Cavallo di Troia: È un virus o un malware?

Cos'è un cavallo di Troia? 

Attenti ai greci che portano doni: nell'epico poema di Virgilio, The Aeneid, uno stratega di guerra greco chiamato Odisseo elabora un piano per far entrare i suoi uomini nella città fortificata di Troia. Invece di distruggere o scalare le mura della città, Odisseo vede un altro modo: con l'inganno. I soldati troiani osservano i greci che sembrano salpare, lasciando dietro di sé un grande cavallo di legno come segno di resa. Ubriacati dalla vittoria, i troiani portano il cavallo dentro le mura, solo per scoprire che Odisseo e i suoi uomini erano stati nascosti all'interno per tutto il tempo.

Come il suo omonimo, gli attacchi di cavallo di Troia (o semplicemente "Trojan") nell'informatica sono definiti come un tipo di malware che utilizza l'inganno e l'ingegneria sociale per ingannare gli utenti ignari facendogli eseguire programmi informatici apparentemente innocui che nascondono motivazioni dannose. Tecnicamente, non sono virus informatici ma piuttosto una forma separata di malware, anche se "virus cavallo di Troia" è diventato un modo comune per riferirsi a loro. 

Come si caratterizza un Trojan

Le persone a volte pensano a un Trojan come a un virus o un worm, ma in realtà non è nessuno dei due. Un virus è un file infector che può autoriprodursi e diffondersi attaccandosi a un altro programma. I worm sono un tipo di malware simile ai virus, ma non hanno bisogno di essere attaccati a un altro programma per diffondersi. La maggior parte dei virus è ora considerata una minaccia del passato. Anche i worm sono diventati rari, anche se di tanto in tanto fanno capolino. 

"Un Trojan può essere come un coltellino svizzero dell'hacking."

Pensate ai Trojan come un termine ombrello per la consegna di malware, perché ci sono vari tipi di Trojan. A seconda delle intenzioni del programmatore criminale, un Trojan può essere come un coltellino svizzero dell'hacking — funzionando come un po' di malware indipendente, o come strumento per altre attività, come consegnare futuri payload, comunicare con l'hacker in un secondo momento, o aprire il sistema ad attacchi proprio come fecero i soldati greci dall'interno della fortezza di Troia.

In altre parole, un Trojan è una strategia di consegna che gli hacker utilizzano per distribuire qualsiasi numero di minacce, da ransomware che chiede immediatamente denaro, a spyware che si nasconde mentre ruba informazioni preziose come dati personali e finanziari.

Tieni presente che l'adware o i PUP (programmi potenzialmente indesiderati) possono essere confusi con i Trojan perché il metodo di consegna è simile. Ad esempio, a volte l'adware si insinua sul tuo computer come parte di un pacchetto di software. Pensi di scaricare un solo software, ma in realtà sono due o tre. Gli autori del programma di solito includono l'adware per ragioni di affiliazione di marketing, in modo che possano monetizzare il loro installatore con offerte — di solito chiaramente etichettate. Tali bundle di adware sono tipicamente meno dannosi dei Trojan. Inoltre, non si nascondono come fanno i Trojan. Ma dato che la modalità di distribuzione dell'adware assomiglia a quella di un Trojan, può causare confusione.

Sintomi del virus Trojan

I Trojan possono sembrare praticamente qualsiasi cosa, dai software gratuiti e musica, agli annunci pubblicitari del browser alle app apparentemente legittime. Un qualsiasi numero di comportamenti poco saggi degli utenti può portare a un'infezione da Trojan. Ecco alcuni esempi:

• Scaricare applicazioni craccate. La promessa di avere una copia gratuita illegale di un software può essere allettante, ma il software craccato o il generatore di chiavi di attivazione possono nascondere un attacco Trojan.
• Scaricare programmi gratuiti sconosciuti. Quello che sembra un gioco gratuito o uno screensaver potrebbe essere davvero un Trojan, soprattutto se lo trovi su un sito non affidabile.
• Aprire allegati infetti. Ricevi un'email strana con quello che sembra un allegato importante, come una fattura o una ricevuta di consegna, ma quando ci clicchi sopra si attiva un Trojan.
• Visitare siti web loschi. Alcuni siti hanno bisogno solo di un momento per infettare il tuo computer. Altri usano trucchi come fingere di trasmettere un film popolare, ma solo se scarichi un certo codec video, che è in realtà un trojan.
• Qualsiasi altra ingegneria sociale che si maschera sfruttando le ultime tendenze. Ad esempio, nel dicembre 2017, si scoprì che un'ampia base installata di processori Intel era vulnerabile agli attacchi a causa di problemi hardware. Gli hacker hanno sfruttato il panico che ne è seguito fingendo una patch chiamata Smoke Loader, che installava un Trojan.

