Clampi è il trojan che più di ogni altro ha fatto della monetizzazione diretta la propria missione. Ogni malware, infatti, è progettato per entrare in un pc in modo truffaldino, estrapolare informazioni interessanti e quindi riciclare tale informazioni per ottenerne lucro. Clampi, però, sembra accelerare questo processo puntando dritto all’obiettivo: una volta nel pc cerca gli estremi per il login su eventuali servizi bancari in uso e mette quindi il tutto a disposizione del malintenzionato che agisce da remoto.
Clampi è stato estesamente spiegato in occasione della Black Hat security conference di Las Vegas: il ricercatore Joe Stewart ha infatti illustrato le caratteristiche di quel che viene anche denominato Ligats, Ilomo, o Rscan. Clampi sarebbe stato progettato per frodare oltre 4500 siti web in 70 paesi differenti, tutti inerenti banche ed attività finanziarie: il trojan prevede modalità di autopropagazione ed è sviluppato in modo da allontanare il più possibile il momento dell’identificazione e dell’eventuale ostruzione posta da un software antivirus.
Difficile difendersi da minacce similari. La sola navigazione su di un sito web infetto può infatti portare il trojan sul sistema e la semplice navigazione offre al malintenzionato ogni dettaglio su quelli che sono gli estremi di login. Per questo motivo Stewart suggerisce di separare il sistema con cui si naviga da quello con cui si accede ai propri servizi di banking online, ma trattasi ovviamente di una soluzione scarsamente praticabile.
Clampi sarebbe all’origine di centinaia di migliaia di dollari sottratti: se ne certificano 75000 trafugati dal solo conto della Slack Auto Parts, la quale è riuscita poi almeno ad evitare che ulteriori 69000 dollari venissero sottratti in una seconda fase dell’attacco. Da Marzo ad oggi sarebbero già stati infettati 1400 siti web ed oltre 500000 computer: l’infezione procede lenta ma inesorabile, avanzando con una politica dei piccoli passi che crea attorno al malware poco rumore massimizzandone la pericolosità.
Update
Alcune precisazioni su Webnews Blog: Symantec ha etichettato Clampi come trojan a basso rischio