Cavallo di Troia - Virus o malware?

I trojan sono programmi che dichiarano di svolgere una funzione ma in realtà ne svolgono un'altra, tipicamente dannosa. I trojan possono assumere la forma di allegati, download e video/programmi falsi.

.st0{fill:#0D3ECC;} DOWNLOAD MALWAREBYTES GRATUITO

Anche per Windows, iOS, Android, Chromebook e Per gli affari

immagine di intestazione del trojan

Che cos'è un cavallo di Troia? 

Attenzione ai greci che portano doni: Nel poema epico di Virgilio, l'Eneide, un intelligente stratega di guerra greco di nome Odisseo escogita un piano per far entrare i suoi uomini nella città murata di Troia. Invece di distruggere o scalare le mura della città, Odisseo vede un altro modo per entrare: con l'inganno. I soldati troiani guardano i greci che sembrano salpare, lasciandosi dietro un gigantesco cavallo di legno in segno di resa. Ubriachi di vittoria, i Troiani portano il cavallo all'interno delle loro mura, solo per scoprire che Odisseo e i suoi uomini sono stati nascosti all'interno per tutto il tempo.

Come il suo omonimo, gli attacchi del cavallo di Troia (o semplicemente "Trojan") in informatica sono definiti come un tipo di malware che utilizza l'inganno e l'ingegneria sociale per indurre gli utenti ignari a eseguire programmi informatici apparentemente benigni che nascondono secondi fini malevoli. Anche se tecnicamente non si tratta di virus informatici, ma di una forma separata di malware, il termine "virus del cavallo di Troia" è diventato un modo comune di riferirsi a questi virus. 

Come caratterizzare un trojan

A volte si pensa a un Trojan come a un virus o a un worm, ma in realtà non si tratta di nessuno dei due. Un virus è un infettore di file che può autoreplicarsi e diffondersi collegandosi a un altro programma. I worm sono un tipo di malware simile ai virus, ma non hanno bisogno di essere collegati a un altro programma per diffondersi. La maggior parte dei virus è ormai considerata come una minaccia tradizionale. Anche i worm sono diventati rari, anche se di tanto in tanto compaiono. 

"Un trojan può essere come un coltellino svizzero dell'hacking".

Considerate i trojan come un termine generico per indicare la distribuzione di malware , perché esistono vari tipi di trojan. A seconda delle intenzioni del programmatore criminale, un Trojan può essere come un coltellino svizzero dell'hacking: agiscecome malware indipendente o come strumento per altre attività, come la consegna di payload futuri, la comunicazione con l'hacker in un secondo momento o l'apertura del sistema agli attacchi proprio come fecero i soldati greci dall'interno della fortezza di Trojan.

In altre parole, un Trojan è una strategia di consegna che gli hacker utilizzano per distribuire qualsiasi tipo di minaccia, dal ransomware che richiede immediatamente denaro allo spyware che si nasconde mentre ruba informazioni preziose come dati personali e finanziari.

Tenete presente che gli adware o i PUP (programmi potenzialmente indesiderati) possono essere confusi con i Trojan perché il metodo di distribuzione è simile. Ad esempio, a volte l'adware si insinua nel computer come parte di un pacchetto di software. Si pensa di scaricare un solo software, ma in realtà sono due o tre. Gli autori del programma di solito includono l'adware per motivi di marketing affiliato, in modo da poter monetizzare il loro programma di installazione con offerte, di solito chiaramente etichettate. Questi bundler di adware sono in genere meno dannosi dei trojan. Inoltre, non si nascondono come i Trojan. Tuttavia, poiché il vettore di distribuzione dell'adware assomiglia a quello di un Trojan, può causare confusione.

Sintomi del virus Trojan

I trojan possono avere l'aspetto di qualsiasi cosa, da software e musica gratuiti, a pubblicità per il browser, ad applicazioni apparentemente legittime. Qualsiasi comportamento imprudente dell'utente può portare a un'infezione da Trojan. Ecco alcuni esempi:

  • Scaricare applicazioni craccate. La promessa di una copia gratuita illegale di un software può essere allettante, ma il software craccato o il generatore di chiavi di attivazione possono nascondere un attacco Trojan.
  • Scaricare programmi gratuiti sconosciuti. Quello che sembra un gioco o uno screensaver gratuito potrebbe in realtà essere un Trojan, soprattutto se lo trovate su un sito non affidabile.
  • Apertura di allegati infetti. Ricevete una strana e-mail con un allegato che sembra importante, come una fattura o una ricevuta di consegna, ma che al clic lancia un Trojan.
  • Visitare siti web loschi. Ad alcuni siti basta un attimo per infettare il computer. Altri usano trucchi come fingere di trasmettere in streaming un film popolare, ma solo se si download un certo codec video, che in realtà è un Trojan.
  • Qualsiasi altro tipo di ingegneria sociale che si camuffa sfruttando le ultime tendenze. Ad esempio, nel dicembre 2017 è stato scoperto che una vasta base installata di processori Intel era vulnerabile agli attacchi a causa di problemi hardware. Gli hacker hanno sfruttato il panico che ne è derivato falsificando una patch chiamata Smoke Loader, che ha installato un trojan.