Notizie sul cavallo di Troia

• SharkBot: il Trojan bancario per Android che svuota i conti degli utenti
• Sorgente di trojan: Nascondere il codice maligno in bella vista
• Trojan Polazert usando risultati avvelenati di Google Search per diffondersi
• Bizarro: un banking Trojan pieno di brutti trucchi
• Trojan Android xHelper utilizza tattiche di re-infezione persistente: ecco come rimuoverlo
• La nuova versione del trojan IcedID utilizza payload steganografici
• Nuovo malware Trojan Android scoperto in Google Play
• Trojans: Qual è la verità?

Storia del virus cavallo di Troia

Divertimento e giochi

Un programma chiamato ANIMAL, rilasciato nel 1975, è generalmente considerato il primo esempio al mondo di un attacco Trojan. Si presentava come un semplice gioco lungo le linee dei venti domande. Tuttavia, in background, il gioco si copiava su directory condivise dove altri utenti potevano trovarlo. Da lì, il gioco poteva diffondersi attraverso intere reti di computer. Nel complesso, era un scherzo innocuo.

Nel dicembre 1989, gli attacchi Trojan non erano più per scherzi. Diverse migliaia di floppy disk contenenti il Trojan AIDS, il primo noto ransomware, furono spediti agli abbonati della rivista PC Business World e a un elenco di inviti di una conferenza sull'AIDS delle Nazioni Unite. Questo Trojan DOS rimaneva inattivo per 90 cicli di avvio, crittografava tutti i nomi di file sul sistema, quindi mostrava un avviso chiedendo all'utente di inviare $189 a una casella postale a Panama per ricevere un programma di decrittazione.

Negli anni '90, apparve un altro famoso Trojan mascherato sotto forma di un semplice gioco da Whack-A-Mole. Il programma nascondeva una versione di NetBus, un programma che permette di controllare da remoto un sistema Microsoft Windows su una rete. Con accesso remoto, l'attaccante poteva fare qualsiasi cosa a un computer, anche aprire il suo vassoio CD.

Amore e denaro

Nel 2000, un Trojan chiamato ILOVEYOU divenne l'attacco cibernetico più distruttivo della storia all'epoca, con danni stimati fino a 8,7 miliardi di dollari. I destinatari ricevevano una e-mail con quella che sembrava un'allegato di testo chiamato "ILOVEYOU." Se erano abbastanza curiosi da aprirlo, il programma lanciava uno script che sovrascriveva i loro file e si inviava a ogni contatto nell'elenco della posta dell'utente. Per quanto ingegnoso fosse il worm da un punto di vista tecnico, il suo uso dell'ingegneria sociale era senza dubbio la sua componente più brillante.

Negli anni 2000, gli attacchi Trojan hanno continuato ad evolversi, così come le minacce che portavano. Invece di mirare alla curiosità delle persone, i Trojan hanno sfruttato l'ascesa del download illegale, mascherando malware come file musicali, film o codec video. Nel 2002, un Trojan cavallo di Troia basato su Windows chiamato Beast è emerso e era in grado di infettare quasi tutte le versioni di Windows. Poi, alla fine del 2005, un altro Trojan backdoor chiamato Zlob è stato distribuito mascherato da codec video richiesto sotto forma di ActiveX.

Gli anni 2000 hanno visto anche un aumento del numero di utenti Mac, e i criminali informatici li hanno seguiti. Nel 2006, è stata annunciata la scoperta di un primo malware per Mac OS X, un cavallo di Troia a bassa minaccia noto come OSX/Leap-A o OSX/Oompa-A.

Le motivazioni dietro gli attacchi Trojan hanno iniziato a cambiare in quel periodo. Molti dei primi attacchi informatici erano motivati da desiderio di potere, controllo o pura distruzione. Negli anni 2000, un numero crescente di attacchi era motivato dall'avidità. Nel 2007, un Trojan chiamato Zeus mirava a Microsoft Windows per rubare informazioni bancarie tramite un keylogger. Nel 2008, gli hacker hanno rilasciato Torpig, noto anche come Sinowal e Mebroot, che disattivava le applicazioni antivirus, consentendo ad altri di accedere al computer, modificare i dati e rubare informazioni riservate come password e altri dati sensibili.

