Occhio al trojan ruba-password

L'Internet Storm Center avvisa dell'esistenza di un nuovo cavallo di Troia che può minacciare la privacy e il portafogli di chi utilizza servizi di on-line banking. I dettagli


Bethesda (USA) – Nelle cronache sulla sicurezza dell’ultimo periodo i worm hanno ceduto la prima pagina ad alcune minacce che, pur utilizzando strumenti di attacco tradizionali, appaiono più mirate e sofisticate. È il caso del recente attacco Download.Ject o, ancor prima, dell’ adware “abusivo” , ed è ancora il caso di un nuovo codice malevolo progettato per rubare numeri di carte di credito, password ed altri dati usati dagli utenti per accedere a siti finanziari e compiere operazioni bancarie.

Quest’ultimo attacco, scoperto e analizzato dall’ Internet Storm Center del SANS Institute, fa uso di un cavallo di Troia che, mascherato da immagine GIF (“img1big.gif”), è veicolato da alcuni pop-up pubblicitari: quando un utente di Internet Explorer visita una pagina Web contenente tale pubblicità, il codice malevolo tenta di sfruttare una nota vulnerabilità del browser di Microsoft, corretta lo scorso aprile, per penetrare sul PC della vittima e installarvi un keylogger , ovvero un programma per registrare i tasti battuti dall’utente. Il programma si attiva quando l’utente accede ad alcuni siti finanziari e bancari: il trojan provvede poi a inviare i dati così raccolti ad un indirizzo Web registrato in Estonia, attualmente irraggiungibile.

Anche quest’ultima minaccia, come le due citate inizialmente, interessa gli utenti di Internet Explorer, quelli che non hanno provveduto ad installare le ultime patch di sicurezza per Windows. L’altra caratteristica in comune con i recenti attacchi è che i PC vengono compromessi nell’istante in cui l’utente visita certi siti Web : questi siti, in genere noti, vengono trasformati in “untori” da uno o più cracker: a differenza di un worm, l’attacco non viene dunque affidato unicamente ad un software capace di proliferare in modo autonomo, ma si basa anche su tecniche di aggressione manuali o semiautomatizzate.

Una volta compromessi alcuni siti chiave, il codice malevolo – sia esso un comune virus, un cavallo di Troia, un bot, uno spyware o che altro – può rapidamente diffondersi su centinaia o migliaia di computer. Sebbene questo metodo sia poco adatto per generare delle epidemie di ampie proporzioni – in genere sono sufficienti poche ore per individuare e fermare la fonte del contagio – i cracker possono effettuare attacchi più complessi e far leva sulla fiducia che gli utenti nutrono verso siti a loro noti.

Nel caso del nuovo attacco, ai cracker è bastato penetrare sul sito che gestiva la pubblicità di un considerevole numero di risorse Web per diffondere in brevissimo tempo il proprio codice verso centinaia, forse migliaia di PC. Ma l’aspetto più interessante di questo cavallo di Troia è che il componente spyware non è costituito da un programma eseguibile, che una volta lanciato sarebbe visibile nella lista dei processi attivi, ma da un cosiddetto Browser Help Object (BHO): si tratta di una sorta di plug-in che, sotto forma di DLL, consente agli sviluppatori di personalizzare e controllare il funzionamento di Internet Explorer. I BHO sono molto utilizzati da portali e società di advertising per installare sui PC, talvolta con mezzi poco leciti, toolbar di ricerca o altri moduli che veicolano pubblicità o tracciano le abitudini dell’utente. Alcuni BHO particolarmente aggressivi cambiano l’home page di IE e visualizzano ad intervalli regolari finestre pop-up con pubblicità di vario genere, talvolta anche porno. Secondo il SANS, tuttavia, questa è la prima volta che tale “feature” viene utilizzata per mettere in piedi una vera e propria frode on-line .

Il BHO spione analizzato dal SANS è programmato per monitorare le connessioni sicure HTTPS (SSL) verso una cinquantina di istituti finanziari e banche di tutto il mondo e loggare i dati POST/GET inviati dal browser dell’utente prima che questi vengano criptati dal protocollo SSL. Dato che il plug-in si attiva solo quando necessario, il cracker “in ascolto” riceve solo informazioni pertinenti ai propri scopi criminali.

“Credo che questo particolare tipo di malware rappresenti una grande minaccia all’industria della finanza on-line”, ha commentato Tom Liston, l’esperto di sicurezza che per primo ha pubblicato un’ analisi approfondita dell’attacco scoperto dal SANS. “Come dimostrato dalla proliferazione di adware e spyware, installare un file eseguibile sulla macchina di un utente è fin troppo facile. L’idea di usare un BHO rende questo tipo di attacchi ancora più insidioso”.

Per minimizzare il rischio di incorrere in questo genere di furti, Microsoft ha raccomandato gli utenti di installare tutte le ultime patch di sicurezza per Windows e IE. Diversi esperti, incluso il CERT, suggeriscono qualcosa di ancora più drastico: utilizzare un browser alternativo

Update (ore 14,00): il cavallo di Troia è stato battezzato da diverse case di antivirus “Bankhook”.

