Breve bio
I Trojan di accesso remoto sono programmi che forniscono la capacità di consentire la sorveglianza segreta o la possibilità di ottenere l’accesso non autorizzato a un PC vittima. I trojan di accesso remoto spesso imitano comportamenti simili alle applicazioni keylogger, consentendo la raccolta automatica di battute, nomi utente, password, screenshot, cronologia del browser, e-mail, chat, ecc. I trojan di accesso remoto differiscono dai keylogger in quanto forniscono all’aggressore la capacità di ottenere un accesso remoto non autorizzato alla macchina vittima attraverso protocolli di comunicazione appositamente configurati che vengono impostati al momento dell’infezione iniziale del computer vittima. Questa backdoor nella macchina vittima può consentire all’aggressore un accesso illimitato, compresa la capacità di monitorare il comportamento dell’utente, modificare le impostazioni del computer, sfogliare e copiare i file, utilizzare la larghezza di banda (connessione Internet) per possibili attività criminali, accedere ai sistemi collegati e altro ancora.
Storia
Sebbene la storia completa dei trojan di accesso remoto sia sconosciuta, queste applicazioni sono state utilizzate per un certo numero di anni per aiutare gli aggressori a stabilire un punto d’appoggio su un PC vittima. I trojan di accesso remoto ben noti e di lunga data includono le applicazioni SubSeven, Back Orifice e Poison-Ivy. Questi programmi risalgono alla metà e alla fine degli anni ’90 e possono essere visti in uso ancora oggi.
Il successo nell’utilizzo di tali applicazioni ha portato alla produzione di un certo numero di applicazioni diverse nei decenni successivi. Man mano che le società di sicurezza diventano consapevoli delle tattiche utilizzate dai trojan di accesso remoto, gli autori di malware evolvono continuamente i loro prodotti per cercare di contrastare i più recenti meccanismi di rilevamento.
Metodo comune di infezione
I trojan di accesso remoto possono essere installati con una serie di metodi o tecniche, e saranno simili ad altri vettori di infezione malware. Allegati email appositamente creati, link web, pacchetti di download o file .torrent potrebbero essere utilizzati come meccanismo per l’installazione del software. Attacchi mirati da parte di un attaccante motivato possono ingannare gli obiettivi desiderati nell’installazione di tale software attraverso tattiche di ingegneria sociale, o anche attraverso l’accesso fisico temporaneo del computer desiderato.
Famiglie associate
C’è un gran numero di trojan di accesso remoto. Alcuni sono più noti di altri. SubSeven, Back Orifice, ProRat, Turkojan e Poison-Ivy sono programmi affermati. Altri, come CyberGate, DarkComet, Optix, Shark e VorteX Rat hanno una distribuzione e un utilizzo minori. Questo è solo un piccolo numero di trojan di accesso remoto conosciuti, e una lista completa sarebbe abbastanza estesa, e sarebbe in continua crescita.
Rimedio
I trojan di accesso remoto sono nascosti per natura e possono utilizzare una struttura randomizzata di nomi di file e percorsi per cercare di prevenire l’identificazione del software. L’installazione e l’esecuzione di Malwarebytes Anti-Malware e Malwarebytes Anti-Exploit aiuterà a mitigare qualsiasi potenziale infezione rimuovendo i file associati e le modifiche al registro, e/o impedendo al vettore di infezione iniziale di permettere al sistema di essere compromesso.
Dopo
I Trojan ad accesso remoto hanno il potenziale di raccogliere grandi quantità di informazioni contro gli utenti di una macchina infetta. Se i programmi Trojan ad accesso remoto vengono trovati su un sistema, si dovrebbe presumere che qualsiasi informazione personale (a cui si è avuto accesso sulla macchina infetta) sia stata compromessa. Gli utenti dovrebbero aggiornare immediatamente tutti i nomi utente e le password da un computer pulito, e notificare all’amministratore appropriato del sistema la potenziale compromissione. Monitorate attentamente i rapporti di credito e gli estratti conto bancari nei mesi successivi per individuare qualsiasi attività sospetta sui conti finanziari.
Evitare
Come in tutti i casi, non cliccate mai su link di e-mail o siti web da luoghi sconosciuti o installate software su sollecitazione di parti sconosciute. L’utilizzo di una soluzione antivirus e anti-malware rispettabile aiuterà a garantire che i trojan di accesso remoto non siano in grado di funzionare correttamente, e aiuterà a mitigare qualsiasi raccolta di dati. Bloccare sempre i computer pubblici quando non sono in uso, e diffidare di e-mail o telefonate che chiedono di installare un’applicazione.