| Attenzione al "Gozi Trojan" |
|
|
|
 Secondo l'azienda di sicurezza SecureWorks, bisogna prestare molta attenzione ad una nuova minaccia: si tratta di un codice trojan molto sofisticato che tenterebbe di rubare i certificati utente e altri dati identificativi delle macchine Windows, tutto ciò sfruttando una vulnerabilità di Internet Explorer, ed inviando i dati ad alcuni indirizzi IP localizzati in Russia. Secondo l'analisi effettuata da questa società, questo malware chiamato "Gozi Trojan", ruberebbe i dati che normalmente vengono considerati sicuri perchè criptati via SSL/TLS. Analizzando questo malware con 30 prodotti antivirus, questo non veniva rilevato in maniera specifica da nessuno di essi, anche se veniva indicato come file sospetto o minaccia generica. I risultati sarebbero questi: Agent.AAV (AntiVir, Sunbelt) o Agent.BB (Microsoft), Pinch.B (BitDefender), Small.BS (VBA32, TheHacker, Ewido, eSafe, Fortinet, Kaspersky), altre varianti Small (VirusBuster, UNA), Ursnif.AG (eTrust VET). Altri sette vendor hanno rilevato sempre una minaccia generica. Bisogna evidenziare che 5 antivirus vendor non riportavano alcun pericolo nel file analizzato, e non rilevavano neanche l'uso del packer per l'eseguibile. In generale nessuno di questi rilevamenti da parte dei prodotti di sicurezza garantisce la rimozione completa dell'infezione dal PC affetto, evidenzia Secure Works. (vista la completezza e il dettaglio dell'articolo, si riprende pari passo questo stralcio da Twekness.net "Dal punto di vista funzionale il trojan è simile ad un altro codice precedente, chiamato Sinowal, ma contrariamente a quest'ultimo Gozi si focalizza sulle richieste http POST (in maniera simile, a livello di codice, ai malware Ursnif e Snifula). Gozi sfrutta dei meccanismi comuni per infettare un PC vittima: nasconde codice JavaScript in un frame integrato in una pagina (IFRAME) che ne contiene a sua volta un'altra, ed esegue un file (via XMLHTTP e ADODB) per modificare i registri di avvio del sistema e insediarsi nel PC. Bisogna tuttavia notare che le chiavi di registro che avviano il codice malware non sono "visibili" dal sistema in modalità normale, in virtù della capacità rootkit integrate nel codice malware. Gozi sfrutta una chiave di registro come tramite per trasferire dati tra il sistema infetto e gli indirizzi IP di contatto. Il Trojan tenta anche di eseguire l'accesso ai server di una banca californiana, inizialmente usando dati fasulli, in una sequenza che sembra volere determinare i protocolli usati dalla banca. Secondo Secure Works, il malware sfrutta queste informazioni per apparire come un "layered service provider", nel tentativo di eludere la crittazione SSL. Secondo l'analisi di Secure Works almeno 5,200 utenti home PC sono stati infettati con Gozi, e le informazioni di 10,000 account sono state compromesse e rubate da oltre 300 organizzazioni tramite le infezioni. Queste informazioni rubate includono dati bancari, numeri di pagamento, e di social security, e molte altre informazioni personali. Secondo l'azienda di sicurezza il malware è attualmente venduto nel mercato underground insieme ad altri kit malware ad un prezzo che va dai $500 ai $2.000. Finora, a quanto pare, il server principale del Trojan è ancora online e funzionante. Anche l'US-CERT ha diramato giorni fa un allerta per questa minaccia, senza tuttavia essere in grado di offrire agli utenti consigli specifici per proteggere se stessi e le proprie aziende da questo o da simili attacchi." Realizzato da Gemini |Direttore News|
|
Nessun commento postato
mXcomment 1.0.8 © 2007-2008 - visualclinic.fr
License Creative Commons - Some rights reserved
| < Precedente | Successivo > |
|---|
