Nuovi Trojan di banche, ulteriori truffe in reti sociali e altri eventi del gennaio 2012

Transcript

1 Nuovi Trojan di banche, ulteriori truffe in reti sociali e altri eventi del gennaio 2012 il 1 febbraio 2012 L inizio dell anno bisestile non ha fatto brutte sorprese dal punto di vista della sicurezza informatica, però al laboratorio antivirale di Doctor Web nel gennaio del 2012 sono pervenuti alcuni campioni interessanti di programmi maligni, in particolare, qualche nuovo trojan di banche. Oltre a ciò, è stato scoperto un nuovo modo di diffusione dei collegamenti malevoli tra gli utenti dei motori di ricerca, nonché un altra truffa ideata per gli frequentatori della rete sociale V Kontakte. Minacce di virus in gennaio Tra i malware rilevati a gennaio sui computer degli utenti mediante l utilità di disinfezione Dr.Web CureIt!, il capoclassifica è l infezione di file Win32.Expiro.23 (19,23% casi rilevati). All avvio questo virus cerca di aumentare i suoi privilegi nel sistema, trova servizi in corso e infetta i file eseguibili che corrispondono ad essi. Poco meno diffuso è Win32.Rmnet.8 (8,86% casi rilevati) questo virus si infiltra sul computer dai supporti di memoria flash infettati oppure con l avvio di file eseguibili infetti e dispone della capacità di auto-riproduzione cioè può copiare sé stesso senza l intervento dell utente. Il codice dannoso infetta i file con l estensione.exe,.dll,.scr,.html,.htm, e in alcuni casi anche.doc e.xls, ed è in grado di creare sui supporti rimovibili il file autorun.inf. Immediatamente dopo il suo avvio Win32.Rmnet modifica il settore di avvio principale, registra il servizio di sistema Microsoft Windows Service (questo servizio può fungere da rootkit nel sistema operativo), cerca di eliminare il servizio RapportMgmtService, incorporando nel sistema alcuni moduli maligni che si manifestano nel Gestore di attività di Windows come quattro righe con il titolo iexplore.exe. Il virus di file Win32.Rmnet ruba password dei client ftp popolari, quali Ghisler, WS FTP, CuteFTP, FlashFXP, FileZilla e Bullet Proof FTP. Queste informazioni in seguito possono essere usate dai malintenzionati per organizzare attacchi di rete o per mettere sui server remoti diversi oggetti malevoli. Anche i cavalli di troia Trojan.WMALoader e Trojan.Inor si trovano spesso sui computer infettati degli utenti russi. Affari di finanza All inizio del gennaio ai professionisti della società Doctor Web è pervenuta una versione successiva di Trojan.PWS.Ibank che corrisponde alle tendenze attuali dell uso di servizi bancari via Internet. Questo malware consente ai malintenzionati di ricevere credenziali di accesso, chiavi e informazioni sulla configurazione di molti sistemi di banca online. Questa versione del trojan si distingue perché comprende una realizzazione di server VNC. Il codice del server supporta il protocollo di comunicazione con il server dedicato Zeus (Trojan.PWS.Panda), tramite il quale si effettua la sessione di gestione remota. Un altra particolarità importante di questo trojan è la presenza del modulo destinato a rintracciare ed intercettare le informazioni del software specializzato che è usato da uno delle istituzioni finanziarie statali della Russia. Questo trojan dispone di un architettura assai complessa e consente non solo di trasmettere ai malintenzionati i dati intercettati, ma anche di eseguire sulla macchina infettata diversi comandi impartiti dal server remoto, compreso il comando annientare il sistema operativo. La società Doctor Web ha inviato tempestivamente alla polizia le informazioni dettagliate sulla struttura e sul principio di operazione di questo programma malevole.

2 Nello stesso tempo sono stati registrati casi di propagazione di un altro malware, mediante il quale i malintenzionati volevano organizzare un assalto di phishing ai clienti di una banca russa. Quando si è infiltrato sul computer della vittima, Trojan.Hosts.5590 crea un processo nuovo explorer.exe e ci mette il suo codice, e poi si iscrive nella cartella di autoavvio con il nome Eldesoft.exe. Se per accedere al sito della banca viene utilizzato il browser Microsoft Internet Explorer, il cavallo di troia attiva la funzione standard crypt32.dll per installare il certificato contraffatto. Aggiungendo il certificato al magazzino di certificati, il sistema operativo di solito visualizza un avviso relativo, ma il cavallo di troia intercetta e nasconde dall utente la finestra dell avviso.