Notizie sul cavallo di Troia

Storia del virus del cavallo di Troia

Giochi e divertimento

Un programma chiamato ANIMAL, rilasciato nel 1975, è generalmente considerato il primo esempio al mondo di attacco Trojan. Si presentava come un semplice gioco del tipo "venti domande". Tuttavia, dietro le quinte, il gioco si copiava su directory condivise dove altri utenti potevano trovarlo. Da lì, il gioco poteva diffondersi su intere reti di computer. Per la maggior parte, si trattava di uno scherzo innocuo.

Nel dicembre 1989, gli attacchi Trojan non erano più uno scherzo. Diverse migliaia di dischetti contenenti il Trojan AIDS, il primo ransomware conosciuto, furono spediti agli abbonati della rivista PC Business World e a una mailing list della conferenza sull'AIDS dell'Organizzazione Mondiale della Sanità. Questo trojan DOS rimaneva inattivo per 90 cicli di avvio, criptava tutti i nomi dei file del sistema, quindi visualizzava un avviso che chiedeva all'utente di inviare 189 dollari a una casella postale di Panama per ricevere un programma di decriptazione.

Negli anni '90 è apparso un altro famigerato trojan camuffato sotto forma di un semplice gioco Whack-A-Mole. Il programma nascondeva una versione di NetBus, un programma che permette di controllare a distanza un sistema informatico Microsoft Windows attraverso una rete. Con l'accesso remoto, l'aggressore poteva fare qualsiasi cosa al computer, persino aprire il vassoio del CD.

Amore e denaro

Nel 2000, un trojan chiamato ILOVEYOU è diventato il cyberattacco più distruttivo della storia, con danni stimati fino a 8,7 miliardi di dollari. I destinatari ricevevano un'e-mail con quello che sembrava un allegato di testo chiamato "ILOVEYOU". Se erano abbastanza curiosi da aprirlo, il programma lanciava uno script che sovrascriveva i loro file e si inviava a tutte le e-mail dell'elenco dei contatti dell'utente. Per quanto il worm fosse intelligente dal punto di vista tecnico, l'uso dell'ingegneria sociale era probabilmente la sua componente più ingegnosa.

Nel corso degli anni 2000, gli attacchi Trojan hanno continuato a evolversi, così come le minacce che portavano con sé. Invece di puntare alla curiosità delle persone, i trojan hanno sfruttato l'aumento del download illegale, camuffando il malware in file musicali, film o codec video. Nel 2002 è emerso un cavallo di Troia backdoor basato su Windows, chiamato Beast, in grado di infettare quasi tutte le versioni di Windows. Poi, alla fine del 2005, è stato distribuito un altro Trojan backdoor chiamato Zlob, camuffato da un codec video richiesto sotto forma di ActiveX.

Negli anni 2000 è aumentato anche il numero di utenti di Mac e i criminali informatici hanno seguito l'esempio. Nel 2006 è stata annunciata la scoperta del primo malware per Mac OS X, un cavallo di Troia a bassa minaccia noto come OSX/Leap-A o OSX/Oompa-A.

Anche le motivazioni alla base degli attacchi Trojan hanno iniziato a cambiare in questo periodo. Molti dei primi attacchi informatici erano motivati da brama di potere, controllo o pura distruzione. Negli anni 2000, un numero crescente di attacchi era motivato dall'avidità. Nel 2007, un Trojan chiamato Zeus ha preso di mira Microsoft Windows per rubare informazioni bancarie tramite un keylogger. Nel 2008, gli hacker hanno rilasciato Torpig, noto anche come Sinowal e Mebroot, che disattivava le applicazioni antivirus, consentendo ad altri di accedere al computer, modificare i dati e rubare informazioni riservate come password e altri dati sensibili.

