BankGhost Builder
Alcuni ricercatori nel campo della sicurezza informatica hanno scoperto una pubblicità su Telegram che promuove "BankGhost Builder", una sofisticata piattaforma per la creazione di malware progettata per generare trojan bancari con comandi e controlli (C2) integrati, meccanismi di diffusione tramite phishing e funzionalità specifiche per le frodi. Secondo quanto riportato, il builder viene distribuito attraverso comunità Telegram clandestine, alimentando le preoccupazioni per la rapida espansione delle operazioni di Malware-as-a-Service (MaaS).
Il framework malware viene commercializzato da un collettivo di hacker collegato a Telegram, noto come Infrastructure Destruction Squad (IDS), anche conosciuto come Dark Engine. La sua promozione all'interno degli ecosistemi della criminalità informatica dimostra un impegno attivo per commercializzare lo sviluppo di malware avanzati e rendere i crimini informatici a sfondo finanziario più accessibili ad attori con minori competenze tecniche.
Sommario
La squadra di distruzione delle infrastrutture espande la sua influenza nel sottosuolo.
Il gruppo Infrastructure Destruction Squad (IDS) è emerso con forza alla fine del 2025 e ha continuato a figurare tra le minacce informatiche più preoccupanti per tutto il 2026. A differenza di molti gruppi di hacktivisti filo-russi che si affidano principalmente ad attacchi Distributed Denial-of-Service (DDoS) dirompenti, l'IDS ha attirato l'attenzione per presunte intrusioni nei sistemi di controllo industriale (ICS) e negli ambienti SCADA.
Il collettivo è stato inoltre collegato ad attività clandestine che includono la promozione di strumenti di hacking offensivi e la pubblicazione di dati rubati e fughe di notizie relative a violazioni della sicurezza. Con un pubblico su Telegram di oltre 1.600 iscritti, il gruppo contribuisce alla diffusione accelerata di sofisticate minacce informatiche semplificando l'accesso a funzionalità di attacco avanzate.
BankGhost Builder combina la diffusione di malware e le operazioni antifrode
BankGhost Builder viene pubblicizzato come un framework completo per la protezione dai malware bancari, in grado di supportare l'intero ciclo di vita di un attacco informatico. Secondo il materiale promozionale, la piattaforma offre supporto a oltre 700 istituti bancari in India, Nord America, Europa e nella regione Asia-Pacifico.
Il generatore integra la generazione di payload, l'infrastruttura di phishing, l'implementazione del server C2 e l'esecuzione di frodi in un unico ecosistema. Le sue funzionalità includono, a quanto pare, crittografia polimorfica, mascheramento di processi e tecniche di iniezione di payload progettate per eludere il rilevamento da parte dei tradizionali strumenti di sicurezza. Inoltre, il malware supporta molteplici canali di comunicazione, tra cui i protocolli HTTPS, DNS-over-HTTPS, Tor e WebSocket.
La piattaforma contiene anche funzioni che consentono direttamente di commettere frodi, come la raccolta di credenziali, il dirottamento di sessioni, l'iniezione di codice web e tecniche volte a eludere le protezioni dell'autenticazione a due fattori. Queste funzionalità sono molto simili a quelle associate a note famiglie di malware bancari, tra cui Zeus, Dridex e TrickBot, ma ora sono racchiuse in un formato di build più facile da implementare.
La riduzione delle barriere all'ingresso aumenta il rischio nel settore finanziario.
L'emergere di BankGhost Builder riflette la continua industrializzazione della criminalità informatica, dove capacità offensive avanzate vengono confezionate, commercializzate e distribuite su larga scala. La sua architettura modulare e la generazione di payload personalizzabili riducono la dipendenza da indicatori statici di compromissione, complicando le attività di attribuzione e rilevamento per i difensori.
Gli analisti della sicurezza avvertono che la diffusa disponibilità di tali strumenti rischia di accelerare diverse importanti tendenze in materia di minacce, tra cui:
Aumento delle campagne malware basate sul phishing, mirate ai clienti e ai dipendenti delle banche.
Aumento dei casi di furto di identità (ATO) e operazioni di frode localizzate più sofisticate
Questi sviluppi potrebbero ampliare significativamente la portata operativa dei gruppi di criminali informatici che in precedenza non possedevano le competenze necessarie per condurre autonomamente attacchi bancari avanzati.
Gli istituti finanziari sono invitati a rafforzare le strategie difensive.
Per mitigare la crescente minaccia rappresentata dai creatori di malware bancari avanzati, gli istituti finanziari sono incoraggiati ad adottare strategie di sicurezza basate sull'intelligence e incentrate sul comportamento. Le misure difensive raccomandate includono:
- Monitoraggio dell'esecuzione anomala dei processi, della manipolazione degli appunti e del comportamento di acquisizione dello schermo tramite analisi comportamentale.
- Rilevamento di modelli di traffico crittografato sospetti, incluse le comunicazioni DNS-over-HTTPS e Tor.
- Applicazione di rigidi controlli di sicurezza per la posta elettronica, come il sandboxing degli allegati e le restrizioni sui tipi di file ad alto rischio, inclusi i file MSI, DLL ed EXE.
- Potenziamento dei programmi di prevenzione delle frodi tramite identificazione univoca dei dispositivi, rilevamento di anomalie nelle transazioni e monitoraggio comportamentale avanzato.
Una strategia di difesa proattiva e multilivello rimane essenziale, poiché le comunità di criminali informatici clandestini continuano ad accelerare l'adozione e la distribuzione di piattaforme malware sofisticate come BankGhost Builder.
