Nuovi Trojan di banche, ulteriori truffe in reti sociali e altri - s

Nuovi Trojan di banche, ulteriori truffe in reti sociali e altri eventi del gennaio 2012
il 1° febbraio 2012
L’inizio dell’anno bisestile non ha fatto brutte sorprese dal punto di vista della sicurezza
informatica, però al laboratorio antivirale di “Doctor Web” nel gennaio del 2012 sono
pervenuti alcuni campioni interessanti di programmi maligni, in particolare, qualche
nuovo trojan di banche. Oltre a ciò, è stato scoperto un nuovo modo di diffusione dei
collegamenti malevoli tra gli utenti dei motori di ricerca, nonché un’altra truffa ideata per
gli frequentatori della rete sociale “V Kontakte”.
Minacce di virus in gennaio
Tra i malware rilevati a gennaio sui computer degli utenti mediante l’utilità di disinfezione
Dr.Web CureIt!, il capoclassifica è l’infezione di file Win32.Expiro.23 (19,23% casi rilevati).
All’avvio questo virus cerca di aumentare i suoi privilegi nel sistema, trova servizi in corso e
infetta i file eseguibili che corrispondono ad essi.
Poco meno diffuso è Win32.Rmnet.8 (8,86% casi rilevati) — questo virus si infiltra sul
computer dai supporti di memoria flash infettati oppure con l’avvio di file eseguibili infetti e
dispone della capacità di auto-riproduzione — cioè può copiare sé stesso senza l’intervento
dell’utente. Il codice dannoso infetta i file con l’estensione .exe, .dll, .scr, .html, .htm, e in alcuni
casi anche .doc e .xls, ed è in grado di creare sui supporti rimovibili il file autorun.inf.
Immediatamente dopo il suo avvio Win32.Rmnet modifica il settore di avvio principale, registra
il servizio di sistema Microsoft Windows Service (questo servizio può fungere da rootkit nel
sistema operativo), cerca di eliminare il servizio RapportMgmtService, incorporando nel sistema
alcuni moduli maligni che si manifestano nel Gestore di attività di Windows come quattro righe
con il titolo iexplore.exe. Il virus di file Win32.Rmnet ruba password dei client ftp popolari,
quali Ghisler, WS FTP, CuteFTP, FlashFXP, FileZilla e Bullet Proof FTP. Queste informazioni
in seguito possono essere usate dai malintenzionati per organizzare attacchi di rete o per mettere
sui server remoti diversi oggetti malevoli. Anche i cavalli di troia
Trojan.WMALoader e Trojan.Inor si trovano spesso sui computer infettati degli utenti russi.
Affari di finanza
All’inizio del gennaio ai professionisti della società “Doctor Web” è pervenuta una versione
successiva di Trojan.PWS.Ibank che corrisponde alle tendenze attuali dell’uso di servizi
bancari via Internet. Questo malware consente ai malintenzionati di ricevere credenziali di
accesso, chiavi e informazioni sulla configurazione di molti sistemi di banca online. Questa
versione del trojan si distingue perché comprende una realizzazione di server VNC. Il codice del
server supporta il protocollo di comunicazione con il server dedicato Zeus
(Trojan.PWS.Panda), tramite il quale si effettua la sessione di gestione remota. Un’altra
particolarità importante di questo trojan è la presenza del modulo destinato a rintracciare ed
intercettare le informazioni del software specializzato che è usato da uno delle istituzioni
finanziarie statali della Russia. Questo trojan dispone di un’architettura assai complessa e
consente non solo di trasmettere ai malintenzionati i dati intercettati, ma anche di eseguire sulla
macchina infettata diversi comandi impartiti dal server remoto, compreso il comando annientare
il sistema operativo. La società “Doctor Web” ha inviato tempestivamente alla polizia le
informazioni dettagliate sulla struttura e sul principio di operazione di questo programma
malevole.
Nello stesso tempo sono stati registrati casi di propagazione di un altro malware, mediante il
quale i malintenzionati volevano organizzare un assalto di phishing ai clienti di una banca russa.
Quando si è infiltrato sul computer della vittima, Trojan.Hosts.5590 crea un processo nuovo
explorer.exe e ci mette il suo codice, e poi si iscrive nella cartella di autoavvio con il nome
Eldesoft.exe.
Se per accedere al sito della banca viene utilizzato il browser Microsoft Internet Explorer, il
cavallo di troia attiva la funzione standard crypt32.dll per installare il certificato contraffatto.
Aggiungendo il certificato al magazzino di certificati, il sistema operativo di solito visualizza un
avviso relativo, ma il cavallo di troia intercetta e nasconde dall’utente la finestra dell’avviso.