Più grande e più cattivo

Quando il crimine informatico è entrato nel 2010, l'avidità è continuata, ma gli hacker hanno iniziato a pensare più in grande. L'ascesa di criptovalute non tracciabili come il Bitcoin ha portato a un aumento degli attacchi ransomware. Nel 2013 è stato scoperto il cavallo di Troia Cryptolocker. Cryptolocker cripta i file sul disco rigido dell'utente e richiede il pagamento di un riscatto allo sviluppatore per ricevere la chiave di decrittazione. Più tardi, nello stesso anno, sono stati scoperti anche diversi Trojan ransomware imitatori.

"Molti dei Trojan di cui si sente parlare oggi sono stati progettati per colpire un'azienda, un'organizzazione o persino un governo specifico".

Il 2010 ha visto anche un cambiamento nel modo in cui le vittime vengono prese di mira. Mentre molti trojan utilizzano ancora un approccio generalizzato, cercando di infettare il maggior numero possibile di utenti, sembra che sia in aumento un approccio più mirato. Molti dei Trojan di cui si sente parlare oggi sono stati progettati per colpire un'azienda, un'organizzazione o persino un governo specifico. Nel 2010 è stato individuato Stuxnet, un trojan Windows . È stato il primo worm ad attaccare i sistemi di controllo computerizzati e si ipotizza che sia stato progettato per colpire le strutture nucleari iraniane. Nel 2016, Tiny Banker Trojan (Tinba ) ha fatto notizia. Dalla sua scoperta, si è scoperto che ha infettato più di due dozzine di importanti istituti bancari negli Stati Uniti, tra cui TD Bank, Chase, HSBC, Wells Fargo, PNC e Bank of America. Nel 2018, il Trojan Emotet, un tempo un Trojan bancario a sé stante, è stato visto recapitare altri tipi di malware, compresi altri Trojan.

Essendo uno dei modi più antichi e comuni per diffondere malware, la storia dei trojan segue quella della criminalità informatica stessa. Quello che era iniziato come un modo per fare uno scherzo agli amici si è trasformato in un modo per distruggere reti, rubare informazioni, fare soldi e prendere il potere. I tempi degli scherzi sono ormai lontani. Continuano invece a essere strumenti seri per i criminali informatici, utilizzati soprattutto per il furto di dati, lo spionaggio e gli attacchi DDoS (Distributed Denial of Service).

Quali sono i diversi tipi di cavallo di Troia?

I trojan sono versatili e molto diffusi, quindi è difficile caratterizzarne ogni tipo. Tuttavia, la maggior parte dei Trojan è progettata per prendere il controllo del computer dell'utente, rubare dati, spiare gli utenti o inserire altro malware nel computer della vittima. Ecco alcune minacce comuni derivanti dagli attacchi Trojan:

  • Backdoor, che creano un accesso remoto al sistema. Questo tipo di malware modifica la sicurezza per consentire all'hacker di controllare il dispositivo, rubare i dati e persino download altro malware.
  • Spyware, che osservano l'accesso agli account online o l'inserimento dei dati della carta di credito. In seguito trasmettono all'hacker le vostre password e altri dati identificativi.
  • Trojan zombificanti, che prendono il controllo del computer per renderlo schiavo di una rete sotto il controllo dell'hacker. Questo è il primo passo verso la creazione di una botnet (robot + rete), che viene spesso utilizzata per eseguire un attacco DDoS (Distributed Denial-of-Service) volto a distruggere una rete inondandola di traffico.
  • I trojan downloader, di cui Emotet è un buon esempio, download e distribuiscono altri moduli dannosi, come ransomware o keylogger.
  • Trojan dialer, che potrebbe sembrare anacronistico dal momento che non usiamo più i modem dial-up. Ma di questo si parlerà nella prossima sezione.

Applicazioni troianizzate sugli smartphone Android

I trojan non sono un problema solo per i laptop e i desktop. Attaccano anche i dispositivi mobili, il che ha senso visto il bersaglio allettante rappresentato dai miliardi di telefoni in uso.

Come per i computer, il Trojan si presenta come un programma legittimo, anche se in realtà si tratta di una versione falsa dell'applicazione piena di malware.

Tali trojan si annidano solitamente nei mercati delle app non ufficiali e pirata, invogliando gli utenti a download . I trojan sono in grado di compiere tutti i tipi di azioni scorrette, infettando il telefono con annunci pubblicitari e keylogger, che possono rubare informazioni. I trojan dialer possono persino generare entrate inviando SMS a pagamento.    

"I componenti aggiuntivi delle estensioni del browser possono agire come Trojan come ben...."

Android Gli utenti sono stati vittime di app troianizzate anche da Google Play, che esegue costantemente scansioni e cancella le app armate (molte volte dopo la scoperta del trojan). Anche i componenti aggiuntivi delle estensioni del browser possono agire come trojan, poiché si tratta di un payload in grado di trasportare codice nocivo incorporato.

