Partiamo prima di tutto dal nome: il virus, scovato in prima istanza da Bit Defender si chiama Trojan.PWS.ChromeInject.A, un trojan che si camuffa in uno degli add-on di Firefox, nella fattispecie in Greasemonkey, estensione che serve per aggiungere funzioni mediante script Javascript alle pagine web visualizzate con il browser di Mozilla.
Il contagio si diffonde andando sui classici siti “malfamati” che attaccano con malware di tipo drive-by-download, ovvero illudono l’utente di scaricare Greasemonkey, quindi downloadano il contenuto del malware.
Il trojan, una volta installato, inizia a identificare quanti più siti Internet dedicati all’e-banking e al trasferimento di denaro possibili, tra i quali PayPal, Barclays e Bank of America. Il finto Greasemonkey sembra abbia colpito anche in Italia, andando a sbirciare negli account dei correntisti di Poste Italiane, Banca Intesa, Credem, Cariparma, Popolare di Sondrio, Banca Mediolanum, Fineco e Carige.
Lo scopo del trojan, che identifica i siti web mediante Javascript, è quello di rubare i dati di accesso e le password degli utenti che utilizzano l’Internet banking e i sistemi di pagamento on line come PayPal. Una volta ottenuti questi preziosi dati, il trojan li invia a un server situato in Russia, Paese dove risultano risiedere molti server che vengono utilizzati dalle organizzazioni di cyber-criminali dedite al phishing, al password stealing e ad altre tecniche volte a impossessarsi degli identificativi dei netizen per utilizzarli a proprio piacimento.
