Tra gli elementi più pericolosi della cybersecurity, il Trojan è una minaccia che circola da più di trent’anni, con effetti devastanti. È bene conoscerlo per attuare adeguate contromisure.


Si chiama Trojan e si ispira all’epico cavallo di Troia, con cui condivide due elementi: l’aspetto ingannevole e le conseguenze devastanti della sua presenza per il malcapitato che ne è vittima. Nella sfera della cybersecurity è tristemente noto da decenni questo malware che si maschera da codice legittimo per consentire ai cyber criminali di ottenere l’accesso al sistema degli utenti, potendo rubare dati sensibili, ottenere accesso ai sistemi di gestione ed effettuare attività di spionaggio sull’online delle vittime. Alcuni Trojan (come vedremo, ne esistono di diversi tipi) sono in circolazione da vent’anni, causando danni multimilionari su scala planetaria, ponendoli tra gli attacchi informatici più subdoli e pericolosi. Si pensi al malware Trojan ZeuS: scoperto per la prima volta nel 2007, è diventato uno dei ladri di informazioni più diffusi di sempre. Emotet, un banking Trojan rilevato nel 2014, è stato utilizzato in numerosi attacchi su larga scala volti a rubare informazioni finanziarie a privati ​​e aziende. I costi per rimuoverlo sono altissimi: Le “infezioni da emotet” sono costate ai governi fino a un milione di dollari per ogni incidente su cui porre rimedio, rammenta la Cybersecurity & Infrastructure Security Agency USA.

Definizione del Trojan in informatica

Il Trojan, o Trojan horse, è un tipo di codice o software dannoso che può assumere il controllo di un computer. È progettato per danneggiare, interrompere, rubare o in generale infliggere altre azioni dannose a più utenti. Si comporta come un’applicazione o un file in buona fede per ingannare la vittima potenziale. Cerca di indurla a caricare ed eseguire il malware sul suo dispositivo. Una volta installato, può eseguire l’azione malevola per cui è stato progettato.

Secondo la definizione del NIST, è un programma per computer che sembra avere una funzione utile, ma ha anche una nascosta e potenzialmente dannosa in grado di eludere i meccanismi di sicurezza, a volte sfruttando le autorizzazioni legittime di un’entità di sistema che richiama il programma.

In genere, è nascosto in un allegato email dall’aspetto innocuo o in un download gratuito. Quando l’utente seleziona l’allegato per aprirlo o scarica il programma gratuito, il malware celato all’interno viene trasferito sul dispositivo informatico dell’utente. Una volta all’interno, il codice dannoso può eseguire qualsiasi operazione per la quale l’aggressore lo ha progettato.

Cenni storici

Il cavallo di Troia è universalmente noto in letteratura e nella mitologia come strumento ingegnoso ideato da Ulisse sotto forma di una macchina progettata dai Greci per espugnare – riuscendoci – la città di Troia. È una soluzione mirata a ingannare e ad avere conseguenze disastrose, proprio come il Trojan che ne ha preso il nome ed è devastante per le vittime.

I Trojan in informatica sono stati sviluppati insieme ai personal computer, con i primi Trojan teorizzati negli anni Ottanta del XX secolo da Ken Thompson, informatico e hacker statunitense nonché coautore del sistema operativo UNIX. L’occasione per parlarne fu nel 1984, nel discorso che fece in occasione del conferimento dell’AM Turing Award, assegnatogli dall’Association for Computing Machinery per i suoi numerosi contributi al mondo dell’informatica. Egli descrisse un sofisticato attacco basato sull’esperienza del cavallo di Troia contro un compilatore che non era rilevabile da qualsiasi ricerca nel codice sorgente del compilatore.

Durante gli anni Ottanta, l’incremento dei sistemi BBS (Bulletin Board System) contribuì ad accelerare la diffusione degli attacchi di cavalli di Troia.

Negli anni Novanta comparve il Trojan AIDS, il primo ramsomware che si ricordi. Successivamente la progressione dei Trojan sotto molteplici forme ha permesso di arrivare fino ai giorni nostri ed essere una minaccia quanto mai attuale.

Cosa fa e come funziona un virus Trojan

Ad attivare i Trojan è l’utente, installando inconsapevolmente l’applicazione, solitamente diffusa tramite allegati di email, SMS o altro. Il “cavallo di Troia” non può manifestarsi da solo. Affinché l’attacco possa essere sferrato al sistema, è necessario implementare il file eseguibile (file .exe) e installare il programma. Gli sviluppatori di Trojan utilizzano spesso tecniche di spamming per inviare e-mail a centinaia o migliaia di persone. Non appena l’e-mail viene aperta e l’allegato viene scaricato, il server Trojan verrà installato ed eseguito automaticamente ogni volta che si accende il computer.

È anche possibile che un computer infetto continui a diffondere il cavallo di Troia su altri computer, creando una botnet, che trasforma il computer in un computer zombie, un supporto infetto che – in maniera del tutto inconsapevole per l’utente vittima – crea danni ad altri utenti, diffondendo malware aggiuntivo per creare un’intera rete di computer zombie (una botnet, appunto).

I virus Trojan più pericolosi

Come detto, i Trojan si palesano in molteplici forme.

RAT (remote access Trojan)

Il Trojan di accesso remoto è un malware utilizzato da un cyber delinquente per ottenere privilegi amministrativi e il controllo remoto di un computer di destinazione. I RAT vengono spesso scaricati insieme a programmi apparentemente legittimi richiesti dagli utenti, come i videogiochi, o inviati al loro obiettivo come allegato e-mail.

