Tipo di virus: APT, trojan, malware.
Metel è un trojan bancario (anche noto come Corkow) scoperto nel 2011, quando è stato utilizzato per attaccare gli utenti di servizi bancari online. Nel 2015, la banda Metel ha iniziato a puntare direttamente a banche e istituti finanziari.
Dopo la fase infettiva, i criminali si spostano lateralmente con l'aiuto di strumenti legittimi e di pentesting, rubando le password delle vittime iniziali (punto di ingresso) per penetrare nei computer dell'organizzazione che hanno accesso alle transazioni finanziarie. Con questo livello di accesso, la banda è riuscita a portare a termine un astuto tranello automatizzando il rollback delle transazioni dei bancomat. In questo modo è possibile rubare denaro dagli sportelli bancomat tramite carte di debito mentre il saldo delle carte rimane invariato, permettendo più transazioni presso bancomat diversi.
Le vittime osservate sono esclusivamente banche e istituti finanziari.
I principali obiettivi all'interno di queste organizzazioni sono:
Finora, i ricercatori di Kaspersky Lab hanno identificato attacchi solo in Russia. Tuttavia, sussistono ragionevoli motivi per sospettare che l'infezione sia molto più diffusa e le banche di tutto il mondo sono invitate a ricercare proattivamente l'infezione.
I prodotti Kaspersky Lab rilevano e bloccano con successo il malware utilizzato da Metel con i seguenti nomi di rilevamento:
Trojan-Dropper.Win32.Metel; Backdoor.Win32.Metel; Trojan-Banker.Win32.Metel
Inoltre, sono disponibili indicatori di compromissione sul blog Securelist.
Per aumentare il livello di protezione, si consiglia alle organizzazioni di utilizzare System Watcher che include il modulo BSS (Behavior Stream Signatures). Questo è incluso in tutti i prodotti e le soluzioni più moderni.
Assicurasi di utilizzare soluzioni anti-malware avanzate come Kaspersky Endpoint Security for Business. Inoltre è necessario prestare attenzione alla cybersecurity awareness, per essere in grado di identificare e-mail di phishing presenti nella propria casella postale.
Ovviamente, non basta offrire solo una moltitudine di potenti livelli di sicurezza degli endpoint. Una delle tecniche più popolari per l'infezione iniziale, lo spear-phishing, rende obbligatoria la sicurezza della posta. Kaspersky Security for Mail Server esegue la scansione delle e-mail in entrata sia per gli allegati dannosi che per gli URL, riducendo significativamente le possibilità di attacco.