3 Se per l accesso al sito della banca si usa un altro browser, il cavallo di troia applica funzioni della libreria standard nss3.dll per installare il certificato contraffatto. Dopo essersi connesso al centro di comando remoto, Trojan.Hosts.5590 ne riceve un file di configurazione che contiene l indirizzo IP del server di phishing e i nomi dei domini che il troiano deve sostituire con i siti fraudolenti. In seguito, quando l utente vorrà accedere al sito di banca online mediante il protocollo HTTPS, gli verrà dimostrata una pagina web contraffatta, mentre i credenziali da lui immessi nel modulo di autorizzazione verranno consegnati ai malintenzionati. Grazie alle azioni tempestive e corrette del reparto sicurezza della banca e agli sforzi dei professionisti di Doctor Web, questo malware adesso non rappresenta nessuna minaccia seria per gli utenti. Trojan.Winlock in decrescenza Nel gennaio del 2012 è diminuito del 25% il numero di richieste inviate al supporto tecnico dagli utenti i cui computer sono stati bloccati dai programmi - bloccatori di Windows. Questo è così non solo perche la quantità dei programmi-ricattatori si è ridotto, ma anche perché è stato lanciato il nuovo portale che consente di trovare il codice giusto per sbloccare il computer infettato dal cavallo di troia appartenente alla famiglia Trojan.Winlock. Adesso le visite giornaliere su questo portale sono da tredici- a quindicimila. Tuttavia fra i programmi-ricattatori sono tali che non hanno un codice per sboccare il sistema operativo. Un cavallo di troia di questo tipo è Trojan.Winlock.5490, orientato agli utenti francesi. Questo malware si avvia solamente sui computer personali con la localizzazione francese del sistema operativo. Nel Trojan sono incorporate le funzioni di anti-aggiustamento: nel corso del caricamento il programma verifica se il suo processo sia stato avviato all interno delle macchine virtuali VirtualBox, QEmu, VMWare ecc., e se scoperta la presenza di una macchina virtuale, il programma cessa di funzionare.

4 Una volta penetrato nel computer della vittima, Trojan.Winlock.5490 avvia il processo svchost.exe e ci incorpora il proprio codice, dopo di che impartisce il comando di nascondere la Barra delle applicazioni di Windows e interrompe tutti i flussi dei processi explorer.exe e taskmgr.exe. Poi il cavallo di troia si inserisce nel ramo del registro di sistema responsabile dell autoavvio delle applicazioni e visualizza sullo schermo una finestra con un testo in lingua francese che pretende che l utente paghi 100 euro tramite le carte di pagamento dei sistemi di pagamento Paysafecard o Ukash. Il numero della carta di pagamento immesso dalla vittima viene spedito sul server remoto dei malintenzionati, e come risposta il Trojan mostra un messaggio che dice: Aspetti per favore! Il Suo pagamento sarà elaborato entro 24 ore. Questo troiano non ha alcune funzioni di sblocco del sistema operativo tramite un codice, ma esso rimuove sé stesso automaticamente una settimana dopo l installazione. Malintenzionati di nuovo mirano agli utenti di V Kontakte Questa volta i malintenzionati hanno mostrato interesse nei proprietari dei telefonini con supporto di Java, che usano la rete sociale V Kontakte. Dopo le feste del capodanno, sono diventati più frequenti i casi di ampia diffusione dello spam nei client di messaggistica istantanea con protocollo ICQ. I truffatori offrono agli utenti di scaricare un applicativo per telefonino che sarebbe un client per la rete sociale V Kontakte. Nei messaggi dello spam si dice che tramite questo programma sia possibile sfruttare le funzionalità della rete sociale con maggiore comodità.

5 Il programma è un file nel formato.jar che si può avviare su pressoché qualsiasi dispositivo mobile con supporto di Java. Come si poteva aspettare, nel corso di installazione l applicativo invia un SMS ad uno dei numeri a pagamento e chiede all utente di inserire il codice ricevuto con l SMS di risposta nel modulo apposito locato sul sito dei malintenzionati. In questo modo, l utente accetta di abbonarsi a un certo servizio, e come canone di abbonamento ogni mese sarà addebitata una somma sul suo conto di telefonia mobile. Pagine di risultati di motori di ricerca come modo di propagare collegamenti malevoli