Più grandi e cattivi

Quando il crimine informatico è entrato negli anni 2010, l'avidità è continuata, ma gli hacker hanno iniziato a pensare in grande. L'ascesa delle criptovalute non tracciabili come Bitcoin ha portato a un aumento degli attacchi ransomware. Nel 2013, è stato scoperto il cavallo di Troia Cryptolocker. Cryptolocker crittografa i file sul disco rigido di un utente e richiede un riscatto al sviluppatore per ricevere la chiave di decrittazione. Più tardi lo stesso anno, sono stati scoperti anche una serie di Trojan ransomware imitatori.

"Molti dei Trojan di cui sentiamo parlare oggi sono stati progettati per prendere di mira specificamente un'azienda, un'organizzazione o persino un governo."

Gli anni 2010 hanno anche visto un cambiamento nel modo in cui le vittime sono prese di mira. Mentre molti Trojan utilizzano ancora un approccio generale, cercando di infettare il maggior numero possibile di utenti, sembra che stia prendendo piede un approccio più mirato. Molti dei Trojan di cui sentiamo parlare oggi sono stati progettati per prendere di mira un'azienda specifica, un'organizzazione o persino un governo. Nel 2010, il Trojan Windows Stuxnet è stato rilevato. È stato il primo worm ad attaccare i sistemi di controllo computerizzati, e ci sono suggerimenti che sia stato progettato per prendere di mira le strutture nucleari iraniane. Nel 2016, il Tiny Banker Trojan (Tinba) ha fatto notizia. Dalla sua scoperta, è stato riscontrato che ha infettato oltre due dozzine di importanti istituti bancari negli Stati Uniti, tra cui TD Bank, Chase, HSBC, Wells Fargo, PNC e Bank of America. Nel 2018, l'Emotet Trojan, un tempo un Trojan bancario a sé stante, è stato visto distribuire altri tipi di malware, compresi altri Trojan.

Come uno dei modi più antichi e comuni di consegnare malware, la storia dei Trojan segue la storia del crimine informatico stesso. Quello che è iniziato come un modo per fare scherzi agli amici si è trasformato in un modo per distruggere reti, rubare informazioni, fare soldi e prendere potere. I giorni degli scherzi sono ormai lontani. Invece, continuano a essere strumenti seri di criminalità informatica utilizzati principalmente per il furto di dati, lo spionaggio e gli attacchi Denial of Service distribuiti (DDoS).

Quali sono i diversi tipi di cavallo di Troia?

I Trojan sono versatili e molto popolari, quindi è difficile caratterizzare ogni tipo. Detto ciò, la maggior parte dei Trojan sono progettati per prendere il controllo del computer di un utente, rubare dati, spiare gli utenti o inserire ulteriore malware nel computer di una vittima. Ecco alcune minacce comuni che provengono dagli attacchi Trojan:

• Backdoors, che creano accesso remoto al tuo sistema. Questo tipo di malware modifica la tua sicurezza per permettere al hacker di controllare il dispositivo, rubare i tuoi dati e persino scaricare altro malware.
• Spyware, che osserva mentre accedi a conti online o inserisci i dettagli della carta di credito. Poi trasmettono le tue password e altri dati identificativi al hacker.
• Trojan zombificatori, che prendono il controllo del tuo computer per renderlo uno schiavo in una rete sotto il controllo dell'hacker. Questo è il primo passo per creare una botnet (robot + network), che è spesso utilizzata per eseguire un attacco di negazione del servizio distribuito (DDoS) progettato per abbattere una rete inondandola di traffico.
• Downloader Trojans, come Emotet, scaricano e distribuiscono altri moduli dannosi, come ransomware o keyloggers.
• Trojan dialer, che potrebbero sembrare anacronistici poiché non usiamo più modem dial-up. Ma ne parleremo nella sezione successiva.

App Trojanizzate su smartphone Android

I Trojan non sono solo un problema per laptop e desktop. Attaccano anche i dispositivi mobili, il che ha senso dato il bersaglio appetibile presentato dai miliardi di telefoni in uso.

Come per i computer, il Trojan si presenta come un programma legittimo, anche se in realtà è una versione falsa dell'app piena di malware.

Questi trojan di solito si nascondono in mercati di app non ufficiali e pirata, allettando gli utenti a scaricarli. I trojan eseguono l'intera gamma di malefatte, infettando il telefono con annunci pubblicitari e keyloggers, che possono rubare informazioni. I dialer trojan possono perfino generare entrate inviando SMS premium.    

"Le estensioni del browser possono agire come trojan anche..."

