Che cosa sono i cavalli di Troia e quali tipi di trojan esistono?

Quando il ventre del cavallo si aprì durante la notte, era troppo tardi. Dopo un lungo assedio i Greci erano finalmente riusciti a conquistare la città di Troia, ponendo fine alla guerra. Migliaia di anni dopo, il mito del cavallo di Troia continua a vivere, anche se con una connotazione negativa. Se in passato il cavallo di Troia fu un brillante stratagemma e un capolavoro di ingegneria, oggi quando ci riferiamo al virus trojan, il significato è ben lontano da quello originario; infatti, alludiamo a quel dannoso parassita digitale il cui unico scopo è quello di devastare i computer delle vittime passando inosservato. Quindi, cosa fa un trojan? Legge le password, registra i tasti premuti sulla tastiera o apre la porta ad altri malware che possono anche prendere in ostaggio l'intero computer. Tali azioni possono includere:

Eliminazione di dati
Blocco di dati
Modifica di dati
Copia di dati
Compromissione delle prestazioni di computer o reti

A differenza dei virus informatici e dei worm, i trojan non sono in grado di autoreplicarsi.

Tipi di trojan

Trojan backdoor

Sono uno dei tipi di trojan più semplici, ma potenzialmente più pericolosi. Agendo come un gateway, sono infatti in grado di caricare in un sistema ogni sorta di malware o quanto meno di fare in modo che il computer sia vulnerabile agli attacchi. Una backdoor viene spesso usata per configurare le botnet. Senza che ve ne accorgiate, il vostro computer diventa parte di una rete zombie usata per gli attacchi. Le backdoor possono, inoltre, consentire l'esecuzione di codici e comandi nel vostro dispositivo oppure monitorare il vostro traffico Web.

Exploit

Gli exploit sono programmi contenenti dati o codice, che sfruttano una vulnerabilità di un'applicazione installata nel vostro computer.

Rootkit

I rootkit sono progettati per nascondere determinati oggetti o attività nel sistema. Spesso il loro obiettivo principale è impedire il rilevamento di programmi nocivi, per estendere il periodo di esecuzione dei programmi su un computer infetto.

Trojan dropper/downloader

Uno dei più noti trojan dropper è il malware Emotet, ormai innocuo, che, al contrario di un trojan backdoor, non può eseguire codice direttamente nel PC. Porta invece con sé altri malware, ad esempio il trojan bancario Trickbot e il ransomware Ryuk. I dropper sono quindi simili ai downloader con la differenza che quest'ultimi hanno bisogno di una risorsa di rete per estrarre il malware dalla rete. I dropper contengono già gli altri componenti dannosi nel pacchetto del programma. Entrambi i tipi di trojan possono essere aggiornati segretamente da remoto dai programmatori responsabili, in modo che, ad esempio, gli scanner anti-virus non riescano a rilevarli con le nuove definizioni. In questo modo possono anche essere aggiunte nuove funzioni.

Trojan bancari

I trojan bancari sono tra quelli più diffusi. Considerando la crescente popolarità del banking online e la negligenza di alcuni utenti, non stupisce che costituiscano un metodo promettente con cui gli autori di attacchi possono mettere rapidamente le mani sul denaro altrui. Il loro obiettivo è ottenere le credenziali di accesso ai conti bancari. A questo scopo, usano tecniche di phishing, come indirizzare le potenziali vittime a una pagina manipolata dove si presume che immetteranno le credenziali di accesso. Pertanto, quando effettuate operazioni bancarie online, dovreste usare metodi sicuri per la verifica, ad esempio l'app della vostra banca, e non immettere mai i dati di accesso in un'interfaccia Web.

Trojan DDoS

Gli attacchi DDoS (Distributed Denial-of-Service) continuano a infestare il Web. In questi attacchi, un server o una rete viene bombardata di richieste, in genere da una botnet. A metà giugno del 2020, ad esempio, Amazon ha sventato un attacco da record ai propri server. Per più di tre giorni, i servizi Web di Amazon sono stati bersagliati da un flusso di dati alla velocità effettiva di 2,3 terabyte al secondo. È necessaria una botnet enorme per raggiungere una tale potenza di elaborazione. Le botnet sono costituite dai cosiddetti computer zombie. Il loro funzionamento è all'apparenza normale, tuttavia sono in grado di operare anche in background per sferrare attacchi. A consentirlo è un trojan con un componente backdoor che resta silente e inosservato nel computer e, se necessario, viene attivato dal suo operatore. Se un attacco botnet o un attacco DDoS viene portato a termine, siti Web o addirittura intere reti non sono più accessibili.

