giovedì 30 settembre 2010

Zeus, il re del malware

Quasi non passa giorno che non ci siano novità circa le attività criminali connesse a Zeus (per una descrizione di come funziona il malware Zeus potete consultare l'interessante articolo di Matteo Flora). Ciò è in parte dovuto all'efficienza e alla sofisticazione degli attacchi che possono essere messi in pratica con Zeus e in parte è dovuto alla distribuzione su vasta scala nel mercato underground del tool kit per creare il malware e archiviare su un server i dati sottratti (ZeuS Builder e Zeus Server).

Negli ultimi giorni però c'è stato un picco di notizie.

Ieri, un ricercatore di sicurezza di Cisco Systems, ha raccontato a CNET che un gruppo criminale sta utilizzando false email di LinkedIn per indurre le persone a cliccare su link che portano all'installazione del Trojan Zeus. In particolare, questo evento sembra essere una delle campagne di infezione più estese di sempre in quanto il numero di messaggi riconducibili all'attacco è stato valutato nell'ordine dei miliardi. Le mail riferite all'attacco sembrano appunto provenire da LinkedIn e contengono un link per la conferma di un contatto. Tuttavia, il link non porta affatto a LinkedIn, ma indirizza una pagina Web dove viene visualizzato un messaggio che dice "Si prega di attendere .... 4 secondi" prima di essere reindirizzati su Google.
In quel breve lasso di tempo avviene l'attacco. In quella pagina c'è un JavaScript maligno nascosto in un iframe in grado di rilevare quale browser viene utilizzato e quali applicazioni sono in esecuzione e capisce se c'è una vulnerabilità che può essere sfruttata per caricare il malware Zeus sul sistema.

Proseguendo nelle notizie, troviamo che TrendMicro ha ricevuto delle segnalazioni in base alle quali alcune varianti di Zeus sono ora in grado di attaccare anche gli utenti delle banche che utilizzano un sistema di autenticazione a due fattori. La tecnica utilizzata prevede l'invio di una componente di malware sul telefono degli utenti in modo che vengano intercettate le credenziali inviate dalla banca. In questo modo i criminali ottengono tutte le informazioni necessarie per autenticarsi al sistema di home banking al posto dell'utente reale.

Non tutte le notizie sono però negative... Graham Cluley di Sophos ha pubblicato sul suo blog la notizia che 19 persone, di età compresa tra i 23 e i 47 anni, sono state arrestate dalla Metropolitan Police Central e-Crime Unit (PCeU) britannica, con l'accusa di aver rubato milioni di sterline da conti bancari on-line tramite l'installazione di malware riconducibile a Zeus, appunto. E la polizia non dispera di recuperare il bottino.

Insomma, qualche volta il crimine non paga...

Nessun commento:

Posta un commento

http://www.wikio.it