Un Trojan è un tipo di malware di solito apparentemente mascherato da software legittimo. I trojan possono essere utilizzati da ladri informatici e hacker che cercano di accedere ai sistemi degli utenti. Gli utenti sono in genere indotti da qualche forma di ingegneria sociale a caricare ed eseguire Trojan sui loro sistemi. Una volta attivati, i trojan possono consentire ai criminali informatici di spiare, rubare i dati sensibili e ottenere l'accesso backdoor al sistema sotto attacco.
Il termine “Trojan” deriva dall'antica storia greca dell'ingannevole cavallo di Troia che portò alla caduta della città di Troia. Quando si tratta di computer/smartphone, un virus Trojan funziona in modo simile: si nasconde all'interno di programmi apparentemente innocui o cerca di indurre l’utente a scaricarlo con l'inganno.
Parlare di "virus trojan" è fuorviante perché un TROJAN, diversamente dai virus, non si autoreplica. Un trojan entra e si diffonde fingendo di essere un software utile ma al contrario danneggia il sistema. È la semplice consegna del malware che evidentemente gli hacker utilizzano per varie tipologie di minacce.
Il malware Trojan deve essere eseguito dalla sua vittima per svolgere il suo lavoro. Il malware trojan può infettare i dispositivi in diversi modi, ad esempio:
attacco di phishing o di ingegneria sociale. L’utente apre un allegato di posta elettronica infetto oppure apre un collegamento a un sito Web dannoso;
pop-up ingannevoli che avvisano i visitatori di aver rilevato "Trojan Spyware. L’utente vede un pop-up il quale avvisa che il suo computer/smartphone è infetto e lo invita ad eseguire un programma per ripulirlo. Questo è noto come "scareware". In realtà, gli utenti stanno scaricando un Trojan sul proprio dispositivo;
download drive-by. Installazione di un'applicazione dannosa indesiderata o definitiva sul computer/smartphone ad insaputa e/o senza consenso dell’utente;
installazione di un trojan tramite attacchi sfruttando una vulnerabilità del software o tramite un accesso non autorizzato;
creazione di una falsa rete di hotspot Wi-Fi simile a quella a cui un utente sta tentando di connettersi. Quando l'utente si connette a questa rete, può essere reindirizzato a siti Web fittizi contenenti exploit del browser che reindirizzano qualsiasi file che tentano di scaricare.
Il termine "Trojan dropper" viene talvolta utilizzato in relazione ai Trojan. Dropper e downloader sono programmi di supporto per vari tipi di malware, inclusi i trojan. Di solito, sono implementati come script o piccole applicazioni. Non portano avanti alcuna attività dannosa, ma aprono la strada agli attacchi scaricando, decomprimendo e installando i moduli dannosi principali.
Backdoor Trojan: questo tipo di Trojan consente agli hacker di accedere e controllare in remoto un computer/smartphone, spesso allo scopo di caricare, scaricare o eseguire file a piacimento.
Exploit Trojan: questi trojan iniettano in una macchina un codice deliberatamente progettato per sfruttare una debolezza inerente a un software specifico.
Rootkit Trojan: questi Trojan hanno lo scopo di impedire la scoperta di malware che già infettano un sistema in modo che possa causare il massimo danno.
Banker Trojan: questo tipo di Trojan prende di mira in modo specifico le informazioni personali utilizzate per operazioni bancarie e altre transazioni online.
Distributed Denial of Service (DDoS) Trojan: sono programmati per eseguire attacchi DDoS, in cui una rete o una macchina viene disabilitata da una marea di richieste provenienti da molte fonti diverse.
Downloader Trojan: si tratta di file scritti per scaricare malware aggiuntivo, spesso inclusi più Trojan, su un dispositivo.
Come già detto i trojan vengono utilizzati come dispositivo di consegna per diversi tipi di malware. Quando si ha il dubbio che il dispositivo possa essere stato violato da un trojan, ci sono alcuni segnali da non sottovalutare. Questi possono includere:
Se il dispositivo mostra questi segnali, è possibile che un virus Trojan sia riuscito ad infiltrarsi sul computer/smartphone. Potrebbero essere presenti sui dispositivi programmi o applicazioni mai installate dall’utente. Come primo accorgimento si consiglia di immettere eventuali nomi di file o programmi non riconosciuti in un motore di ricerca per determinare se sono riconosciuti come Trojan. Infine, se non è stato già fatto, scansionare il dispositivo con un software antivirus per vedere se riesce ad individuare eventuali file dannosi.
Di seguito alcuni esempi di malware trojan più noti:
Zeus. Conosciuto anche come Zbot, Zeus è un pacchetto di malware Trojan di successo con molte varianti utilizzate per eseguire diversi tipi di attacco. È sicuramente molto conosciuto per aver attaccato il Dipartimento dei trasporti degli Stati Uniti.
Wirenet. È un trojan che ruba password, noto per essere stato tra i primi a prendere di mira gli utenti Linux e OSX, molti dei quali stavano migrando dai sistemi operativi Windows in base a difetti di sicurezza percepiti.
Mobile banking Trojans. Conosciuti per attaccare le app di mobile banking allo scopo di rubare le credenziali di accesso o sostituire le app legittime con quelle dannose.
Pegasus. È il trojan, sviluppato, commercializzato e concesso in licenza ai governi di tutto il mondo dalla società israeliana NSO Group. Ha la capacità di infettare miliardi di telefoni con sistemi operativi iOS o Android.
Ecco alcuni accorgimenti per evitare attacchi trojan:
Non scaricare o installare mai software da una fonte sconosciuta o non sicura.
Non aprire mai un allegato o eseguire un programma inviato in una e-mail sconosciuta.
Mantenere aggiornato il software sui dispositivi con le ultime patch.
Assicurarsi che un antivirus Trojan sia installato e in esecuzione sul dispositivo.
Dogma S.p.A. utilizza protocolli certificati, T.I.S.P. System® (TREATHS IDENTIFICATION and SECURITY PLAN), ed i suoi tecnici hanno le competenze per realizzare questo tipo di analisi e per ottenere elementi di prova attendibili da utilizzare in sede giudiziaria. Inoltre lo staff Dogma ha l’esperienza e la professionalità per effettuare una giusta consulenza sul risk assessment al fine di evitare ingenti danni reputazionali e/o finanziari a seguito dell’installazione di software e programmi spia.
Autore: Claudio Lisi
Senior Security Manager UNI 10459:2017 III° livello
Area Manager Dogma S.p.A.
Un sito non basta a risolvere ogni dubbio e soprattutto a far fronte a tutte le necessità. Utilizza il form qui a lato o la CHAT per contattarci, prenotare un appuntamento e chiederci informazioni.