Mentre Google può rimuovere i componenti aggiuntivi del browser dai computer, sui telefoni i trojan possono posizionare icone trasparenti sullo schermo. Sono invisibili all'utente, ma reagiscono al tocco delle dita per lanciare il malware.

Per quanto riguarda gli utenti di iPhone, ci sono buone notizie: Le politiche restrittive di Apple per quanto riguarda l'accesso all'App Store, a iOS e a qualsiasi altra applicazione sul telefono fanno un buon lavoro nel prevenire le incursioni di Trojan. L'unica eccezione è rappresentata da coloro che effettuano il jailbreak del telefono nel tentativo di accedere a download applicazioni gratuite da siti diversi dall'App Store. L'installazione di applicazioni rischiose al di fuori delle impostazioni Apple rende vulnerabili ai trojan.

Come si rimuove un virus Trojan?

Una volta che un Trojan infetta il vostro dispositivo, il modo più universale per ripulirlo e riportarlo allo stato desiderato è quello di utilizzare uno strumento anti-malware automatico di buona qualità ed effettuare una scansione completa del sistema. Se siete preoccupati per un'infezione da Trojan, potete provare il nostro scanner Trojan gratuito per controllare il vostro dispositivo. 

Esistono molti programmi antivirus e antimalware gratuiti, tra cui i nostri prodotti per Windows, Android e Mac, che rilevano e rimuovono adware e malware. In effetti, Malwarebytes rileva tutti i Trojan conosciuti e anche di più, poiché l'80% del rilevamento dei Trojan avviene tramite analisi euristica. Contribuiamo anche a mitigare ulteriori infezioni interrompendo la comunicazione tra il malware inserito e qualsiasi server di backend, isolando così il Trojan. Il nostro strumento malware gratuito scansiona e rimuove il malware esistente, mentre il nostro prodotto premium scansiona e protegge in modo proattivo da malware come trojan, virus, worm e ransomware. È possibile iniziare con una prova gratuita dei nostri prodotti premium per testarli personalmente.    

Come posso prevenire un virus Trojan?

Poiché i Trojan si basano sull'inganno degli utenti che li lasciano entrare nel computer, la maggior parte delle infezioni è evitabile rimanendo vigili e osservando le buone abitudini di sicurezza. Praticate un sano scetticismo nei confronti dei siti web che offrono film o giochi d'azzardo gratuiti, scegliendo invece download programmi gratuiti direttamente dal sito del produttore piuttosto che da server mirror non autorizzati.

Un'altra precauzione da prendere in considerazione: modificare le impostazioni predefinite di Windows in modo che le estensioni reali delle applicazioni siano sempre visibili. In questo modo si evita di essere ingannati da un'icona dall'aspetto innocente.

Altre buone pratiche, oltre all'installazione di Malwarebytes per Windows, Malwarebytes per Android e Malwarebytes per Mac, sono le seguenti:

  • Esecuzione di scansioni diagnostiche periodiche
  • Impostazione degli aggiornamenti automatici del software del sistema operativo, per garantire la disponibilità degli ultimi aggiornamenti di sicurezza.
  • Mantenere aggiornate le applicazioni, assicurandosi che tutte le vulnerabilità di sicurezza vengano corrette.
  • Evitare i siti web non sicuri o sospetti
  • Essere scettici nei confronti di allegati e link non verificati contenuti in e-mail sconosciute.
  • Utilizzo di password complesse
  • Rimanere dietro un firewall

Come vi protegge Malwarebytes Premium

Noi di Malwarebytes siamo molto attenti alla prevenzione delle infezioni e per questo motivo blocchiamo in modo aggressivo sia i siti web che le pubblicità che consideriamo fraudolente o sospette. Ad esempio, blocchiamo i siti torrent come The Pirate Bay. Sebbene molti utenti esperti abbiano utilizzato questi siti senza problemi, alcuni dei file offerti da download sono in realtà dei Trojan. Per ragioni simili, blocchiamo anche il cryptomining attraverso i browser, ma l'utente può scegliere di disattivare il blocco e connettersi.

Il nostro ragionamento è che è meglio sbagliare per la sicurezza. Se si vuole correre il rischio, è facile inserire un sito nella whitelist, ma anche gli esperti di tecnologia possono cadere in un trojan convincente.

Per saperne di più su trojan, malware e altre minacce informatiche, visitate il blogMalwarebytes Labs . Le informazioni apprese potrebbero aiutarvi a evitare un'infezione in futuro.