Una volta che il sistema host è stato compromesso, gli intrusi utilizzano una backdoor per controllare l’host oppure possono distribuire RAT ad altri computer vulnerabili e creare una botnet.

Backdoor Trojan

Questo Trojan può creare una backdoor sul computer, permettendo a un hacker malevolo di accedere al dispositivo e controllarlo, potendo rubare dati o altro ancora. Si tratta di programmi software dannosi progettati per garantire l’accesso indesiderato per un attacco remoto. Gli aggressori possono inviare comandi da remoto o sfruttare il controllo completo su un computer compromesso.

Exploit Trojan

Come suggerisce il nome, questi Trojan – proprio come avviene con gli exploit – identifica e sfrutta le vulnerabilità all’interno delle applicazioni software per ottenere l’accesso al sistema.

DDoS Trojan

Sono un particolare tipo di malware botnet. Dopo aver ottenuto l’accesso e il controllo sulla macchina infetta, l’aggressore la utilizza per eseguire attacchi DDoS contro altri computer.

Downloader Trojan

Questo tipo di Trojan prende di mira un computer già infetto, scaricando e installando nuove versioni di programmi dannosi.

Fake AV Trojan

Essi si comportano come programmi o software antivirus; invece di rubare dati cercano di chiedere denaro all’utente per rilevare e rimuovere le minacce.

Game-thief Trojan

Prende di mira la comunità dei giocatori online questo tipo di Trojan progettato per rubare informazioni sugli account dei giocatori o i dettagli bancari.

Ransom Trojan

In questo caso, il Trojan chiede un riscatto per riparare i danni arrecati al computer. Ciò può includere il blocco dei dati o la riduzione delle prestazioni del computer.

Remote Access Trojan

Può fornire a un utente malintenzionato il pieno controllo del computer tramite una connessione di rete remota. I suoi usi includono il furto delle informazioni o lo spionaggio sull’utente malcapitato.

Rootkit Trojan

Un rootkit mira a nascondere o oscurare un oggetto sul computer infetto, con l’intento di prolungare il tempo di esecuzione di un programma dannoso sul tuo dispositivo.

SMS Trojan

Questo tipo di Trojan infetta i dispositivi mobile e può inviare e intercettare messaggi di testo. Gli SMS verso numeri a tariffa maggiorata possono far lievitare i costi telefonici.

Banking Trojan

È conosciuto anche come attacco man in the browser (parte degli attacchi Man in the Middle). Si tratta di un programma informatico dannoso progettato per ottenere l’accesso a informazioni riservate e/o materiali archiviate o elaborate tramite sistemi bancari online.

Trojan IM

Questo Trojan prende di mira la messaggistica istantanea, rubando gli accessi e le password sulle piattaforme di messaggistica istantanea.

Come rilevarli e prevenirli

I Trojan sono spesso mascherati da file di sistema legittimi e per questo sono molto difficili da trovare e distruggere con i tradizionali sistemi antivirus. Spesso si rende necessario l’impiego di strumenti software specializzati per identificarli e rimuoverli

Ci sono segnali in grado di rilevare un Trojan: può essere un cambiamento nello schermo del computer, la modifica del colore e della risoluzione. Un’altra anomalia può essere la home page del browser che potrebbe cambiare oppure il browser che reindirizzerà costantemente l’utente a un sito Web diverso da quello richiesto.

Potrebbero iniziare ad apparire messaggi misteriosi e visualizzazioni grafiche anomale.

Ulteriori segnali? La barra delle applicazioni cambierà aspetto o scomparirà completamente oppure lo sfondo del desktop del computer può cambiare così come il formato delle icone e delle applicazioni del desktop.

Il servizio di posta elettronica dell’utente può iniziare a inviare messaggi di spam a tutti o ad alcuni indirizzi nell’elenco dei contatti che spesso contengono malware e una tattica persuasiva per indurre i destinatari ad aprire e scaricare l’attacco, diffondendo così il cavallo di Troia su altri computer.

Il modo più semplice per proteggere un sistema da un Trojan è non aprire o non scaricare mai e-mail o allegati da fonti sconosciute. L’eliminazione di questi messaggi prima dell’apertura impedirà la minaccia.

Tuttavia, per contare su un sufficiente grado di sicurezza informatica è bene installare una suite di cybersecurity.

Altra prassi utile è aggiornare il software del sistema operativo non appena la società di software rilascia un aggiornamento, come pure proteggere gli account personali con password complicate e uniche che contengono numeri, lettere e simboli.

È consigliabile eseguire regolarmente il backup dei file in modo che possano essere facilmente recuperati in caso di attacco. Infine, è bene prevedere firewall con cui proteggere tutte le informazioni personali e non solo.

Come si rimuove un Trojan?

La parte più difficile del processo di rimozione è riconoscere quali file sono infetti. Gli utenti a volte possono trovare i file infetti utilizzando l’errore della libreria di collegamento dinamico (DLL) che viene spesso presentato dal computer per indicare la presenza di un Trojan. Questo errore può essere copiato e cercato online per trovare informazioni sul file .exe interessato.

Una volta identificati i file, è bene disabilitare la funzione “Ripristino configurazione di sistema”. Se questa funzione non viene disabilitata, tutti i file dannosi eliminati verranno ripristinati e infetteranno nuovamente il computer. Successivamente, gli utenti devono riavviare il proprio computer. Durante il riavvio, gli utenti devono premere il tasto F8 e selezionare la modalità provvisoria. Una volta avviato correttamente il computer, gli utenti devono accedere ad Aggiungi o Rimuovi programmi nel Pannello di controllo. Da qui è possibile rimuovere ed eliminare i programmi infetti.