Metel - Rollback dei saldi dei bancomat

DEFINIZIONE DEL VIRUS

Tipo di virus: APT, trojan, malware.

Cos'è Metel?

Metel è un trojan bancario (anche noto come Corkow) scoperto nel 2011, quando è stato utilizzato per attaccare gli utenti di servizi bancari online. Nel 2015, la banda Metel ha iniziato a puntare direttamente a banche e istituti finanziari.

Cosa è in grado di fare?

Dopo la fase infettiva, i criminali si spostano lateralmente con l'aiuto di strumenti legittimi e di pentesting, rubando le password delle vittime iniziali (punto di ingresso) per penetrare nei computer dell'organizzazione che hanno accesso alle transazioni finanziarie. Con questo livello di accesso, la banda è riuscita a portare a termine un astuto tranello automatizzando il rollback delle transazioni dei bancomat. In questo modo è possibile rubare denaro dagli sportelli bancomat tramite carte di debito mentre il saldo delle carte rimane invariato, permettendo più transazioni presso bancomat diversi.

Chi sono le vittime di questi attacchi?

Le vittime osservate sono esclusivamente banche e istituti finanziari.

I principali obiettivi all'interno di queste organizzazioni sono:

• Nelle banche: il database bancario online, tramite il quale i criminali possono manipolare i saldi delle carte.
• Nella aziende: un computer nel reparto contabilità con un sistema "Client-Bank" che abbia accesso alle transazioni finanziarie. I criminali possono sostituire i dettagli bancari di una transazione reale o elaborare manualmente transazioni fraudolente.
• Server di API di pagamento: è presente un software che indica la quantità di denaro da trasferire su uno specifico numero di telefono. I criminali possono manipolare l'API facendo credere che un cliente stia trasferendo 10.000 rubli (circa $ 120) su molti numeri di telefono.

Esposizione al rischio

Finora, i ricercatori di Kaspersky Lab hanno identificato attacchi solo in Russia. Tuttavia, sussistono ragionevoli motivi per sospettare che l'infezione sia molto più diffusa e le banche di tutto il mondo sono invitate a ricercare proattivamente l'infezione.

Come capire se il computer è infetto?

I prodotti Kaspersky Lab rilevano e bloccano con successo il malware utilizzato da Metel con i seguenti nomi di rilevamento:

Trojan-Dropper.Win32.Metel; Backdoor.Win32.Metel; Trojan-Banker.Win32.Metel

Inoltre, sono disponibili indicatori di compromissione sul blog Securelist.

Come proteggersi?

Per aumentare il livello di protezione, si consiglia alle organizzazioni di utilizzare System Watcher che include il modulo BSS (Behavior Stream Signatures). Questo è incluso in tutti i prodotti e le soluzioni più moderni.

Assicurasi di utilizzare soluzioni anti-malware avanzate come Kaspersky Endpoint Security for Business. Inoltre è necessario prestare attenzione alla cybersecurity awareness, per essere in grado di identificare e-mail di phishing presenti nella propria casella postale.

Ovviamente, non basta offrire solo una moltitudine di potenti livelli di sicurezza degli endpoint. Una delle tecniche più popolari per l'infezione iniziale, lo spear-phishing, rende obbligatoria la sicurezza della posta. Kaspersky Security for Mail Server esegue la scansione delle e-mail in entrata sia per gli allegati dannosi che per gli URL, riducendo significativamente le possibilità di attacco.