Trojan anti-virus falsi

I trojan anti-virus falsi sono particolarmente insidiosi. Invece di proteggere i dispositivi, li mettono a rischio. Il loro obiettivo è quello di seminare il panico tra gli ignari utenti comunicando loro di aver individuato un virus e spingendoli ad acquistare una protezione efficace. In realtà, invece che con un utile scanner anti-virus, gli utenti si ritrovano con ancora più problemi, perché i dati del pagamento vengono inviati all'autore del trojan che potrà usarli per i propri scopi. Se dunque viene improvvisamente visualizzata nel browser una segnalazione di infezione da virus mentre visitate un sito Web, è meglio ignorarla e fare affidamento solo sul vostro scanner anti-virus di sistema.

Trojan GameThief

Questo tipo di programma ruba informazioni dall'account degli utenti che giocano online.

Trojan IM (Instant Messaging)

I programmi trojan IM rubano i dati di accesso e le password dai programmi di messaggistica istantanea come ICQ, MSN Messenger, AOL Instant Messenger, Yahoo Pager, Skype e così via. Si potrebbe affermare che questi servizi di messaggistica siano ormai poco usati. Tuttavia, neppure i nuovi servizi di messaggistica sono immuni dai trojan. Anche Facebook Messenger, WhatsApp, Telegram o Signal possono diventare obiettivi dei trojan. Di recente, a dicembre 2020, un trojan per Windows è stato attivato attraverso un canale Telegram. È bene che i programmi di messaggistica istantanea siano protetti anche dai pericolosi attacchi di phishing.

A gennaio 2018, gli esperti di sicurezza di Kaspersky hanno scoperto un trojan chiamato Skygofree. Il malware ha funzioni estremamente avanzate ed è in grado, ad esempio, di connettersi autonomamente alle reti Wi-Fi, anche se l'utente ha disattivato la funzione sul dispositivo. Il trojan Skygofree può anche monitorare il popolare servizio di messaggistica WhatsApp. Legge i messaggi e può anche rubarli.

Trojan ransom

Questo tipo di trojan può modificare i dati sul computer per danneggiarne il funzionamento e per impedire all'utente di utilizzare dati specifici. Il criminale ripristinerà le prestazioni del computer oppure sbloccherà i dati solo dopo che l'utente avrà pagato il riscatto richiesto.

Trojan SMS

Anche se possono sembrare un retaggio di un altro secolo, sono ancora attivi e costituiscono una grave minaccia. I trojan SMS, ad esempio il malware per Android Faketoken, possono funzionare in modi diversi. Faketoken, ad esempio, si mimetizza nel sistema come una normale app per SMS e invia messaggi SMS in massa a costosi numeri internazionali. Il proprietario dello smartphone deve pagarne i costi. Altri trojan SMS stabiliscono connessioni a costosi servizi SMS premium.

Trojan spy

I programmi trojan spy possono spiare tutto ciò che l'utente sta ricercando, ad esempio tenendo traccia dei dati immessi con la tastiera, catturando screenshot del monitor o procurandosi un elenco delle applicazioni in esecuzione.

Trojan mailfinder

Questi programmi possono raccogliere gli indirizzi e-mail dai computer infetti.

Esistono anche altri tipi di trojan:

Trojan ArcBomb
Trojan clicker
Trojan notifier
Trojan proxy
Trojan PSW

I trojan sono una minaccia per tutti i dispositivi finali

I trojan ora prendono di mira non solo i computer Windows, ma anche i computer Mac e i dispositivi mobili. Per questo non dovreste mai considerarvi del tutto al sicuro o navigare in Internet senza una protezione anti-malware aggiornata come Kaspersky Internet Security. Il malware spesso si infiltra nei computer tramite allegati infetti, messaggi di testo manipolati o siti Web fittizi. Esistono, tuttavia, anche trojan dei servizi segreti che possono essere installati nei sistemi di destinazione da remoto a insaputa dell'utente e senza alcuna interazione da parte sua. Il software Pegasus del produttore israeliano NSO, ad esempio, viene distribuito tramite la rete del telefono cellulare. Pegasus non è altro che un trojan per intercettazioni. Come funziona? Il programma include un potente arsenale di opzioni per le intercettazioni. Il dispositivo può essere letto per intero, le telefonate possono essere registrate oppure il telefono può essere usato come microspia. Anche in Germania le forze dell'ordine usano un trojan di Stato per monitorare e tracciare i criminali. Tuttavia il malware, noto nel linguaggio burocratico come software TKÜ, non può essere usato per la sorveglianza senza un ordine del tribunale.

