Trojan (informatica)

tipo di malware

Un trojan o trojan horse (in italiano "cavallo di Troia"), nell'ambito della sicurezza informatica, indica un tipo di malware. Il termine deriva dall'antica storia greca dell'ingannevole Cavallo di Troia che portò alla caduta della città di Troia.[1] Il trojan, come il cavallo dell'antica storia greca, si nasconde all'interno di un altro programma apparentemente utile e innocuo: l'utente, eseguendo o installando quest'ultimo programma, attiva inconsapevolmente anche il codice del trojan nascosto[2][3].

Storia ed etimologia

modifica

L'etimologia della parola deriva dal cavallo di Troia[4] ed indica il modo in cui il programma penetra nel sistema: presentandosi come un software utile e apparentemente sicuro, l'utente lo esegue di sua spontanea volontà, avviando al contempo anche il malware.

Nel 1985 uno dei primi trojan, denominato Gotcha, fu in grado di creare molti danni. Il programma si presentava come un visualizzatore grafico di file, mentre il suo vero intento era di eliminare i dati presenti sul disco[5]

Il Corriere della Sera del 22 maggio 1987 documentò a pagina 15 con un articolo di Mark McCain del New York Times la progressiva diffusione negli Stati Uniti di codice maligno di tipo trojan nelle BBS (Bullettin Board System).[6] In era pre-web il contagio si diffondeva attraverso il caricamento e lo scaricamento di programmi infetti dalle BBS alle quali ci si collegava tramite modem. Il codice maligno celato nei programmi prelevati provocava in genere la cancellazione dei dati locali dai dischi dell'utente, talvolta con una formattazione del disco a basso livello. L'azione di diffusione dei trojan è attribuita a individui denominati "crackers". È una delle prime volte, se non la prima, che tali argomenti sono documentati sulla stampa generalista italiana.

Famoso nel 2011 il caso del "Trojan di stato" della Germania, utilizzato a fini di spionaggio fin dall'anno 2009 in seguito a una specifica ordinanza del Tribunale che ne permetta l'uso nei confronti del soggetto finale.[7][8]

Descrizione

modifica

La definizione

modifica

L'attribuzione del termine "cavallo di Troia" ad un programma (o file eseguibile) è dovuta al fatto che esso nasconde il suo vero fine. È proprio il celare le sue reali "intenzioni" che lo rende un trojan. In questo modo l'utente inconsapevolmente è indotto ad eseguire il programma.

In questo modo, come i troiani fecero entrare in città gli achei celati nel mitico cavallo di legno progettato da Ulisse, così la vittima è indotta a far entrare il programma nel computer.

Spesso il trojan viene installato dallo stesso attaccante, quando prende il controllo del sistema, acquisendone i privilegi amministrativi. In questo caso il trojan serve a "mantenere lo stato di hacking", cioè a mantenere il controllo remoto del computer, senza che il legittimo proprietario si accorga che alcuni programmi nascondono altre funzioni, per esempio di intercettazione di password o altri dati sensibili.[3]

Utilizzo

modifica

Oggi col termine "trojan" ci si riferisce ai malware ad accesso remoto (detti anche RAT dall'inglese Remote Administration Tool), composti generalmente da 2 file: il file server, che viene installato nella macchina della vittima, ed un file client, usato dall'attaccante per inviare istruzioni che il server esegue.

Un trojan può contenere qualsiasi tipo di istruzione maligna. Spesso i trojan sono usati come veicolo alternativo ai worm e ai virus per installare delle backdoor o dei keylogger sui sistemi bersaglio.

I programmi di nuova generazione hanno molteplici funzionalità, quali connessioni tramite bot IRC che permettono di formare una Botnet. Possiedono inoltre migliori funzioni e opzioni per nascondersi nel computer ospite, utilizzando tecniche di Rootkit.

I trojan sono sempre più diffusi e non tutti sono riconoscibili prontamente dagli antivirus. Per aumentare la loro efficacia possono nascondersi in modo tale che nemmeno l'antivirus sia in grado di eliminarli, permettendo così di danneggiare il computer. Se questo accade, il trojan può essere individuato e rimosso solo tramite la reinstallazione totale del sistema operativo ad opera di un informatico esperto.

