Il trojan Clampi continua a diffondersi e a mietere vittime

di Emanuele Menietti

scritto il

Il numero di sistemi infettati dal trojan Clampi continua ad aumentare. Una volta colonizzato un computer, il virus sottrae le credenziali di accesso per l'home bankning

Nel corso delle ultime settimane non si è arrestato il lento avanzare di Clampi, un virus concepito per sottrarre informazioni sensibili utili per accedere ai servizi di home banking all’insaputa degli utenti. Il trojan era stato identificato per la prima volta dalla società specializzata in sicurezza Symantec nel corso del gennaio 2008, ma solamente durante l’estate di quest’anno ha fatto registrare un sensibile aumento della propria presenza sui personal computer.

Il virus viene principalmente utilizzato dagli utenti malintenzionati per sottrarre informazioni sensibili memorizzate nei sistemi infettati. Tale processo può essere innescato in seguito alla visita di un sito web appositamente modificato per rendere possibile il trasferimento del trojan sul proprio sistema. Il malware provvede poi a sottrarre le credenziali di accesso per i conti in banca gestibili attraverso il Web, consentendo dunque a un utente non autorizzato di compiere movimenti e transazioni all’insaputa del proprietario del computer infettato e del conto corrente.

Sfruttando questo sistema, nel corso degli ultimi mesi sono state portate a termine alcune cospicue sottrazioni di denaro. Durante i primi giorni di agosto, gli autori di un attacco informatico hanno utilizzato Clampi per sottrarre le credenziali di accesso di un istituto scolastico in Oklahoma (USA). I malfattori hanno poi inviato una serie di pagamenti fittizi dal sistema, realizzando un vero e proprio furto di circa 150mila dollari.

Dopo aver condotto alcune indagini, i responsabili della scuola hanno identificato il computer dal quale sarebbe partita l’infezione di buona parte della rete scolastica, a dimostrazione della capacità del virus di non rendersi da subito evidente agli applicativi per la rimozione del malware. A differenza della maggior parte dei trojan, Clampi è in grado di diffondersi con relativa facilità poiché è programmato per sfruttare l’applicazione PsExec per il controllo remoto sviluppata da Microsoft. Tale condizione permette al trojan di colonizzare con relativa facilità i computer collegati a una medesima rete locale.

Una peculiarità sperimentata in prima persona anche da alcuni responsabili di uno studio medico nel Michigan (USA). Verso la fine di agosto, il centro ha scoperto un ammanco nel proprio conto di circa 40mila dollari, cifra sottratta da alcuni utenti malintenzionati grazie alla presenza di Clampi su quattro personal computer dello studio medico.

Nonostante il virus sia particolarmente subdolo, alcuni semplici accorgimenti possono evitare brutte sorprese. Oltre a utilizzare un antivirus aggiornato, gli esperti di sicurezza consigliano ai gestori delle reti aziendali di isolare le postazioni dalle quali si effettuano transazioni tramite l’home banking dal resto della rete locale. Per ulteriore sicurezza, su tali sistemi dovrebbero essere escluse le opzioni di avvio automatico dei programmi e rinforzate le funzionalità dei firewall. Clampi colpisce al momento i soli sistemi Windows, dunque potrebbe rivelarsi utile l’installazione di un altro sistema operativo sulla postazione dedicata alle transazioni finanziarie.

Infine, con sfumature diverse, tali provvedimenti possono essere assunti anche per l’utilizzo dei computer in ambito domestico. Gli esperti di sicurezza consigliano di utilizzare un dispositivo per il solo ed esclusivo controllo delle proprie finanze online e per nessuna altre operazione da svolgere sul Web. Una strategia forse poco praticabile, salvo non installare sul medesimo dispositivo un sistema operativo secondario non basato su Windows. La presenza di un applicativo antivirus aggiornato dovrebbe comunque ridurre sensibilmente le probabilità di rimanere vittime di un attacco portato a termine con Clampi.