Gli utenti Android sono stati le vittime di app Trojanizzate anche dal Google Play, che esegue costantemente la scansione e la pulizia delle app armate (spesso dopo la scoperta del trojan). Anche le estensioni del browser possono agire come trojan, poiché sono un payload capace di trasportare codice malevolo incorporato.

Mentre Google può rimuovere le estensioni del browser dai computer, sui telefoni i trojan possono posizionare icone trasparenti sullo schermo. Sono invisibili all'utente, ma reagiscono comunque al tocco di un dito per avviare il malware.

Per quanto riguarda gli utenti iPhone, ci sono buone notizie: le politiche restrittive di Apple riguardanti l'accesso all'App Store, iOS e qualsiasi altra app sul telefono fanno un buon lavoro nel prevenire le incursioni dei trojan. L'unica eccezione si verifica per coloro che jailbreak il loro telefono nella loro ricerca di scaricare gratis da siti diversi dall'App Store. Installare app rischiose al di fuori delle impostazioni Apple ti rende vulnerabile ai trojan.

Come faccio a rimuovere un virus Trojan?

Una volta che un trojan infetta il tuo dispositivo, la maniera più universale per pulirlo e ripristinarlo allo stato desiderato è utilizzare uno strumento di anti-malware di buona qualità e fare una scansione completa del sistema. Se sei preoccupato per un'infezione da trojan, puoi provare il nostro scanner Trojan gratuito per controllare il tuo dispositivo. 

Ci sono molti programmi antivirus e anti-malware gratuiti—compresi i nostri prodotti per Windows, Android e Mac—che rilevano e rimuovono adware e malware. Infatti, Malwarebytes rileva tutti i trojan noti e altro, poiché l'80% del rilevamento dei trojan avviene tramite analisi euristica. Aiutiamo anche a mitigare ulteriori infezioni interrompendo la comunicazione tra il malware inserito e qualsiasi server di backend, isolando così il trojan. Il nostro strumento malware gratuito eseguirà la scansione e rimuoverà eventuali malware esistenti, mentre il nostro prodotto premium eseguirà una scansione proattiva e proteggerà da malware come trojan, virus, worm e ransomware. Puoi iniziare con una prova gratuita dei nostri prodotti premium per testarli da solo.    

Come faccio a prevenire un virus Trojan?

Poiché i trojan si basano sull'inganno degli utenti per entrare nei loro computer, la maggior parte delle infezioni può essere evitata rimanendo vigili e adottando buone abitudini di sicurezza. Pratica uno scetticismo sano riguardo ai siti che offrono film gratuiti o giochi d'azzardo, optando invece per scaricare programmi gratuiti direttamente dal sito del produttore piuttosto che da server mirror non autorizzati.

Un altro accorgimento da considerare: cambia le impostazioni predefinite di Windows affinché le vere estensioni delle applicazioni siano sempre visibili. In questo modo si evita di essere ingannati da un'icona dall'aspetto innocuo.

Altre buone pratiche, oltre all'installazione di Malwarebytes per Windows, Malwarebytes per Android e Malwarebytes per Mac, includono:

• Eseguire scansioni diagnostiche periodiche
• Impostare aggiornamenti automatici del software del sistema operativo, assicurandosi di avere gli ultimi aggiornamenti di sicurezza
• Mantenere aggiornate le applicazioni, assicurandosi che eventuali vulnerabilità siano corrette
• Evitare siti web non sicuri o sospetti
• Essere scettici riguardo ad allegati e link non verificati in email sconosciute
• Utilizzare password complesse
• Restare dietro un firewall

Come Malwarebytes Premium ti protegge

In Malwarebytes, prendiamo sul serio la prevenzione delle infezioni, ed è per questo che blocchiamo in modo aggressivo sia i siti web che le pubblicità che consideriamo fraudolenti o sospetti. Ad esempio, blocchiamo siti di torrent come The Pirate Bay. Anche se molti utenti esperti li hanno usati senza problemi, alcuni dei file che offrono per il download sono in realtà trojan. Per ragioni simili, blocchiamo anche il cryptomining attraverso i browser, ma l'utente ha la possibilità di disattivare il blocco e connettersi.

La nostra idea è che sia meglio sbagliare sul lato della sicurezza. Se vuoi correre il rischio, è facile mettere in whitelist un sito, ma anche gli esperti di tecnologia possono cadere in un trojan convincente.

Per saperne di più su trojan, malware e altre minacce informatiche, dai un'occhiata al blog di Malwarebytes Labs. Le cose che impari potrebbero aiutarti a evitare un'infezione in futuro.