Metodo di diffusione

modifica

I trojan non si diffondono autonomamente come i virus o i worm e non sono in grado di replicare se stessi. Quindi richiedono un'azione diretta dell'aggressore per far giungere il software maligno alla vittima.

A volte però agiscono insieme: un worm viene iniettato in rete con l'intento di installare dei trojan sui sistemi. Spesso è la vittima stessa che involontariamente, non prestando attenzione ai siti che sta visitando, ricerca e scarica un trojan sul proprio computer. Una tecnica che i cracker amano usare è quella di inserire queste "trappole", ad esempio, nei videogiochi piratati, che generalmente sono molto richiesti. In generale sono riconosciuti da un antivirus aggiornato, come un normale malware. Se il trojan in questione non è ancora stato scoperto dalle software house degli antivirus, comunque potrebbe essere rilevato con una scansione esaustiva e segnalato come "probabile malware".

Altre volte gli stessi trojan possono essere usati per diffondere virus all'interno di una rete difficile da attaccare per gli hacker. Oppure possono essere usati per aprire porte di comunicazione in sistemi o server che normalmente dovrebbero essere chiuse.

Tipi di trojan

modifica

Di seguito vengono descritti brevemente i principali trojan creati e il loro funzionamento[2][9]

  • Remote Access Trojans (RAT) o Backdoor: questi tipi di trojan sono i più diffusi e che forniscono la maggior varietà di funzioni ma anche i più difficili da implementare. Possono essere usati per aprire porte, per far entrare virus o worm, per consentire attacchi DDoS oppure per la creazione di una botnet, una rete di pc zombie usabili per effettuare attacchi o per essere venduti sul mercato nero.
  • Trojan-DDoS: questo trojan solitamente viene installato su più macchine per creare una botnet. Dopo aver fatto ciò viene usato per eseguire un attacco di tipo DoS (Denial of Service), che consiste nell'inviare più richieste ad un determinato indirizzo in modo da creare un disservizio o bloccare il server.
  • Trojan-Proxy: trojan usato per trasformare il pc infetto in un proxy server, consentendo ad altri pc di eseguire attacchi o operazioni per altri attacchi in modo anonimo.
  • Trojan-FTP: trojan creato per aprire le porte FTP sul pc infetto permettendo quindi l'accesso al pc. L'attaccante può accedere in questo modo alla rete condivisa e inviare altre minacce.
  • Destructive Trojans: creati per distruggere o cancellare tutti i dati, provocando il collasso del sistema operativo.
  • Security Software Disabler Trojans: sono trojan progettati per fermare programmi come antivirus, firewall oppure IPS. Usato solitamente in combinazione con trojan che cancellano i dati.
  • Infostealer (Data Sending/Stealing Trojan): questo trojan è mirato a rubare informazioni e dati dal pc infetto come dati di login, informazioni delle carte di credito ecc. Le informazioni possono poi a loro volta essere usate o vendute sul mercato nero. Le informazioni rubate e raccolte possono essere poi inviate subito o periodicamente.
  • Keylogger trojans: un tipo di trojan che salva tutti i tasti premuti dall'utente e li invia all'attaccante. L'obiettivo è quello di ottenere più dati possibili.
  • Trojan-PSW (Password Stealer): progettato specificatamente per rubare password sul pc infetto. Solitamente viene usato in combinazione ad un componente di keylogging.
  • Trojan Banker: progettato specificatamente per rubare i dati bancari e per eseguire futuri accessi ai dati bancari.
  • Trojan IM: trojan progettato specificatamente per rubare dati o account da sistemi di messaggistica istantanea.
  • Trojan-Game Thief: usato per rubare informazioni di account di gioco.
  • Trojan Mailfinder: trojan creato e usato per rubare tutte le mail sul computer infetto e per inviarle all'attaccante il quale può usare l'elenco di mail come obbiettivi di spam.
  • Trojan-Dropper: trojan usato per installare altri malware sul pc obiettivo, usato solitamente come inizio di un attacco malware.
  • Trojan Downloader: trojan pensato per scaricare programmi sul pc infetto, solitamente usato in combinazione con un trojan-dropper. Essendo che i programmi vengono scaricati da Internet il pc deve avere una protezione inadeguata e essere connesso alla rete.
  • Trojan-FakeAV: questo trojan installa un antivirus maligno, il quale installa un virus maligno e offre un pagamento per rimuoverlo.
  • Trojan-Spy: possiede funzioni simili al trojan Infostealer o PSW, il suo obbiettivo è di spiare tutto quello che viene fatto dall'utente. Ad esempio collezionare screenshots, password, avere la lista dei processi o servizi attivi.
  • Trojan-ArcBomb: usato e creato per rallentare o rendere inutilizzabili i server mail.
  • Trojan-Clicker o ADclicker: trojan specifico che tenta di connettersi in maniera continua ad un sito web per incrementare il numero di visite. Usato aumentare i soldi generati tramite le visualizzazioni di un sito.
  • Trojan-SMS: trojan usato sui dispositivi mobili, quali cellulari. Invia messaggi a numeri a pagamento.
  • Trojan-Ransom o Ransomware trojan: questo trojan blocca il normale uso del pc infetto, mostrando una pagina nella quale è richiesto un pagamento per sbloccare il pc. Solitamente tende a bloccare le funzioni del desktop e della tastiera al di fuori della pagina dove va fatto il pagamento. Per avere maggiore credibilità solitamente sulla pagina vengono mostrate nomi di agenzie governative o di polizia. È possibile eliminarlo facendo partire il pc in modalità provvisoria ed eseguendo un ripristino.
  • Cryptolock trojan o cryptolocker: questa e una variante del ransomware trojan emersa negli ultimi anni. Come il precedente richiede una somma in denaro per ripristinare il pc. Differentemente dal precedente tutti i dati presenti sul pc vengono criptati quindi non è più possibile recuperarli se non pagando oppure ricorrendo all'uso del backup, soluzione più usata.

Ultime minacce rilevate

modifica

Recentemente[Ieri? Oggi? Quando?] sono state scoperte nuove minacce di tipo trojan, di seguito ne vengono alcuni esempi maggiori che sono più pericolosi e che possono essere di maggiore utilizzo[10].

Il primo è un trojan che colpisce i cellulari Android scoperto da Kaspersky Lab a cui è stato dato il nome Triada. Questo trojan è stato creato usando come base tre trojan (Ztorg, Gorp e Leech). Il trojan viene trasmesso tramite lo scaricamento dal Play Store di applicazioni non attendibili e tende a colpire più efficacemente i sistemi Android precedenti alla versione 4.4.4. Questo trojan una volta installato ottiene i privilegi di sistema, leggendo quindi informazioni, inviando messaggio o estraendo dati da altre applicazioni.[11] Oltre a questo sono presenti anche molti altri trojan che attaccano e tentano di rubare informazioni soprattutto dai sistemi Android. Alcuni esempi possono essere Acecard[12], Asacub[13] e Slembunk[14].

Il secondo trojan scoperto da ESET è chiamato Nemucod. Questo trojan viene diffuso come archivio ZIP allegato ad una mail. L'archivio contiene uno script che viene eseguito una volta che viene aperto l'archivio. Lo script eseguito fa scaricare un altro virus che solitamente è un Cryptolocker. Per proteggersi bisogna quindi mantenere sempre l'antivirus aggiornato e non aprire mail o scaricare allegati da mail di provenienza sospetta[15].

Sempre dai ricercatori di ESET è stato scoperto un nuovo trojan il cui obbiettivo è rubare dati e informazioni dal pc. Il nome che è stato dato a questo trojan è USB Thief. La diffusione di questo trojan avviene tramite chiavette USB e non lascia tracce sul pc perché la sua esecuzione avviene solo all'interno della chiavetta[16].

Il più recente rilevato è Atmos rilevato dai ricercatori di Heimdal Security è un trojan dedicato da Zeus. Questo trojan è usato per trasformare il pc in uno zombie ed inserirlo in una botnet. Sarà poi usato per eseguire attacchi informatici ad altre reti[17].

