Il malware che cattura moduli infetta silenziosamente migliaia di computer ogni giorno, spesso senza che l'utente se ne accorga. Se non presti attenzione, questo tipo di malware può carpire i tuoi dati sensibili e concedere l'accesso al tuo computer ad altri hacker malintenzionati, che possono usarlo per inviarti spam o rubare altri tuoi informazione.
Che cos'è il malware che cattura moduli?
Conosciuti anche come form grabber, malware come questi sono progettati per acquisire i dati dei moduli Web, come nomi utente, password e altre informazioni private, da una pagina del browser.
A differenza dei keylogger, i form grabber possono acquisire i dati e le credenziali dell'utente anche se sono stati inseriti incollandoli, compilandoli automaticamente o utilizzando una tastiera virtuale. Le informazioni raccolte vengono quindi memorizzate e successivamente trasmesse a un server specifico.
Tuttavia, l'acquisizione di moduli è il modo più comune con cui vengono acquisite le credenziali del browser i keylogger sono ancora utilizzati per rubare i dati dell'amministratore. Questi form grabber vengono utilizzati principalmente per rubare informazioni quando l'utente interagisce con un sito web bancario. I dati sono ottenuti da moduli, il che significa che i dati importanti possono essere facilmente identificati ed estratti prima che vengano inviati su Internet a un server sicuro.
Storia dell'acquisizione di moduli
Sebbene sia iniziato nel 2003, l'acquisizione di moduli non è stata riconosciuta come un grave attacco di malware fino all'arrivo di Zeus nel 2007. Il malware era incorporato in varie e-mail inviate a numerose persone. Coloro che hanno ricevuto le e-mail pensavano erroneamente che provenissero da rinomate società bancarie. Nel 2011, il codice sorgente di Zeus è stato rilasciato al pubblico, consentendo la creazione di diverse versioni del trojan.
Sebbene il codice Zeus originale sia stato ritirato, lo è stato ha generato un malware che cattura forme più sgradevole che ancora oggi affligge Internet. Uno di questi è SpyEye. Utilizzando il codice del suo predecessore Zeus, SpyEye prende di mira il tuo browser web. Registra le sequenze di tasti, rubando le tue credenziali e autorizzazioni mentre sei connesso a un portale bancario.
SpyEye è quasi irrintracciabile e impercettibile, in grado di avviare transazioni, sottrarre fondi e inviarli al suo creatore. E come altri form grabber, può intrufolarsi nel tuo computer tramite collegamenti da siti Web non protetti e in e-mail di spam.
Come funziona il malware che cattura moduli?
La chiave per il successo del form grabbing è l'inserimento del malware tra il browser e lo stack di rete. Ciò gli consente di intercettare i dati prima che vengano crittografati.
Innanzitutto, nel browser viene installato un Browser Helper Object (BHO). Ciò consente al malware di cercare le chiamate alla funzione HttpSendRequest. La funzione HttpSendRequest è responsabile della creazione di una connessione a Internet e dell'invio della richiesta HTTP a un sito specificato.
Il malware potrebbe inserire i file DLL (Dynamic Link Library) nel browser ogni volta che si avvia. Il malware modifica anche le funzioni HTTP, riconfigurandole per consentire l'invio di richieste al codice trojan prima di passare allo stack.
Come proteggersi dal malware che cattura moduli
Uno dei metodi più efficaci contro i form grabber è il installazione di firme antivirus. Inoltre, limitare i diritti degli utenti per impedire il download di BHO è un'altra tattica per impedire ai trojan di inserirsi nel sistema.
Installa la protezione antivirus
L'antivirus funziona scansionando il traffico che passa attraverso Internet e nel tuo computer. Cerca minacce note e contrassegna le interazioni sospette, cercando di impedire al malware di inserirsi ed espellere i trojan il prima possibile.
Se un sistema informatico non possiede alcuna forma di protezione antivirus, è esposto agli attacchi di tutti i tipi di malware che possono rimanere nascosti per lungo tempo. Tuttavia, affinché un antivirus sia efficace contro i form grabber, deve essere costantemente aggiornato per la protezione contro le ultime forme di malware che potrebbero non essere presenti quando il programma antivirus era il primo installato.
Alcuni programmi ti costringono a controllare manualmente tutti i sistemi, rendendo facile la fuga di malware in una parte remota del tuo computer. La maggior parte delle volte, anche quando il malware Trojan viene rilevato, queste forme di software antivirus li mettono in una zona di quarantena e attendono che l'utente esegua l'accesso e lo elimini da solo.
Ma altri eseguono scansioni automatiche su tutti i sistemi, rilevando istantaneamente i malware ed eliminandoli. Questi sono i più efficaci contro i form grabber.
Evita connessioni non crittografate
Dovresti evitare di compilare moduli su siti non crittografati. I siti Web con il protocollo HTTPS sono i più sicuri e non consentono alcun form grabbing o keylogging. HTTPS utilizza una crittografia complessa per proteggere lo scambio di dati.
È la forma più sicura di HTTP e viene utilizzata anche per inviare dati tra un sito Web e un browser Web. I siti Web HTTP vengono contrassegnati dai browser Web più diffusi come Google Chrome e contrassegnati come non sicuri, con l'utente che riceve un avviso sull'insicurezza del sito. Un simbolo di lucchetto è solitamente nella barra degli URL per mostrare che un sito Web è sicuro e utilizza il protocollo HTTPS.
Inoltre, tieni presente che HTTPS è lo stesso protocollo di HTTP. L'unica differenza è che il primo è costruito su Transport Layer Security (TLS) che, a parte crittografando la connessione tra le applicazioni Web e i loro server, protegge anche le e-mail e messaggistica.
Inoltre, i siti Web che utilizzano HTTP hanno i loro dati trasmessi in testo normale, rendendoli facilmente leggibili da elementi dannosi. Anche se c'è malware nel tuo computer, una volta che si accede al sito web lo è in esecuzione sul protocollo HTTPS, il malware riceverà dati crittografati che non è in grado di leggere o decodificare.
Usa una lista nera degli URL
Per assicurarti che il sito web in cui ti trovi sia sicuro, assicurati che non sia nella lista nera. Un modo per confermarlo è con Rapporto sulla trasparenza di Google. Inserisci l'URL del sito web nella barra di ricerca della pagina. Se il sito Web viene visualizzato, è confermato che diffonde malware tramite plug-in e download. Evitare completamente questi siti Web nella lista nera ridurrà le possibilità che il malware entri nel tuo computer.
Configurare i Web Firewall
Inoltre, puoi aggiungere questi siti Web nella lista nera a un firewall, assicurandoti di non connetterti accidentalmente a loro durante la navigazione in Internet. Purtroppo, ci sono molte pagine non protette con reindirizzamenti dannosi che portano a questi siti nella lista nera. Un firewall Web bloccherà questi reindirizzamenti proteggendo i dati sensibili dai form grabber.
Puoi prevenire completamente l'acquisizione di moduli?
Il malware che cattura i moduli può essere all'ordine del giorno, ma ci sono dei passi da fare per evitare che i tuoi dati vengano rubati. Assicurati che le estensioni e i plug-in vengano scaricati solo da fonti attendibili. Puoi anche proteggere il tuo computer creando un elenco di siti Web e server dannosi e aggiungendoli a una lista nera per un firewall.
Inoltre, i programmi antivirus sono la soluzione migliore in quanto eseguono automaticamente la ricerca di malware e li eliminano all'istante. Evita completamente i siti che non utilizzano il protocollo HTTPS, poiché i trojan che catturano i moduli possono penetrare nel tuo computer da questi luoghi.