Se per l’accesso al sito della banca si usa un altro browser, il cavallo di troia applica funzioni
della libreria standard nss3.dll per installare il certificato contraffatto. Dopo essersi connesso al
centro di comando remoto, Trojan.Hosts.5590 ne riceve un file di configurazione che contiene
l’indirizzo IP del server di phishing e i nomi dei domini che il troiano deve sostituire con i siti
fraudolenti. In seguito, quando l’utente vorrà accedere al sito di banca online mediante il
protocollo HTTPS, gli verrà dimostrata una pagina web contraffatta, mentre i credenziali da lui
immessi nel modulo di autorizzazione verranno consegnati ai malintenzionati. Grazie alle azioni
tempestive e corrette del reparto sicurezza della banca e agli sforzi dei professionisti di “Doctor
Web”, questo malware adesso non rappresenta nessuna minaccia seria per gli utenti.
Trojan.Winlock in decrescenza
Nel gennaio del 2012 è diminuito del 25% il numero di richieste inviate al supporto tecnico dagli
utenti i cui computer sono stati bloccati dai programmi - bloccatori di Windows.
Questo è così non solo perche la quantità dei programmi-ricattatori si è ridotto, ma anche perché
è stato lanciato il nuovo portale https://www.drweb.com/xperf/unlocker che consente di
trovare il codice giusto per sbloccare il computer infettato dal cavallo di troia appartenente alla
famiglia Trojan.Winlock. Adesso le visite giornaliere su questo portale sono da tredici- a
quindicimila.
Tuttavia fra i programmi-ricattatori sono tali che non hanno un codice per sboccare il sistema
operativo. Un cavallo di troia di questo tipo è Trojan.Winlock.5490, orientato agli utenti
francesi. Questo malware si avvia solamente sui computer personali con la localizzazione
francese del sistema operativo. Nel Trojan sono incorporate le funzioni di anti-aggiustamento:
nel corso del caricamento il programma verifica se il suo processo sia stato avviato all’interno
delle macchine virtuali VirtualBox, QEmu, VMWare ecc., e se scoperta la presenza di una
macchina virtuale, il programma cessa di funzionare.
Una volta penetrato nel computer della vittima, Trojan.Winlock.5490 avvia il processo
svchost.exe e ci incorpora il proprio codice, dopo di che impartisce il comando di nascondere la
Barra delle applicazioni di Windows e interrompe tutti i flussi dei processi explorer.exe e
taskmgr.exe. Poi il cavallo di troia si inserisce nel ramo del registro di sistema responsabile
dell’autoavvio delle applicazioni e visualizza sullo schermo una finestra con un testo in lingua
francese che pretende che l’utente paghi 100 euro tramite le carte di pagamento dei sistemi di
pagamento Paysafecard o Ukash. Il numero della carta di pagamento immesso dalla vittima
viene spedito sul server remoto dei malintenzionati, e come risposta il Trojan mostra un
messaggio che dice: “Aspetti per favore! Il Suo pagamento sarà elaborato entro 24 ore”. Questo
troiano non ha alcune funzioni di sblocco del sistema operativo tramite un codice, ma esso
rimuove sé stesso automaticamente una settimana dopo l’installazione.
Malintenzionati di nuovo mirano agli utenti di “V Kontakte”
Questa volta i malintenzionati hanno mostrato interesse nei proprietari dei telefonini con
supporto di Java, che usano la rete sociale “V Kontakte”. Dopo le feste del capodanno, sono
diventati più frequenti i casi di ampia diffusione dello spam nei client di messaggistica istantanea
con protocollo ICQ. I truffatori offrono agli utenti di scaricare un applicativo per telefonino che
sarebbe un client per la rete sociale “V Kontakte”. Nei messaggi dello spam si dice che tramite
questo programma sia possibile sfruttare le funzionalità della rete sociale con maggiore
comodità.
Il programma è un file nel formato .jar che si può avviare su pressoché qualsiasi dispositivo
mobile con supporto di Java. Come si poteva aspettare, nel corso di installazione l’applicativo
invia un SMS ad uno dei numeri a pagamento e chiede all’utente di inserire il codice ricevuto
con l’SMS di risposta nel modulo apposito locato sul sito dei malintenzionati. In questo modo,
l’utente accetta di abbonarsi a un certo servizio, e come canone di abbonamento ogni mese sarà
addebitata una somma sul suo conto di telefonia mobile.
Pagine di risultati di motori di ricerca come modo di propagare collegamenti malevoli
I metodi che i malintenzionati di Internet usano per diffondere link ai malware o ai siti
fraudolenti si perfezionano ogni mese. Si impiegano vari modi per nascondere il testo, metodi di
ingegneria sociale e altri trucchi. In gennaio i malintenzionati hanno rivolto la loro attenzione
alle pagine di risultati di ricerca generate dai motori di ricerca.
