Trojan

Voci di Glossario Sicurezza Informatica
Indice dei contenuti

    Un trojan (o cavallo di Troia, in riferimento all’episodio dell’Iliade) è un tipo di malware che si presenta come software legittimo, utile o desiderabile per indurre l’utente a eseguirlo volontariamente, nascondendo al suo interno funzionalità malevole. A differenza del virus informatico, il trojan non si replica autonomamente: dipende dall’inganno per la propria diffusione. A differenza del worm, non sfrutta vulnerabilità di rete per propagarsi — sfrutta la fiducia dell’utente.

    Vettori di distribuzione

    I trojan raggiungono i sistemi target attraverso diversi canali:

    • Allegati email malevoli: documenti Office con macro (.docm,.xlsm), file PDF, archivi.zip/.iso
    • Download da siti compromessi o falsi: software piratato, crack di giochi, tool gratuiti che includono il trojan
    • Aggiornamenti software contraffatti: notifiche false di aggiornamento di Flash Player, Java, codec video
    • Supply chain attack: compromissione del processo di build di software legittimo (SolarWinds, 2020)
    • Store non ufficiali: app Android fuori dal Play Store, estensioni browser non verificate

    Sottocategorie principali

    RAT — Remote Access Trojan: fornisce all’attaccante controllo remoto completo del sistema compromesso tramite un canale Command & Control (C2). Le capacità tipiche includono: shell remota, keylogging, screenshot, accesso a webcam e microfono, esplorazione del filesystem, escalation di privilegi, movement laterale. Esempi: DarkComet, njRAT, Cobalt Strike Beacon (usato sia in penetration testing legittimo sia da APT).

    Dropper / Downloader: un trojan di primo stadio la cui unica funzione è scaricare ed eseguire il payload principale (secondo stadio) dall’infrastruttura C2 dell’attaccante. Il dropper è piccolo, difficile da rilevare, e permette di cambiare il payload senza ridistribuire il dropper stesso. Il malware Emotet operava come dropper per payload come TrickBot e successivamente Conti ransomware.

    Banking Trojan: specializzato nell’intercettazione delle transazioni bancarie online tramite tecniche di web injection (modificare il contenuto della pagina bancaria nel browser della vittima) e form grabbing (catturare i dati dei form prima che vengano cifrati per la trasmissione). Zeus (2007–2010) è il progenitore: il suo codice sorgente, trafugato nel 2011, ha dato origine a decine di varianti (SpyEye, Citadel, GameOver Zeus).

    Spyware: raccoglie silenziosamente informazioni — keystroke, screenshot, credenziali salvate, cronologia web, documenti — e le trasmette all’attaccante. Il confine con i trojan RAT è sottile; la distinzione pratica è che lo spyware si limita alla sorveglianza passiva senza controllo attivo.

    Rilevamento ed evasione

    I trojan moderni usano tecniche avanzate per eludere il rilevamento: process injection (iniettano il codice in processi legittimi come explorer.exe), DLL sideloading (sostituiscono DLL legittime con versioni malevole), living off the land (usano PowerShell, WMI e certutil invece di file eseguibili propri), fileless execution (eseguono solo in memoria RAM senza toccare il disco). L’analisi comportamentale degli EDR è più efficace delle firme antivirus tradizionali per rilevare queste tecniche.

    Ultimo aggiornamento: