SicurezzaVirus

Odinaff, il malware mirato contro le banche della rete SWIFT

Silicon è il sito di tecnologia dedicato alle strategie delle aziende IT che cavalcano i nuovi trend di mercato, dal cloud computing alla virtualizzazione, dal mobile al byod. Analisi, approfondimenti, prove di app e prodotti, oltre alle notizie quotidiane, fanno di Silicon l’appuntamento giornaliero per i manager che vogliono capire come la tecnologia possa aiutarli nel fare business. Su queste tematiche Silicon realizza interviste agli attori del mercato e reportage dai principali eventi, sia in Italia sia all’estero.

Symantec dà i dettagli sul funzionamento di Odinaff, un malware che cerca di colpire il settore finanziario e in particolare le banche che operano sulla rete SWIFT

Symantec ha descritto in dettaglio la natura e il comportamento di Odinaff, un malware che fa parte di una campagna di attacco mirata contro le aziende del settore finanziario, in particolare le banche e le realtà che si occupano di investimenti, titoli e paghe. Si tratta di una campagna molto ben organizzata che mira non a una diffusione indiscriminata del malware ma a prendere il controllo di specifici computer, anche grazie all’utilizzo di botnet e varie forme di attacco.

Tra gli obiettivi dell’attacco di Odinaff ci sono in particolare le istituzioni finanziarie collegate alla rete SWIFT. Versioni specifiche del malware sono state sviluppate per monitorare i dati che l’utente di un PC infetto salva in determinate cartelle associate alla gestione dei messaggi SWIFT: quando il malware identifica i record associati a determinate transazioni, provvede a eliminarli. L’obiettivo è impedire ai sistemi colpiti di esaminare i dati collegati a transazioni fraudolente, che il malware conosce dato che va alla ricerca di particolari codici IBAN usati in determinate date.

Un documento-esca che scarica Odinaff usando le macro
Un documento-esca che scarica Odinaff usando le macro

Questo tipo di attacco mostra una elevata capacità tecnica. La struttura delle cartelle di un sistema SWIFT cambia da banca a banca e quindi il gruppo legato a Odinaff ha sviluppato una versione del malware specifica per ciascuna istituzione colpita. Nella dotazione del malware c’è anche un “wiper” che cancella il Master Boot Record del computer colpito, probabilmente per bloccare il disco e coprire le tracce del malware.

Odinaff usa diversi vettori di attacco, principalmente l’invio di documenti con macro che scaricano il blocco del malware e la penetrazione attraverso botnet che hanno già infettato molti computer con altro malware. Secondo Symantec, alcuni elementi nel funzionamento di Odinaff mostrano un collegamento con gli attacchi portati avanti dal gruppo Carbanak.