La polizia olandese ha arrestato quattro persone per aver diffuso TorRAT. Si tratta di un malware che sfruttava il Deepweb e il sistema Tor per le comunicazioni di Command and Control (C&C) in modo da non essere rilevato. Il suo obiettivo primario era il furto finanziario dagli account di online banking. TorRAT comprometteva i sistemi attraverso l’invio di messaggi spam (soprattutto false fatture), confezionati a dovere, nella lingua tipica del paese di arrivo e senza riportare errori grammaticali come la maggior parte dei messaggi di spam.
Per evitare di essere identificato dai software antivirus, il malware utilizzava un account tormail.org per le comunicazioni email e servizi di crittografia underground. La monetizzazione della frode avveniva tramite la valuta digitale bitcoin, utilizzata anche per riciclare il denaro rubato e per effettuare pagamenti ad altri componenti della gang criminale.
Questi processi rendevano molto difficile identificare i cybercriminali, ma il Dutch National High Tech Crime Unit (Nhtcu) di Trend Micro è stato comunque in grado di farli arrestare grazie ad alcuni errori commessi dalla banda. Si ritene infatti che la gang abbia utilizzato un servizio di crittografia chiamato “SamArt“. La cifratura del malware rende molto più difficile l’individuazione da parte dei software antivirus, ma se si vuole veramente nascondere la propria identità adottare un tool di terze parti mette a rischio l’anonimato. Un altro errore significativo in questo senso è stato commesso nell’autunno del 2012, quando alcuni dei server C&C, anche se su sistemi Tor nascosti, sono stati ospitati in un data center turco.
Cruciale è stato, per i criminali informatici, anche affrontare un problema classico: rubare i soldi è la parte più facile, metterseli in tasca e portali via come propri è un po’ più complesso. È relativamente semplice manipolare delle transazioni bancarie su un computer infetto ma il riciclaggio del denaro rubato implica un processo che prevede intermediari. La banda olandese avrebbe riciclato denaro attraverso operazioni di bitcoin e persino creato un proprio servizio di scambio, Fbtc Exchange, che è stato oscurato dopo gli arresti.
L’acquisto di un servizio di crittografia esterno, l’utilizzo di tormail.org e il reclutare e abusare di intermediari ha esposto i cybercriminali al rischio di essere scoperti da parte dei ricercatori più esperti.