Prevenzione

modifica

Modalità di attacco

modifica

La prima cosa importante da capire è che un trojan è un programma eseguibile che per installarsi necessita dell'input da parte di un utente. Purtroppo ci sono molti modi in cui un programma può fingersi benevolo quindi l'unico modo per evitarlo è imparare a diffidare dei programmi dalla provenienza dubbia o sospetta e a non fidarsi ciecamente della presenza nel proprio sistema di un software antivirus, che può non essere "infallibile" nella rilevazione dei trojan.

In Windows ad esempio i file eseguibili hanno estensioni come ‘exe’, 'vbs', 'bat', 'js'. È molto importante prestare attenzione ai file con questa estensione, in particolare se arrivano attraverso email, anche da mittenti conosciuti. Un trucco utilizzato di solito è quello di rinominare il file con diverse estensioni ad esempio ‘Documento.txt.exe'. Questo file non è un documento testuale ma un eseguibile che potrebbe portare codice malevolo.

Un altro modo per trasmettere un trojan è quello di usare le macro di un documento: è possibile usare tale sistema in molti documenti, per esempio nei formati di Word, Excel, PDF e altri. Bisogna quindi prestare attenzione ai file che possono contenere macro. Se arrivano dall'esterno, anche da mittenti conosciuti, sarebbe buona regola accertarsi che l'antivirus li possa esaminare, altrimenti usare una scansione manuale alla ricerca di potenziali macro pericolose.

Come evitare di essere infettati

modifica

La regola principale per evitare di essere infettati è di essere sicuri della sorgente e del contenuto di ogni file che si scarica. Attenzione però che alcuni trojan possono essere inviati come allegati di posta elettronica da computer di conoscenti che sono stati infettati da un virus. In questo caso si dovrebbe dubitare della ricezione di file non richiesti da persone conosciute.

È quindi consigliato seguire queste semplici regole per evitare di essere infettati quando si vuole scaricare un file da internet

  • Conoscere la sorgente da dove si scarica il file e controllare se sia affidabile.
  • Controllare se il file che si vuole scaricare corrisponda effettivamente a quello che si sta scaricando.
  • Controllare che non vengano scaricati altri file insieme al file che si vuole effettivamente scaricare.
  • Controllare che il file scaricato abbia senso sia come formato che come nome, ad esempio se volevo scaricare una immagine controllare che non sia un file excel o eseguibile.
  • In ogni caso una volta scaricato il file controllare l'eventuale presenza di virus o trojan tramite un antivirus.

Nel caso non si sia sicuri di cosa si fa la scelta migliore e quella di chiedere aiuto ad una persona più esperta e competente. In ogni caso è una buona norma non inserire o dare dati o informazioni personali come mail, password, numeri di telefono o carte di credito a siti o applicazioni di cui non si è sicuri o che non possono garantire una adeguata sicurezza delle informazioni.

Di seguito invece sono descritte delle regole da seguire in ogni caso per evitare di essere infettati sia da trojan che da altri possibili virus.

  1. Mai scaricare ciecamente da siti o persone dalle quali non si ha l'assoluta certezza.
  2. Bisogna prestare attenzione ai file che vengono da amici. Bisogna controllare se il file che è stato inviato corrisponda effettivamente a ciò che ci si aspetta e che è stato inviato. Bisogna inoltre controllare che la mail sia stata inviata realmente da quella persona e volontariamente.
  3. Prestare attenzione alle estensioni nascoste dei file. Ad esempio il file ‘Documento.txt.exe', può essere scambiato per un file testuale ma è un file eseguibile.
  4. Mai usare funzioni di anteprima su file dei quali non si conosce la provenienza o dei quali non si ha l'assoluta certezza.
  5. Mai usare ciecamente comandi o eseguire script o programmi di cui non si conosce il funzionamento.
  6. Non sentirsi al sicuro perché si possiede un antivirus.
  7. Non eseguire automaticamente un programma scaricato, prima salvarlo poi controllarlo con un antivirus e infine eseguirlo.