Cercando le informazioni che gli servono, l’utente spesso effettua più ricerche alla volta e apre
nelle nuove schede o finestre del browser le pagine con i risultati di ricerca che contengono
collegamenti trovati dal motore di ricerca. Le pagine dei risultati del motore di ricerca si
chiamano con la locuzione inglese “Search Engine Results Page” abbreviata in “SERP”. I
malintenzionati si sono fatti l’abitudine di falsificare le pagine dei risultati di ricerca sperando
che in subbuglio l’utente non si accorga di una pagina SERP in più. Inoltre, la maggioranza degli
utenti hanno più fiducia in pagine contenenti i risultati di un motore di ricerca che in una
semplice lista di collegamenti. In alcuni casi i malintenzionati non disdegnano persino di
falsificare interi motori di ricerca, come, ad esempio, hanno fatto i creatori del servizio pseudo
motore di ricerca LiveTool, la cui interfaccia pressoché completamente copia l’aspetto del
motore di ricerca “Yandex”, e il suo collegamento “L’azienda” conduce sul sito dei truffatori che
imita una pagina del network sociale “V Kontakte”.
La pagina SERP del motore di ricerca falsificato può aprirsi automaticamente mentre l’utente usa
un collegamento della pagina SERP del vero motore di ricerca. Di solito la pagina SERP creata
dai malintenzionati contiene collegamenti rilevanti alla ricerca fatta dall’utente, quindi a prima
vista essa non suscita alcuni sospetti. Tuttavia l’utilizzo dei collegamenti collocati su questa
pagina può condurre la potenziale vittima sul sito fraudolento o sulla risorsa dei truffatori che
diffonde malware. Al momento attuale, tra tali collegamenti sono stati rilevati siti contraffatti che
imitano pagine di reti sociali, risorse che offrono servizi sospettibili a condizione di
abbonamento falsificato e siti che propagano programmi della famiglia Trojan.SmsSend.
Nel recente passato i malintenzionati creavano in massa copie dei siti delle reti sociali, ma la
falsificazione di pagine SERP e persino di interi motori di ricerca è senz’altro un fenomeno
nuovo.
File malevoli, rilevati in gennaio nel traffico di posta elettronica
01.01.2012 00:00 - 31.01.2012 18:00
1
Trojan.DownLoad2.24758
974126 (28.66%)
2
Trojan.Oficla.zip
831616 (24.47%)
3
Trojan.Tenagour.9
423106 (12.45%)
4
Trojan.Inject.57506
258383 (7.60%)
5
EICAR Test File (NOT a Virus!)
198666 (5.84%)
6
Trojan.DownLoad2.32643
132938 (3.91%)
7
Trojan.Tenagour.3
110835 (3.26%)
8
Trojan.Siggen2.58686
66624 (1.96%)
9
Trojan.Siggen2.62026
66398 (1.95%)
10 Win32.HLLM.Netsky.18516
53409 (1.57%)
11 Trojan.DownLoad2.34604
44053 (1.30%)
12 Trojan.Packed.19696
44038 (1.30%)
13 Trojan.DownLoader5.26458
25809 (0.76%)
14 Trojan.Siggen.65070
24806 (0.73%)
15 Trojan.DownLoader4.5890
22291 (0.66%)
16 Trojan.DownLoader4.31404
22145 (0.65%)
17 Trojan.DownLoader5.886
21686 (0.64%)
18 Trojan.DownLoader4.61182
21133 (0.62%)
19 Trojan.PWS.Panda.1513
20104 (0.59%)
20 BackDoor.Bifrost.23284
6113 (0.18%)
Controllati in totale: 1,149,052,932
Infetti: 3,399,130 (0.30%)
File malevoli, rilevati in gennaio nei computer degli utenti
01.01.2012 00:00 - 31.01.2012 18:00
1
Win32.Rmnet.12
23948173 (30.31%)
2
JS.Click.218
14651677 (18.54%)
3
JS.IFrame.117
8323572 (10.53%)
4
Win32.HLLP.Neshta
8098226 (10.25%)
5
JS.IFrame.112
3734140 (4.73%)
6
JS.IFrame.95
3312785 (4.19%)
7
Trojan.IFrameClick.3
2716412 (3.44%)
8
Win32.Virut
2672403 (3.38%)
9
Trojan.MulDrop1.48542
1946447 (2.46%)
10 Trojan.Hosts.5006
1369212 (1.73%)
11 Trojan.DownLoader.17772
906094 (1.15%)
12 Trojan.PWS.Ibank.474
562056 (0.71%)
13 Win32.HLLP.Whboy.45
415298 (0.53%)
14 Trojan.DownLoader5.18057
339809 (0.43%)
15 JS.IFrame.176
319449 (0.40%)
16 Trojan.Packed.22271
318517 (0.40%)
17 Trojan.PWS.Ibank.456
280158 (0.35%)
18 Trojan.DownLoader.42350
221567 (0.28%)
19 Win32.Virut.56
218322 (0.28%)
20 JS.Autoruner
213647 (0.27%)
Controllati in totale: 114,007,715,914
Infetti: 79,017,655 (0.07%)