Una frode finanziaria da mezzo milione di euro. È quanto accaduto a una grande banca europea, di cui non è stato reso noto il nome, a seguito di un attacco mirato, denominato Luuuk, che ha colpito in una settimana più di 190 correntisti italiani e turchi. A identificarlo sono stati gli esperti del Global Research and Analysis Team di Kaspersky Lab, che classificano questa nuova infezione come una variante di Zeus.
Dai 1.700 ai 39mila euro sottratti a ogni correntista
Gli esperti hanno identificato le prime avvisaglie di questa frode il 20 gennaio 2014, rilevando in rete un server di comando e controllo che indicava la presenza di un Trojan utilizzato per rubare denaro dai conti correnti bancari. E, secondo i registri, le somme di denaro frodate da ciascun conto bancario sono oscillate dai 1.700 euro ai 39mila.
500mila euro totali rubati in una settimana
La truffa ha avuto inizio non più tardi del 13 gennaio 2014 ed è andata avanti per una settimana prima che fosse individuato il server di comando e controllo, permettendo ai criminali informatici di rubare più di 500mila euro. Due giorni dopo la scoperta da parte del GReAT del server C&C, i criminali hanno rimosso tutte le informazioni che avrebbero consentito di rintracciarli. Gli esperti, però, sono convinti che questo sia dovuto ai cambiamenti dell’infrastruttura tecnica utilizzata piuttosto che alla fine della campagna Luuuk.
Luuuk: "figlio" di Zeus?
Nel caso Luuuk, i dati finanziari sono stati intercettati, secondo gli esperti, in modo automatico e le transazioni fraudolente sono state compiute nel momento in cui la vittima effettuava la registrazione sui conti bancari online. «Sul server C&C non esisteva alcuna informazione sul tipo di malware utilizzato in questa campagna di malware – afferma Vicente Diaz, Principal Security Researcher di Kaspersky Lab. Tuttavia, molte varianti di Zeus che conosciamo (Citadel, SpyEye, IceIX, ecc) hanno questo tipo di capacità. Crediamo, infatti, che il malware utilizzato in questa campagna possa essere una variante di Zeus che utilizza sofisticati processi web di infezione».
Anomalie nel trasferimento di denaro
Il denaro rubato è stato trasferito sui conti dei truffatori in modo insolito: gli esperti, infatti, hanno notato anomalie nel drops (o money-mules), ovvero quella modalità con la quale i partecipanti alla truffa ricevono parte del denaro rubato, solitamente attraverso conti bancari appositamente creati e in contanti tramite bancomat. In questo caso, sono stati individuati diversi gruppi drop cui sono state assegnate differenti somme di denaro: un gruppo ha avuto la responsabilità del trasferimento delle somme di importo tra i 40 e i 50mila euro; un secondo gruppo si è occupato di quelle tra i 15 e i 20mila euro e un terzo gruppo, infine, ha trasferito somme al di sotto dei 2mila euro.
«Le differenze nella quantità di denaro affidato a un gruppo piuttosto che ad un altro sono indicative dei livelli di fiducia goduti da ciascun drop – commenta Diaz. Capita che i membri di questi gruppi spesso ingannino i loro partner del crimine, scappando con i contanti che avrebbero dovuto trasferire. Creando diversi gruppi con differenti livelli di fiducia, coloro che gestiscono Luuuk, tentano di prevenire le perdite, quindi, più soldi vengono affidati e più è alto il livello di fiducia nei confronti del gruppo».
L’indagine non è conclusa
Ad ogni modo l’indagine sull’attività Luuuk da parte degli esperti di Kaspersky Lab è ancora in corso e il livello di complessità della operazione MITB fa pensare che i criminali informatici proseguiranno a mietere nuove vittime.
Image courtesy of hyena reality / FreeDigitalPhotos.net
