Cavallo di Troia

Perché È Importante

Il Cavallo di Troia—che prende il nome dal leggendario inganno greco—rappresenta uno dei vettori di attacco più efficaci e duraturi nella cybersecurity. A differenza dei virus o dei worm che si diffondono automaticamente, i trojan si basano sulla psicologia umana. Sfruttano la fiducia, la curiosità e il desiderio di software gratuito per indurre gli utenti a installare volontariamente codice malevolo.

I trojan rappresentano una parte significativa di tutte le infezioni da malware a livello mondiale. Dai trojan bancari che rubano credenziali finanziarie ai Remote Access Trojan (RAT) che danno agli aggressori il controllo completo dei sistemi, queste minacce prendono di mira sia individui che organizzazioni. Ogni giorno, migliaia di utenti installano inconsapevolmente trojan mascherati da software legittimo, giochi o utility.

Per i professionisti della cybersecurity, comprendere i trojan è essenziale. Gli analisti SOC devono riconoscere gli indicatori di trojan durante le indagini sugli incidenti. I penetration tester utilizzano tecniche dei trojan (eticamente) per testare le difese organizzative. Gli ingegneri della sicurezza progettano sistemi che prevengono l'esecuzione dei trojan. Questa conoscenza protegge direttamente le organizzazioni da una delle categorie di minacce più diffuse.

L'aspetto di ingegneria sociale dei trojan rende la consapevolezza degli utenti altrettanto importante delle difese tecniche. Nessun firewall può impedire a un utente di installare deliberatamente software malevolo che crede legittimo.

Come Funzionano i Cavalli di Troia

I trojan seguono un modello di attacco basato sull'inganno che sfrutta la fiducia dell'utente:

1. Mascheramento: Il trojan viene confezionato per apparire come software legittimo—un gioco, utility, programma craccato o documento
2. Consegna: Raggiunge le vittime tramite email di phishing, siti web malevoli, siti di download falsi o software compromesso
3. Installazione: L'utente esegue il file, credendo che sia sicuro, concedendo accesso al trojan
4. Esecuzione del Payload: Una volta installato, il trojan esegue il suo scopo malevolo
5. Persistenza: Stabilisce meccanismi per sopravvivere ai riavvii del sistema
6. Occultamento: Nasconde la sua presenza agli utenti e al software di sicurezza

Tipi di Cavalli di Troia

Remote Access Trojan (RAT)

I RAT danno agli aggressori il controllo remoto completo sui sistemi infetti, trasformando essenzialmente il computer della vittima in uno zombie che possono controllare.

Capacità dei Remote Access Trojan:

Controllo del Sistema:
- Eseguire comandi da remoto
- Navigare nel file system
- Modificare/eliminare file
- Installare malware aggiuntivo

Sorveglianza:
- Catturare screenshot
- Registrare i tasti premuti
- Attivare webcam/microfono
- Monitorare l'attività dell'utente

Furto di Dati:
- Rubare password e credenziali
- Esfiltrare documenti
- Catturare contenuto degli appunti
- Raccogliere dati del browser

RAT Noti: njRAT, DarkComet, Remcos, Quasar

Trojan Bancari

Specificamente progettati per rubare credenziali finanziarie e intercettare transazioni bancarie.

Tecniche:

• Form grabbing: Cattura i dati inseriti nei moduli del browser
• Web injection: Modifica i siti bancari in tempo reale per catturare credenziali aggiuntive
• Session hijacking: Prende il controllo delle sessioni bancarie attive
• Bypass dell'autenticazione a due fattori: Intercetta codici SMS o token di autenticazione

Esempi noti: Zeus, Emotet, TrickBot, Dridex

Trojan Downloader

Vettore di infezione iniziale che scarica e installa malware aggiuntivo una volta all'interno della rete.

Trojan Backdoor

Creano punti di accesso nascosti che aggirano l'autenticazione normale, permettendo agli aggressori di tornare a piacimento.

Caratteristiche:

• Ascolta su porte specifiche per le connessioni dell'aggressore
• Può utilizzare comunicazioni crittografate per evitare il rilevamento
• Spesso sopravvive alla rimozione di altri componenti malware
• Può persistere attraverso gli aggiornamenti del sistema

Trojan Rootkit

Combinano la consegna del trojan con capacità rootkit per nascondersi in profondità nel sistema operativo.

Tecniche di occultamento:

• Hooking a livello kernel
• Manipolazione dei driver
• Funzionalità bootkit (sopravvive alle reinstallazioni del SO)
• Nascondere processi e file dagli strumenti di sicurezza

Falsi Antivirus (Scareware)

Si spacciano per software di sicurezza, mostrando falsi avvisi di virus per indurre gli utenti a pagare per la "rimozione" o installare più malware.

Segnali di Allarme per Falsi Antivirus:

- Avvisi di sicurezza inaspettati da software sconosciuto
- Affermazioni di centinaia di "infezioni" trovate
- Richiesta di pagamento immediato per "pulire" il sistema
- Hijacking del browser verso siti di sicurezza falsi
- Non può essere chiuso o disinstallato normalmente
- L'antivirus legittimo è bloccato o disabilitato

Ladri di Informazioni

Si concentrano sulla raccolta di specifici tipi di dati preziosi per la vendita o lo sfruttamento.