Come riparare i danni

modifica

Riparare o rimuovere l'infezione di un trojan non è semplice. Per prima cosa bisogna sapere da che tipo di trojan si è stati infettati. Ad esempio, nel caso il pc sia stato infettato da un Cryptolocker, l'unica soluzione è formattare il pc o ripristinarlo da un backup, accertandosi però che anche il backup non sia stato eseguito quando il virus aveva già colpito il sistema (altrimenti verrebbe reinstallato insieme al backup).

Nel caso di trojan semplici è possibile usare sistemi di rimozione specifici a pagamento o l'antivirus nel caso l'antivirus possieda delle funzioni del genere. In ogni caso se non si è utenti esperti è consigliato chiedere aiuto a persone più esperte.[18][19]

  1. ^ Trojan Horse Definition, su techterms.com. URL consultato il 12 maggio 2022.
  2. ^ a b What is a Trojan Virus | Malware Protection | Kaspersky Lab US, su usa.kaspersky.com. URL consultato il 26 aprile 2016.
  3. ^ a b Trojan Horse Definition, su techterms.com. URL consultato il 26 aprile 2016.
  4. ^ trojan horse, su treccani.it. URL consultato il 26 aprile 2016.
  5. ^ G DATA Software, I primi anni [collegamento interrotto], su gdata.it, 16 maggio 2015. URL consultato il 31 maggio 2016.
  6. ^ Che cosa è un cavallo di Troia? - Archivio Domande - ICTEA, su ictea.com. URL consultato il 12 maggio 2022.
  7. ^ Germania, il trojan di stato è in uso dal 2009
  8. ^ Deutsche Welle (www.dw.com), German government to use Trojan spyware to monitor citizens | News | DW.COM | 22.02.2016, su DW.COM. URL consultato il 26 aprile 2016.
  9. ^ Security 1:1 - Part 2 - Trojans and other security threats | Symantec Connect, su symantec.com. URL consultato il 26 aprile 2016.
  10. ^ trojan - CERT Nazionale Italia, su CERT Nazionale Italia. URL consultato il 26 aprile 2016 (archiviato dall'url originale il 23 settembre 2016).
  11. ^ Triada: un nuovo trojan per Android quasi impossibile da rimuovere - CERT Nazionale Italia, su CERT Nazionale Italia. URL consultato il 26 aprile 2016 (archiviato dall'url originale il 23 settembre 2016).
  12. ^ Il trojan Acecard mette a rischio gli utenti di app bancarie per Android - CERT Nazionale Italia, su CERT Nazionale Italia. URL consultato il 26 aprile 2016 (archiviato dall'url originale il 23 settembre 2016).
  13. ^ Asacub: nuovo trojan bancario per Android - CERT Nazionale Italia, su CERT Nazionale Italia. URL consultato il 26 aprile 2016 (archiviato dall'url originale il 23 settembre 2016).
  14. ^ SlemBunk: un nuovo trojan Android colpisce app bancarie - CERT Nazionale Italia, su CERT Nazionale Italia. URL consultato il 26 aprile 2016 (archiviato dall'url originale il 23 settembre 2016).
  15. ^ Massiccia ondata di infezioni del trojan Nemucod in Italia - CERT Nazionale Italia, su CERT Nazionale Italia. URL consultato il 26 aprile 2016 (archiviato dall'url originale il 6 agosto 2016).
  16. ^ USB Thief: un nuovo trojan per il furto di dati basato su dispositivi USB - CERT Nazionale Italia, su CERT Nazionale Italia. URL consultato il 26 aprile 2016 (archiviato dall'url originale il 23 settembre 2016).
  17. ^ Atmos: un nuovo trojan bancario evoluzione di Citadel - CERT Nazionale Italia, su CERT Nazionale Italia. URL consultato il 26 aprile 2016 (archiviato dall'url originale il 23 settembre 2016).
  18. ^ irchelpers, IRCHelp.org — Untitled Page, su irchelp.org. URL consultato il 26 aprile 2016.
  19. ^ irchelpers, IRCHelp.org — Untitled Page, su irchelp.org. URL consultato il 26 aprile 2016.

Voci correlate

modifica

Altri progetti

modifica

Collegamenti esterni

modifica
Controllo di autoritàGND (DE4779909-2