Trojan

Tutto ciò che è importante sapere sui trojan: cosa sono, da dove provengono e come proteggersi da essi. Scopri tutto ciò che serve sapere su questa diffusa minaccia online.

Tutto quello che c'è da sapere sui trojan

Attenzione ai doni portati dai greci

Nel poema epico di Virgilio, L'Eneide, un astuto stratega greco chiamato Odisseo elabora un piano per far entrare i suoi uomini nella protetta città di Troia. Anziché distruggere le mura della città o arrampicarvisi, Odisseo trova un altro modo per infiltrarsi: l'inganno. I soldati troiani stanno a guardare mentre i greci sembrano salpare per andarsene, lasciandosi dietro un enorme cavallo di legno in segno di resa. Estasiati dalla vittoria, i troiani portano il cavallo all'interno delle mura, per poi scoprire che Odisseo e i suoi uomini erano sempre stati nascosti al suo interno.

Come l'omonimo stratagemma, gli attacchi "trojan horse" o semplicemente trojan usano l'inganno e l'ingegneria sociale per convincere utenti ignari a eseguire programmi apparentemente benevoli, che però nascondono secondi fini dannosi.

Caratterizzazione dei trojan

A volte si pensa che i trojan siano dei virus o worm, ma non è così. Un virus è un file infetto in grado di auto-riprodursi e diffondersi sfruttando altri programmi. I worm sono un tipo di malware simile ai virus, che però non ha bisogno di attaccarsi a un altro programma per diffondersi. Oggi, la maggior parte dei virus viene considerata una minaccia obsoleta. Anche i worm si sono fatti rari, sebbene ogni tanto ne compaiano di nuovi. 

Per gli hacker, un trojan è come un coltellino svizzero.

"Trojan" è una sorta di termine onnicomprensivo che indica i metodi di infezione malware, poiché ne esistono vari tipi. A seconda dell'intento criminale, per gli hacker, un trojan è come un coltellino svizzero. Può comportarsi come un malware indipendente o fungere da strumento per altre attività, come la futura infiltrazione di payload, la comunicazione con l'hacker più avanti nel corso del tempo o l'esposizione del sistema agli attacchi, proprio come hanno fatto i soldati greci dall'interno della fortezza di Troia.

In altre parole, un trojan è una strategia di infezione che gli hacker utilizzano per infiltrare qualunque altro tipo di minaccia, dai ransomware che chiedono pagamenti in denaro fino agli spyware, che si nascondono mentre sottraggono informazioni preziose come dati personali e finanziari.

Bisogna tenere a mente che è facile confondere gli adware e i PUP (programmi potenzialmente indesiderati) con i trojan, poiché il metodo di infezione è simile. Per esempio, a volte gli adware si infiltrano sul computer come parte di un software in bundle. L'utente pensa di scaricare un unico software, ma in realtà sono due o tre. Spesso gli autori dei programmi aggiungono gli adware per via di affiliazioni di marketing, riuscendo a monetizzare il proprio programma di installazione con delle offerte, generalmente ben visibili. Di norma, questi adware in bundle sono meno pericolosi dei trojan. Inoltre, non si nascondono come fanno i trojan. Tuttavia, poiché il vettore di distribuzione degli adware somiglia a quello dei trojan, può esserci della confusione.

Metodi di infezione dei trojan

I trojan possono mascherarsi da qualunque cosa, che sia un software gratuito o un brano musicale, una pubblicità nel browser o una app apparentemente legittima. Qualunque comportamento incauto può condurre a un'infezione trojan. Ecco alcuni esempi:

  • Scaricare applicazioni pirata. La promessa della versione gratuita illegale di un software può essere allettante, ma il software pirata o il generatore di codici di attivazione possono nascondere un trojan.
  • Scaricare programmi gratuiti sconosciuti. Quello che sembra un gioco o uno screensaver gratuito potrebbe di fatto essere un trojan, soprattutto se si trova su un sito web di dubbia affidabilità.
  • Aprire allegati infetti. Quando si riceve una strana e-mail con quello che sembra un allegato importante, come una fattura o una ricevuta di consegna, è possibile che facendovi clic si esegua un trojan.
  • Visitare siti web sospetti. Ad alcuni siti web basta un momento per infettare un computer. Altri utilizzano dei trucchi, magari con la promessa di riprodurre in streaming un film famoso se si scarica un determinato codec video, che contiene un trojan.
  • Qualunque altro tipo di ingegneria sociale che sfrutta le ultime tendenze. Per esempio, a dicembre 2017 si è scoperto che un gran numero di processori Intel era vulnerabile agli attacchi a causa di alcuni problemi hardware. Gli hacker hanno sfruttato il panico che ne è conseguito, creando una patch fasulla chiamata Smoke Loader che installava un trojan.