Dati target:

• Password salvate nel browser
• Credenziali di portafogli di criptovalute
• Account di piattaforme di gaming
• Credenziali email e social media
• Credenziali VPN aziendali

Metodi di Consegna Comuni

Vettori di Ingegneria Sociale

Metodi di Consegna dei Trojan:

Basati su Email:
- Allegati malevoli (documenti, eseguibili)
- Link a siti di download drive-by
- False notifiche di fatture o spedizioni

Basati sul Web:
- Siti web legittimi compromessi
- Falsi portali di download
- Malvertising (pubblicità malevola)
- Attacchi watering hole

Basati su Software:
- Software pirata/craccato
- Falsi aggiornamenti software
- In bundle con utility gratuite
- App store compromessi

Fisici:
- Chiavette USB infette
- Codici QR malevoli
- Hardware compromesso

Kit di Exploit

Strumenti automatizzati che scansionano i visitatori alla ricerca di vulnerabilità e consegnano trojan tramite exploit del browser.

Metodi di Rilevamento

Indicatori Comportamentali

Segnali che possono indicare un'infezione da trojan:

• Problemi di prestazioni: Rallentamenti inspiegabili, utilizzo elevato di CPU/memoria
• Anomalie di rete: Connessioni in uscita inaspettate, utilizzo della larghezza di banda
• Problemi con il software di sicurezza: Antivirus disabilitato o bloccato
• Comportamento strano del sistema: Programmi che si aprono/chiudono, cursore che si muove
• Accesso non autorizzato: Tentativi di login sconosciuti o blocchi dell'account

Rilevamento Tecnico

# Verificare connessioni di rete sospette
netstat -an | grep ESTABLISHED
lsof -i -P | grep LISTEN

# Esaminare i processi in esecuzione
ps aux --sort=-%cpu | head -20

# Controllare i programmi di avvio (macOS)
launchctl list

# Cercare eseguibili modificati di recente
find /usr/local/bin -mtime -7 -type f 2>/dev/null

# Esaminare le attività pianificate
crontab -l
ls -la /etc/cron.*

# Hash dei file sospetti per ricerca su VirusTotal
sha256sum file_sospetto

Rilevamento con Strumenti di Sicurezza

• Endpoint Detection and Response (EDR): L'analisi comportamentale rileva i trojan che evadono le firme
• SIEM: Correla gli indicatori di trojan attraverso la rete
• Monitoraggio di rete: Identifica le comunicazioni di comando e controllo
• Sandboxing: Analizza i file sospetti in sicurezza prima dell'esecuzione

Strategie di Prevenzione

Controlli Tecnici

• Filtraggio email: Bloccare allegati sospetti al gateway
• Filtraggio web: Prevenire l'accesso a siti malevoli noti
• Whitelisting delle applicazioni: Consentire l'esecuzione solo di software approvato
• Regole del firewall: Bloccare connessioni in uscita non autorizzate
• Aggiornamenti regolari: Applicare patch alle vulnerabilità che i trojan sfruttano

Consapevolezza degli Utenti

• Verificare le fonti del software: Scaricare solo da fornitori ufficiali
• Riconoscere il phishing: Non cliccare su link o allegati sospetti
• Evitare software pirata: Gratuito spesso significa compromesso
• Controllare le estensioni dei file: Diffidare degli eseguibili mascherati da documenti
• Usare l'autenticazione a due fattori: Limita i danni se le credenziali vengono rubate

Misure Organizzative

• Formazione sulla sicurezza: Educazione regolare sulle minacce dei trojan
• Privilegio minimo: Limitare cosa gli utenti possono installare
• Segmentazione della rete: Contenere le potenziali infezioni
• Piani di risposta agli incidenti: Prepararsi alla scoperta di trojan
• Strategie di backup: Mantenere backup offline per il ripristino

Rimozione e Ripristino

Passi Immediati

1. Isolare il sistema: Disconnettersi dalla rete per prevenire l'esfiltrazione dei dati
2. Avviare in modalità provvisoria: Limitare cosa viene eseguito durante l'indagine
3. Preservare le prove: Documentare prima di apportare modifiche
4. Eseguire più scanner: Strumenti diversi rilevano minacce diverse
5. Controllare i meccanismi di persistenza: Elementi di avvio, attività pianificate, servizi

Remediation Completa

Lista di Controllo per la Rimozione dei Trojan:

Contenimento:
[ ] Disconnettersi dalla rete
[ ] Documentare i processi in esecuzione
[ ] Catturare le connessioni di rete
[ ] Fare backup dei dati critici (verificare che siano puliti)

Analisi:
[ ] Eseguire scansione antivirus completa
[ ] Usare strumenti anti-malware (Malwarebytes, ecc.)
[ ] Controllare le estensioni del browser
[ ] Esaminare i programmi di avvio
[ ] Esaminare le attività pianificate
[ ] Controllare gli account utente per aggiunte

Post-Rimozione:
[ ] Cambiare TUTTE le password (da un dispositivo pulito)
[ ] Abilitare l'autenticazione a due fattori
[ ] Monitorare i conti finanziari
[ ] Aggiornare tutto il software
[ ] Verificare quali dati potrebbero essere stati compromessi
[ ] Considerare reinstallazione completa per infezioni gravi

Connessione Professionale

Comprendere i trojan è fondamentale per molteplici ruoli nella cybersecurity. Gli analisti di malware effettuano reverse engineering sui trojan per comprenderne le capacità. Gli analisti SOC rilevano e rispondono alle infezioni da trojan quotidianamente. Gli analisti di threat intelligence tracciano le campagne di trojan e le attribuiscono agli attori delle minacce. I penetration tester usano tecniche simili (eticamente) per testare le difese.