I cybercriminali vogliono causare il maggior numero di danni con i trojan

Se il software di sorveglianza viene usato dallo Stato per tracciare e punire i crimini, l'obiettivo dei cybercriminali è esattamente l'opposto, ovvero arricchirsi a spese delle vittime. A questo scopo, i criminali usano programmi diversi, a volte addirittura intere catene di malware. Come ci riescono? Un esempio può essere una backdoor installata nel computer dell'utente a sua insaputa tramite un allegato e-mail infetto. Questo gateway assicura che un altro malware venga caricato nel PC in segreto e in silenzio, senza essere notato. Un altro esempio è un keylogger che registra i tasti premuti, ad esempio password o contenuti riservati, un trojan bancario che ruba i dati finanziari o un ransomware che cripta l'intero computer e rilascia i dati violati solo dopo il pagamento di una significativa quantità di bitcoin. Proprio per questo è famoso il malware Emotet, che torna periodicamente in circolazione ed è definito il "più distruttivo dei malware". In senso stretto, il "re dei trojan" è una rete di bot che usa e-mail di spam e documenti di Word o di Excel infetti per trovare le sue vittime. Il BSI ha creato una pagina aggiuntiva con informazioni su Emotet. Riepilogando:

Emotet è considerato uno dei trojan più distruttivi e pericolosi.
Non si sa ancora chi c'è dietro Emotet.
Il danno causato da Emotet è nell'ordine dei milioni.
Le aziende sono gli obiettivi principali. Anche gli utenti privati possono essere colpiti se Emotet legge gli indirizzi e-mail archiviati e li aggiunge al suo enorme database.
Per contenere il pericolo, oltre ad avere il software aggiornato, è consigliabile disattivare le macro in Word ed Excel e non aprire allegati a e-mail da mittenti sconosciuti.

Accesso non consentito al dispositivo finale

I trojan non sono solo negli allegati e-mail. Possono anche "infilarsi" in programmi apparentemente gratuiti. Ancora una volta è quindi importante non scaricare software da fonti dubbie come pacchetti di codec o programmi craccati, magari per risparmiare qualche euro. Il danno che i trojan possono causare spesso è superiore al valore del software acquistato tramite un normale canale.

Per inciso, i trojan non devono essere confusi con i virus. I virus informatici si riproducono autonomamente, mentre un trojan è solo uno strumento per aprire delle porte, ma con conseguenze potenzialmente devastanti.

Ecco quindi una checklist da seguire per proteggere voi stessi e i vostri dispositivi dai trojan:

Riflettete bene prima di aprire gli allegati alle e-mail. Controllate il mittente e il testo e chiedetevi se è davvero necessario aprire l'allegato.
Tenete sempre aggiornati i sistemi dei dispositivi fissi e mobili. Installate regolarmente gli aggiornamenti della sicurezza, sia per il sistema operativo che per i programmi installati.
Non consentite l'esecuzione di macro in Word ed Excel.
Non fate clic sui collegamenti prima di aver riflettuto bene. Esiste anche la possibilità di un'infezione di passaggio. È causata dall'installazione non rilevata di malware mentre si visitano siti Web fittizi. In questo modo, il malware viene scaricato nel sistema domestico in background.
Evitate di scaricare programmi da origini non sicure. Evitate di installare nei dispositivi mobili app non disponibili nel Google Play Store o nell'Apple Store.
Visualizzate sempre tutte le estensioni di file. In questo modo saprete se una presunta immagine, in genere con estensione jpg, è accompagnata da un file eseguibile con estensione exe.
Come ulteriore misura di sicurezza, usate l'autenticazione a due fattori tramite un'app per dispositivi mobili e password complesse o, ancora meglio, uno strumento per la gestione delle password.
Analizzate sempre il sistema con uno scanner anti-virus aggiornato con le definizioni più recenti. La suite Kaspersky Internet Security protegge da programmi e contenuti dannosi.
Eseguite regolarmente il backup dei dati. Non solo nei servizi cloud, ma anche in un supporto dati fisico, ad esempio una scheda SDD per dispositivi mobili o un disco rigido HDD con connessione USB.

Prestate attenzione durante la navigazione nel Web

I trojan citati in questo articolo sono i tipi più noti. Sono accomunati dalla capacità di introdursi nel dispositivo finale con l'aiuto dell'utente. Se tuttavia navigate nel Web con attenzione, non aprite allegati e-mail senza riflettere bene o ottenete i programmi solo da origini sicure, dovreste riuscire a evitare queste minacce. Un sistema operativo aggiornato e uno scanner anti-virus sempre attivo vi proteggeranno ancora meglio dai trojan.