6 I metodi che i malintenzionati di Internet usano per diffondere link ai malware o ai siti fraudolenti si perfezionano ogni mese. Si impiegano vari modi per nascondere il testo, metodi di ingegneria sociale e altri trucchi. In gennaio i malintenzionati hanno rivolto la loro attenzione alle pagine di risultati di ricerca generate dai motori di ricerca. Cercando le informazioni che gli servono, l utente spesso effettua più ricerche alla volta e apre nelle nuove schede o finestre del browser le pagine con i risultati di ricerca che contengono collegamenti trovati dal motore di ricerca. Le pagine dei risultati del motore di ricerca si chiamano con la locuzione inglese Search Engine Results Page abbreviata in SERP. I malintenzionati si sono fatti l abitudine di falsificare le pagine dei risultati di ricerca sperando che in subbuglio l utente non si accorga di una pagina SERP in più. Inoltre, la maggioranza degli utenti hanno più fiducia in pagine contenenti i risultati di un motore di ricerca che in una semplice lista di collegamenti. In alcuni casi i malintenzionati non disdegnano persino di falsificare interi motori di ricerca, come, ad esempio, hanno fatto i creatori del servizio pseudo motore di ricerca LiveTool, la cui interfaccia pressoché completamente copia l aspetto del motore di ricerca Yandex, e il suo collegamento L azienda conduce sul sito dei truffatori che imita una pagina del network sociale V Kontakte. La pagina SERP del motore di ricerca falsificato può aprirsi automaticamente mentre l utente usa un collegamento della pagina SERP del vero motore di ricerca. Di solito la pagina SERP creata dai malintenzionati contiene collegamenti rilevanti alla ricerca fatta dall utente, quindi a prima vista essa non suscita alcuni sospetti. Tuttavia l utilizzo dei collegamenti collocati su questa pagina può condurre la potenziale vittima sul sito fraudolento o sulla risorsa dei truffatori che diffonde malware. Al momento attuale, tra tali collegamenti sono stati rilevati siti contraffatti che imitano pagine di reti sociali, risorse che offrono servizi sospettibili a condizione di abbonamento falsificato e siti che propagano programmi della famiglia Trojan.SmsSend. Nel recente passato i malintenzionati creavano in massa copie dei siti delle reti sociali, ma la falsificazione di pagine SERP e persino di interi motori di ricerca è senz altro un fenomeno nuovo. File malevoli, rilevati in gennaio nel traffico di posta elettronica : :00 1 Trojan.DownLoad (28.66%) 2 Trojan.Oficla.zip (24.47%) 3 Trojan.Tenagour (12.45%)

7 4 Trojan.Inject (7.60%) 5 EICAR Test File (NOT a Virus!) (5.84%) 6 Trojan.DownLoad (3.91%) 7 Trojan.Tenagour (3.26%) 8 Trojan.Siggen (1.96%) 9 Trojan.Siggen (1.95%) 10 Win32.HLLM.Netsky (1.57%) 11 Trojan.DownLoad (1.30%) 12 Trojan.Packed (1.30%) 13 Trojan.DownLoader (0.76%) 14 Trojan.Siggen (0.73%) 15 Trojan.DownLoader (0.66%) 16 Trojan.DownLoader (0.65%) 17 Trojan.DownLoader (0.64%) 18 Trojan.DownLoader (0.62%) 19 Trojan.PWS.Panda (0.59%) 20 BackDoor.Bifrost (0.18%) Controllati in totale: 1,149,052,932 Infetti: 3,399,130 (0.30%) File malevoli, rilevati in gennaio nei computer degli utenti : :00 1 Win32.Rmnet (30.31%) 2 JS.Click (18.54%) 3 JS.IFrame (10.53%) 4 Win32.HLLP.Neshta (10.25%) 5 JS.IFrame (4.73%) 6 JS.IFrame (4.19%) 7 Trojan.IFrameClick (3.44%) 8 Win32.Virut (3.38%) 9 Trojan.MulDrop (2.46%) 10 Trojan.Hosts (1.73%) 11 Trojan.DownLoader (1.15%) 12 Trojan.PWS.Ibank (0.71%)

8 13 Win32.HLLP.Whboy (0.53%) 14 Trojan.DownLoader (0.43%) 15 JS.IFrame (0.40%) 16 Trojan.Packed (0.40%) 17 Trojan.PWS.Ibank (0.35%) 18 Trojan.DownLoader (0.28%) 19 Win32.Virut (0.28%) 20 JS.Autoruner (0.27%) Controllati in totale: 114,007,715,914 Infetti: 79,017,655 (0.07%)