Gootkit è un Trojan bancario, ovvero un malware creato per rubare le credenziali bancarie. In effetti, Gootkit è classificato come uno dei migliori Trojan bancari mai creati fino ad ora. Si basa su complessi meccanismi antievasione e di persistenza, nonché su tecniche complesse come le iniezioni di web dinamiche.
Dalla sua scoperta nel 2014, Gootkit è stato utilizzato in molteplici attacchi che hanno preso di mira conti bancari in tutta Europa, alcuni dei quali molto distruttivi.
È noto che Gootkit influisce sui browser web più utilizzati, ovvero Firefox e Chrome. È interessante notare che questo trojan è codificato principalmente utilizzando il linguaggio di programmazione node.js, non una primissima scelta quindi. Inoltre, mentre altri software dannosi simili a Gootkit utilizzano pesantemente il codice sorgente trapelato di campioni precedenti, Gootkit sembra essere scritto quasi al 100% da zero.
Descrizione generale di Gootkit
Le radici di questo malware risalgono al 2010, quando fu documentato per la prima volta quello che può essere definito come il predecessore di Gootkit. All’epoca classificato come un “ladro di informazioni”, non rappresentava un pericolo molto grande, ma ora Gootkit si è evoluto in un vero e proprio Trojan bancario.
Il malware è stato documentato nella sua forma attuale di Trojan nel 2014, quando è stato coinvolto in attacchi rivolti a vittime sia private che aziendali in Europa, principalmente contro banche in Francia e Inghilterra, sebbene anche banche spagnole e italiane siano state attaccate.
A differenza di altri trojan, Gootkit non è in vendita su Internet. Inoltre, il codice non è trapelato e tutti gli attacchi che coinvolgono questo malware sono stati eseguiti da un gruppo di hacker di lingua russa.
Come funziona Gootkit
I creatori di questo Trojan hanno implementato alcuni dei trucchi anti-evasione più all’avanguardia di quest’epoca, per assicurarsi che il carico utile rimanga nascosto il più a lungo possibile e per impedire analisi di successo da parte dei ricercatori della sicurezza informatica. Composto da due parti principali, il dropper e il trojan stesso: Gootkit esegue controlli sandbox in ogni fase del suo ciclo vitale. Ciò significa che sia il dropper che il vero trojan hanno procedure antievasione uniche.
Una volta che il dropper si fa strada in una macchina, eseguirà il controllo iniziale della VM, assicurandosi che il malware non venga avviato in un ambiente virtuale. Ciò si ottiene verificando il valore del processore del sistema all’interno del registro di Windows controllando i nomi specifici dei server virtuali. Inoltre, viene controllato anche il BIOS per trovare valori che potrebbero indicare il malware avviato su una VM. Se il malware rileva che non viene avviato su una macchina reale, termina tutte le attività e si connetterà al server di controllo per inserire nella blacklist l’endpoint in cui è stato avviato.
Tuttavia, se il test iniziale viene superato, il caricatore installa l’eseguibile principale di Gootkit che, a sua volta, ripete alcuni dei controlli precedenti, aggiungendone alcuni nuovi. In uno dei nuovi controlli, il malware controlla la whitelist dei nomi ammissibili per la CPU per determinare che il nome di una VM è assente dall’elenco. Dopo questo test, il malware esegue la scansione per trovare i valori VMWare, VBOX o SONI sui dischi rigidi IDE/SCSI.
Distribuzione di Gootkit
Gootkit utilizza più vettori di attacco per infettare le sue vittime, inclusi i kit di exploit popolari come Neutrino e Angler, consentendo al malware di entrare in macchine con sistemi operativi non aggiornati.
Il secondo vettore di attacco utilizzato è lo spam tramite email che contengono campagne di pishing in cui Gootkit viene consegnato agli utenti come allegato email dannoso e l’ingegneria sociale viene utilizzata per indurre l’utente a scaricare il file dannoso.
Come evitare l’infezione da Gootkit?
Esistono diverse regole di sicurezza online che possono essere seguite per ridurre notevolmente il rischio di infezione da malware come Gootkit. Ad esempio, si consiglia agli utenti di installare gli aggiornamenti del sistema operativo più recenti, nonché di aggiornare le applicazioni che gli utenti utilizzano regolarmente.
È anche possibile avviare, ovviamente, un software antivirus. Assicurandosi però prima che esso sia aggiornato. Se non siete in possesso di un valido antivirus per la vostra macchina, potete acquistare un software antivirus scontato a questo indirizzo.
Allo stesso tempo, le applicazioni che vengono aperte di rado dovrebbero essere eliminate dalla macchina. Inoltre, si consiglia di disabilitare gli annunci nel browser ed evitare di visitare siti web sospetti. Inoltre, se al lavoro viene utilizzata una casella di posta privata anziché aziendale, l’utente deve evitare di inviare informazioni sensibili a e da questo indirizzo di posta elettronica personale.
Va notato che l’apertura di allegati in email sospette, comporta sempre un alto rischio di iniezione, pertanto gli utenti non devono mai eseguire programmi sospetti scaricati da email inviate da indirizzi non riconosciuti.
