire come trojan anche..."

Android Gli utenti Android sono stati vittime di applicazioni troianizzate anche da Google Play, che esegue costantemente scansioni e cancella le applicazioni armate (molte volte dopo la scoperta del trojan). Anche i componenti aggiuntivi delle estensioni del browser possono agire come trojan, poiché si tratta di un payload in grado di trasportare codice nocivo incorporato.

Mentre Google può rimuovere le estensioni del browser dai computer, sui telefoni i trojan possono posizionare icone trasparenti sullo schermo. Sono invisibili all'utente, ma reagiscono comunque al tocco di un dito per avviare il malware.

Per quanto riguarda gli utenti iPhone, ci sono buone notizie: le politiche restrittive di Apple riguardanti l'accesso all'App Store, iOS e qualsiasi altra app sul telefono fanno un buon lavoro nel prevenire le incursioni dei trojan. L'unica eccezione si verifica per coloro che jailbreak il loro telefono nella loro ricerca di scaricare gratis da siti diversi dall'App Store. Installare app rischiose al di fuori delle impostazioni Apple ti rende vulnerabile ai trojan.

Come faccio a rimuovere un virus Trojan?

Una volta che un trojan infetta il tuo dispositivo, la maniera più universale per pulirlo e ripristinarlo allo stato desiderato è utilizzare uno strumento di anti-malware di buona qualità e fare una scansione completa del sistema. Se sei preoccupato per un'infezione da trojan, puoi provare il nostro scanner Trojan gratuito per controllare il tuo dispositivo. 

Ci sono molti programmi antivirus e anti-malware gratuiti—compresi i nostri prodotti per Windows, Android e Mac—che rilevano e rimuovono adware e malware. Infatti, Malwarebytes rileva tutti i trojan noti e altro, poiché l'80% del rilevamento dei trojan avviene tramite analisi euristica. Aiutiamo anche a mitigare ulteriori infezioni interrompendo la comunicazione tra il malware inserito e qualsiasi server di backend, isolando così il trojan. Il nostro strumento malware gratuito eseguirà la scansione e rimuoverà eventuali malware esistenti, mentre il nostro prodotto premium eseguirà una scansione proattiva e proteggerà da malware come trojan, virus, worm e ransomware. Puoi iniziare con una prova gratuita dei nostri prodotti premium per testarli da solo.    

Come faccio a prevenire un virus Trojan?

Poiché i trojan si basano sull'inganno degli utenti per entrare nei loro computer, la maggior parte delle infezioni può essere evitata rimanendo vigili e adottando buone abitudini di sicurezza. Pratica uno scetticismo sano riguardo ai siti che offrono film gratuiti o giochi d'azzardo, optando invece per scaricare programmi gratuiti direttamente dal sito del produttore piuttosto che da server mirror non autorizzati.

Un altro accorgimento da considerare: cambia le impostazioni predefinite di Windows affinché le vere estensioni delle applicazioni siano sempre visibili. In questo modo si evita di essere ingannati da un'icona dall'aspetto innocuo.

Altre buone pratiche, oltre all'installazione di Malwarebytes per Windows, Malwarebytes per Android e Malwarebytes per Mac, includono:

• Eseguire scansioni diagnostiche periodiche
• Impostare aggiornamenti automatici del software del sistema operativo, assicurandosi di avere gli ultimi aggiornamenti di sicurezza
• Mantenere aggiornate le applicazioni, assicurandosi che eventuali vulnerabilità siano corrette
• Evitare siti web non sicuri o sospetti
• Essere scettici riguardo ad allegati e link non verificati in email sconosciute
• Utilizzare password complesse
• Rimanere dietro un firewall

Come Malwarebytes Premium ti protegge

In Malwarebytes, prendiamo sul serio la prevenzione delle infezioni, ed è per questo che blocchiamo in modo aggressivo sia i siti web che le pubblicità che consideriamo fraudolenti o sospetti. Ad esempio, blocchiamo siti di torrent come The Pirate Bay. Anche se molti utenti esperti li hanno usati senza problemi, alcuni dei file che offrono per il download sono in realtà trojan. Per ragioni simili, blocchiamo anche il cryptomining attraverso i browser, ma l'utente ha la possibilità di disattivare il blocco e connettersi.

La nostra idea è che sia meglio sbagliare sul lato della sicurezza. Se vuoi correre il rischio, è facile mettere in whitelist un sito, ma anche gli esperti di tecnologia possono cadere in un trojan convincente.

Per saperne di più su trojan, malware e altre minacce informatiche, dai un'occhiata al blog di Malwarebytes Labs. Le cose che impari potrebbero aiutarti a evitare un'infezione in futuro.