Vediamo qualche dettaglio su una delle piu' antiche famiglie di malware, conosciuta come Zeus / Zbot / Wnspoem e specializzata nel furto di dati personali sensibili come le credenziali per i servizi online (conti eBanking, password di accesso Facebook e altri servizi on-line)
Il malware trojan Zeus (noto anche come Zbot e WSNPoem) e' generato tramite l'utilizzo di un kit crimeware, distribuito gia' dal 2008 (del costo di circa $ 700) che permette di crearne il codice, senza avere particolare competenze.
La RSA Anti-Fraud Command Center aveva gia' rilevato durante i primi mesi del 2008, oltre 150 diversi utilizzi del kit di Zeus, in grado ognuno di infettare in media circa 4.000 diversi computer al giorno.
Vediamo il funzionamento a grandi linee del malware:
Di solito, tramite mail di spam, alla vittima viene proposta la visita di un falso sito di phishing.
Tuttavia, anche se chi visita il sito non fornisce le credenziali di accesso relative al servizio proposto dalla falsa pagina, la cosa e' irrilevante (molti utenti infatti cliccano sul sul link di phishing, ma compilano i campi del login con informazioni casuali ) perche' comunque c'e' il tentativo di infettare il PC del visitatore con un software trojan.
Questo e' fatto tramite una tecnica chiamata "infezione drive-by ", in cui viene sfruttata una vulnerabilita' presente sul computer (sistema operativo, browser o un software vulnerabile)
Come in molti casi di attacchi tramite exploits le vulnerabilita' sfruttate in queste situazioni sono ,a volte sconosciute ai fornitori del software colpito, ma comunque anche se vene rilasciata un patch od una nuova versione del software, molto spesso chi lo usa non ha provveduto all'aggiornamento.
La particolarita' di questo tipo di infezione e' che il codice malware viene hostato su siti che a loro insaputa sono diventati parte delle botnet Zeus e che si trovano diffusi in parecchie nazioni , Italia compresa.
Tramite il sito di tracker https://zeustracker.abuse.ch/ e' possibile consultare una aggiornata mappa ed i dettagli dei singoli host compromessi che ospitano sia il file eseguibile malware che gli altri files facenti parte del sistema zeus botnet
Esaminiamo ad esempio il file eseguibile contenuto su host compromesso italiano
ecco i dettagli
che dimostra essere ben riconosciuto da VT 
e questo anche perche' si tratta di eseguibile probabilmente da lungo tempo su questo sito che presenta la homepage "in costruzione".Cosa diversa e' se ad esempio andiamo ad analizzare un eseguibile recente, ad esempio su, questo server
L'analisi VT dimostra infatti lo scarso riconoscimento del trojan il cui eseguibile evidentemente e' stato aggiornato “recentemente”
Gia' dalle prime versioni il kit generatore di file binari malware aveva notevoli caratteristiche quali ad esempio quella di creare un nuovo file binario sempre radicalmente diverso dai precedenti rendendo notoriamente difficile per l'antivirus o software di sicurezza riconoscere la minaccia quando si utilizzano per l'identificazione firme malware.Il Trojan Zeus oltre a catturare quanto digitano nel browser, ha diverse funzionalita' avanzate, come la capacita' di catturare uno screenshot della macchina della vittima, la possibilita' di controllo da remoto, ed anche la ricerca delle password che sono state archiviate sulla macchina( es. quando si clicca sull'opzione proposta dal browser "Ricorda la password")... ecc... .
Recentemente poi, e' comparsa una nuova variante con alcune novita'.
Il primo cambiamento significativo ' il nome del file eseguibile e anche il sistema usato per crittografare il contenuti del file di configurazione presente sul server e' cambiato
Infatti adesso viene utilizzato un algoritmo di cifratura che associa il file di configurazione con il file binario presente sul server colpito, cosa che rende piu' complicata l'analisi del malware e dei suoi contenuti.
Edgar
fonti consultate:
https://zeustracker.abuse.ch/index.php
http://rsa.com/blog/blog_entry.aspx?id=1274
http://evilfingers.blogspot.com/2009/02/zeus-botnets-mass-propagation-of-trojan.html
Nessun commento:
Posta un commento