Ultime notizie sui trojan

Trojan: come funzionano davvero?

Analisi dei malware: la decodifica di Emotet, parte 1

Analisi dei malware: la decodifica di Emotet, parte 2

Storia dei trojan

Giochi e divertimenti

Un programma chiamato ANIMAL, pubblicato nel 1975, viene generalmente considerato il primo esempio di attacco da parte di un trojan. Si presentava come un semplice gioco simile a quello delle venti domande. Tuttavia, dietro le quinte, il file si copiava in cartelle condivise, dove poteva essere trovato da altri utenti. Da qui, il gioco si diffondeva su intere reti di computer. Si trattava perlopiù di uno scherzo innocuo.

Nel dicembre del 1989, però, gli attacchi trojan hanno smesso di essere degli scherzi. Diverse migliaia di floppy disk contenenti il trojan AIDS, il primo ransomware conosciuto, sono stati spediti agli abbonati della rivista PC Business World e ad una mailing list della conferenza sull'AIDS dell'Organizzazione Mondiale della Sanità. Questo trojan DOS rimaneva dormiente per circa 90 cicli di avvio e criptava tutti i nomi dei file presenti nel sistema, per poi far comparire un avviso che chiedeva all'utente di inviare $189 a una casella postale di Panama per ricevere un programma di decriptazione.

Negli anni '90, un altro famigerato trojan è comparso sotto forma di un semplice gioco in stile "acchiappa la talpa". Il file nascondeva una versione di NetBus, un programma che consente di sfruttare le reti per controllare da remoto i computer Microsoft Windows. Disponendo dell'accesso remoto al dispositivo, il criminale poteva controllare i computer, arrivando perfino ad aprire il vano CD.

Amore e denaro

Nel 2000, un trojan chiamato ILOVEYOU si è trasformato nell'attacco informatico più distruttivo dell'epoca, con danni stimati fino a $8,7 miliardi. I destinatari ricevevano un'e-mail con quello che sembrava un allegato di testo denominato ILOVEYOU. Se erano abbastanza curiosi da aprirlo, il programma eseguiva uno script che sovrascriveva i loro file e si auto-inviava a tutti gli indirizzi e-mail nella lista dei contatti. Per quanto questo worm fosse intelligente dal punto di vista tecnico, il suo utilizzo dell'ingegneria sociale rappresentava verosimilmente la sua componente più ingegnosa.

Negli anni 2000, gli attacchi trojan hanno continuato a evolversi, come anche le minacce che comportavano. Anziché sfruttare la curiosità delle persone, i trojan traevano vantaggio dall'ascesa del downloading illegale, nascondendo malware in file musicali, film o codec video. Nel 2002 è comparso un trojan backdoor basato su Windows e denominato "Beast", in grado di infettare quasi tutte le versioni di Windows. Alla fine del 2005, invece, è stato distribuito un altro trojan backdoor chiamato Zlob, mascherato da codec video sotto forma di ActiveX.

Negli anni 2000, inoltre, si è assistito all'aumento nel numero di utenti Mac e i criminali informatici hanno seguito l'esempio. Nel 2006 è stata annunciata la scoperta del primo malware per Mac OS X in assoluto, un trojan relativamente innocuo noto come OSX/Leap-A o OSX/Oompa-A.

Anche le motivazioni alla base degli attacchi trojan hanno iniziato a cambiare. Molti dei primi attacchi informatici erano motivati da sete di potere, controllo o semplice distruzione. Entro la fine degli anni 2000, un crescente numero di attacchi era motivato dall'avidità. Nel 2007, un trojan chiamato Zeus ha preso di mira i sistemi Microsoft Windows per sottrarre dati bancari tramite un keylogger. Nel 2008, alcuni hacker hanno creato Torpig, anche noto come Sinowal e Mebroot, che disattivava gli antivirus e consentiva a soggetti terzi di accedere al computer, modificare i dati e sottrarre informazioni riservate come password e altri dati sensibili.

Sempre più grandi e cattivi

Dal 2010 in poi gli hacker hanno continuato a essere avidi, ma hanno iniziato a pensare più in grande. L'ascesa di criptovalute irrintracciabili come i Bitcoin ha condotto a un aumento degli attacchi ransomware. Nel 2013 è stato scoperto il trojan Cryptolocker. Cryptolocker criptava i file presenti sul disco rigido degli utenti e richiedeva il pagamento di un riscatto per ricevere una chiave di decriptazione. Più avanti, nello stesso anno, sono state scoperte altre varianti di trojan ransomware.

Molti dei trojan di cui sentiamo parlare sono stati progettati per prendere di mira aziende, organizzazioni o perfino governi specifici.

A partire dal 2010 si è anche verificato un cambiamento nel modo in cui le vittime vengono prese di mira. Sebbene molti trojan continuino a usare un approccio generale ed esteso, tentando di infettare il maggior numero di utenti possibile, pare proprio che si stia diffondendo un approccio più mirato. Molti dei trojan di cui sentiamo parlare sono stati progettati per prendere di mira aziende, organizzazioni o perfino governi specifici. Nel 2010 è stato rilevato Stuxnet, un trojan per Windows. È stato il primo worm a prendere di mira dei sistemi di controllo computerizzati e si ritiene che sia stato progettato per colpire gli impianti nucleari iraniani. Nel 2016, il trojan Tiny Banker (Tinba) è finito sui giornali. Da quando è stato rilevato, si è scoperto che ha infettato più di venti importanti istituti bancari negli Stati Uniti, tra cui TD Bank, Chase, HSBC, Wells Fargo, PNC e Bank of America.

Trattandosi di uno dei modi più longevi e diffusi per l'infiltrazione di malware, la storia dei trojan va di pari passo con la storia del crimine informatico stesso. Ciò che era iniziato come uno scherzo bonario si è trasformato in un modo per distruggere reti, sottrarre informazioni, guadagnare illecitamente e guadagnare potere. Il tempo degli scherzi è passato da tempo. I trojan continuano a rappresentare potenti strumenti criminali, utilizzati soprattutto per il furto di dati, lo spionaggio e gli attacchi DDoS (Distributed Denial of Service).

Tipi di trojan

Essendo molto versatili e diffusi, è difficile descrivere tutti i tipi di trojan. Detto ciò, la maggior parte è programmata per assumere il controllo di un computer, sottrarre dati, spiare gli utenti o infiltrare altri malware sul computer della vittima. Ecco alcune delle minacce più comuni che sfruttano i trojan:

  • Le backdoor, che consentono l'accesso remoto ai sistemi. Questo tipo di malware modifica i parametri di sicurezza per consentire agli hacker di controllare i dispositivi, sottrarre informazioni e perfino scaricare altri malware.
  • Gli spyware, che spiano l'utente mentre accede ai propri account online o inserisce i dati della sua carta di credito. Questi malware trasmettono le password e altri dati identificativi degli utenti agli hacker.
  • I trojan zombie, che assumono il controllo del computer per inserirlo in una rete sotto il controllo dell'hacker. Questo è il primo passo nella creazione di una botnet (rete + robot), spesso utilizzata per eseguire attacchi DDoS pensati per compromettere una rete, inondandola di traffico.
  • I trojan downloader, che scaricano ed eseguono altri malware dannosi, come ransomware o keylogger.
  • I trojan dialer, che possono sembrare anacronistici, poiché i modem telefonici non si usano più. Ne parleremo più approfonditamente nella prossima sezione.

App vittima dei trojan sugli smartphone Android

I trojan non rappresentano un problema solo per laptop e desktop. Attaccano anche i dispositivi mobili, dato il facile bersaglio che rappresentano i miliardi di telefoni attualmente in uso.

Come nel caso dei computer, i trojan si presentano sotto forma di programmi legittimi, sebbene in realtà siano una versione fasulla della app contenente un malware.

In genere, questi trojan si nascondono nei marketplace di app pirata non ufficiali, spingendo gli utenti a scaricarli. I trojan creano ogni sorta di guaio, infettando il telefono con annunci pubblicitari e keylogger, che possono sottrarre informazioni. I trojan dialer possono perfino generare profitti inviando SMS a pagamento.    

Anche gli add-on di estensione browser possono agire come dei trojan

Gli utenti Android sono stati vittima di app "trojanizzate" anche su Google Play, che scansiona ed elimina costantemente le app compromesse (spesso dopo la scoperta del trojan). Anche gli add-on di estensione browser possono agire come dei trojan, poiché si tratta di payload in grado di contenere del codice dannoso.

Mentre Google può rimuovere gli add-on per browser dai computer, sui telefoni i trojan possono piazzare icone trasparenti sullo schermo. Sono invisibili all'utente, ma reagiscono al tocco del dito per liberare il malware.

Per quanto riguarda gli utenti di iPhone, ci sono buone notizie: le politiche restrittive di Apple riguardo l'accesso all'App Store, il sistema iOS e le altre app sul telefono svolgono un buon lavoro nella prevenzione delle incursioni trojan. L'unica eccezione riguarda chi pratica il jailbreak dei propri dispositivi al fine di scaricare software gratuiti da siti web diversi dall'App Store. L'installazione di app dannose esterne all'ambiente Apple rende gli utenti vulnerabili ai trojan.

Come rimuovere i trojan?

Quando un trojan infetta un dispositivo, il metodo più diffuso per ripulirlo e riportarlo a uno stato desiderabile è utilizzare uno strumento anti-malware automatico e di buona qualità per eseguire una scansione completa del sistema.

Esistono molti programmi anti-malware gratuiti tra cui i nostri prodotti per Windows, Android e Mac in grado di rilevare e rimuovere adware e malware. Malwarebytes rileva tutti i trojan conosciuti e molto altro, poiché l'80% dei rilevamenti trojan avviene tramite analisi euristica. I nostri prodotti contribuiscono perfino a mitigare le infezioni aggiuntive, interrompendo la comunicazione tra il malware infiltrato e qualsiasi server di backend, isolando così il trojan. L'unica eccezione è rappresentata dalla protezione contro i ransomware, per la quale è necessario disporre della versione Premium del nostro prodotto.

Come prevenire i trojan?

Poiché i trojan sfruttano l'inganno per convincere gli utenti a consentire loro l'accesso al computer, la maggior parte delle infezioni può essere evitata prestando attenzione e osservando una serie di sane abitudini. È sempre bene esercitare un sano scetticismo riguardo i siti web che offrono film o scommesse gratuiti e scaricare i programmi direttamente dal sito del fornitore anziché da server mirror non autorizzati.

Un'altra precauzione da considerare: è utile modificare le impostazioni predefinite di Windows, in modo che le reali estensioni delle applicazioni siano sempre visibili. In questo modo si può evitare di essere ingannati da un'icona apparentemente innocente.

Altre buone pratiche, a parte installare Malwarebytes for Windows, Malwarebytes for Android e Malwarebytes for Mac, includono:

  • Eseguire scansioni diagnostiche periodiche
  • Impostare l'aggiornamento automatico del sistema operativo, per assicurarsi di disporre degli ultimi aggiornamenti di sicurezza
  • Mantenere aggiornate le applicazioni, per colmare tutte le eventuali lacune di sicurezza
  • Evitare i siti web non sicuri o sospetti
  • Esercitare un sano scetticismo riguardo allegati e link non verificati contenuti in e-mail inusuali
  • Utilizzare password complesse
  • Utilizzare dei firewall

Come Malwarebytes Premium può proteggerti

Malwarebytes prende molto sul serio la prevenzione delle infezioni, motivo per cui blocchiamo aggressivamente i siti web e le pubblicità considerati fraudolenti o sospetti. Per esempio, blocchiamo i siti torrent come The Pirate Bay. Sebbene molti utenti esperti utilizzino questi siti web senza problemi, alcuni dei file disponibili per il download sono in realtà dei trojan. Per gli stessi motivi blocchiamo anche il cryptomining tramite browser, anche se l'utente può decidere di disabilitare il blocco.

Secondo noi, la prudenza non basta mai. Chi vuole correre il rischio può facilmente inserire un sito web nella lista bianca, ma perfino i più esperti possono essere ingannati da un trojan convincente.

Per saperne di più sui trojan, i malware e le altre minacce informatiche, visita il blog Malwarebytes Labs. Ciò che imparerai potrà esserti utile per evitare infezioni in futuro.

Informazioni indispensabili di sicurezza informatica

Vuoi rimanere aggiornato sulle ultime novità in materia di sicurezza informatica? Iscriviti alla nostra newsletter per imparare a proteggere il tuo computer dalle minacce.

Seleziona lingua