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • Anonimo scrive:
    Re: CANADA: Uno stato di diritto....
    L' ISP non è perseguibile a meno che non comunichi alle forze di polizie le informazioni richieste su mandato di un giudice.
  • Anonimo scrive:
    Re: Ovvio...
    Il p2p in se non è illegale è l'utente che sceglie cosa mettere in condivisione l'isp è solo un prestatore di servizi.Sarebbe come accusare la posta di attività sovversiva perchè due estremisti si mandano lettere a vicenda.
  • Anonimo scrive:
    Re: CANADA: Uno stato di diritto....
    - Scritto da: Anonimo
    Non lo cancellano....
    altrimenti dove prendono i soldi per far
    quadrare il bilancio e per costruire il
    tunnel (o non si sa che cosa) a "villa
    certosa" in sardegna sul quale è
    stato posto il segreto di stato? :|Certo, dopo la Batcaverna c'è la Berluscaverna!!!A quando la Berluscmobile????:D:D:D:D:D:D:D:D:D:D:D:D:DMa chi fa la parte di Robin??????E quella del Joker???????:s:s:s:s:s:s:s:s:s:s:s:s:s:s:s:s:s
  • CioDu scrive:
    Re: CANADA: Uno stato di diritto....
    - Scritto da: Anonimo
    Altro che Urbani & Co.

    A proposito, lo cancellano o no sto decreto
    del malanno, in attesa di cancellare pure
    loro alle prossime politiche??

    :@per mettere chi al posto loro? la sinistra che il decreto urbani lo ha appoggiato?
  • yenaplyskyn scrive:
    Re: CANADA: Uno stato di diritto....
    ..la stessa cosa...IN che senso?
  • Anonimo scrive:
    Re: CANADA: Uno stato di diritto....

    guarda che anche i bambocci del triciclo
    hanno i loro scheletri nell'armadio....
    nessuno è innocente.OK allora scegliamone uno con un armadio più piccolo!!
  • Anonimo scrive:
    Re: Ovvio...
    - Scritto da: Anonimo
    Per la precisione negli States se
    l'incidente stradale è causato da una
    cattiva progettazione del veicolo ne
    risponde la casa automobilistica che l'ha
    costruito.
    In Italia non saprei ma penso di si, io
    avevo una Fiat 600 e qlc anno fa ricevetti
    una chiamata di urgenza da parte loro per
    far mettere una fascia a dei fili che
    potevano essere tagliati se nn legati.
    Dubito che se poi non potessero essere stati
    ritenuti perseguibili non mi avrebbero
    chiamato e messo a posto il problema a
    gratis.
    Comunque sul concetto di fondo sono
    d'accordo, volevo solo essere pignolo :ptutto vero, ma il p2p non è causato da un difetto degli ISP...
  • Anonimo scrive:
    Re: CANADA: Uno stato di diritto....
    guarda che anche i bambocci del triciclo hanno i loro scheletri nell'armadio.... nessuno è innocente.
  • Anonimo scrive:
    Re: Ovvio...
    Per la precisione negli States se l'incidente stradale è causato da una cattiva progettazione del veicolo ne risponde la casa automobilistica che l'ha costruito. In Italia non saprei ma penso di si, io avevo una Fiat 600 e qlc anno fa ricevetti una chiamata di urgenza da parte loro per far mettere una fascia a dei fili che potevano essere tagliati se nn legati. Dubito che se poi non potessero essere stati ritenuti perseguibili non mi avrebbero chiamato e messo a posto il problema a gratis. Comunque sul concetto di fondo sono d'accordo, volevo solo essere pignolo :p
  • Anonimo scrive:
    Re: CANADA: Uno stato di diritto....
    Non lo cancellano....altrimenti dove prendono i soldi per far quadrare il bilancio e per costruire il tunnel (o non si sa che cosa) a "villa certosa" in sardegna sul quale è stato posto il segreto di stato? :|
  • Anonimo scrive:
    Re: CANADA: Uno stato di diritto....
    - Scritto da: Anonimo
    Altro che Urbani & Co.

    A proposito, lo cancellano o no sto decreto
    del malanno, in attesa di cancellare pure
    loro alle prossime politiche??
    Secondo me non cancellano niente: l'italia è solo un paese dove l'unico sentimento nazionale dovrebbe essere la vergogna. I nostri politici da strapazzo sotto l'egida di "FORCA ITALIA" stanno massacrando quel poco che rimaneva di decente in questa nazione, e c'è persino un 20% di babbei che li ha votati.
  • Anonimo scrive:
    Re: CANADA: Uno stato di diritto....
    - Scritto da: Anonimo
    Altro che Urbani & Co.

    A proposito, lo cancellano o no sto decreto
    del malanno, in attesa di cancellare pure
    loro alle prossime politiche??

    :@Maffigurati. Con un presidente nano del consiglio che mente sulle tasse, figurati se i suoi loschi figuri sono sinceri!!!!!
  • Anonimo scrive:
    Ovvio...
    Mi sembra ragionevole, del resto accadono degli incidenti stradali eppure nessuno chiede il conto alle case automobilistiche...in Italia sarebbe accaduta la stessa cosa? secondo me no.
  • Anonimo scrive:
    Re: P2P: Nessun calo nel mondo
    Sandvine was able to measure the changing patterns of file sharing directly because it already provides hundreds of internet service providers in the US, Europe and Asia with technology that allows them to monitor the type data travelling across their networks.The company's hardware monitors passing "packets" of data and determines what type of information they are carrying. This is done by a process known as "deep packet analysis", which looks beyond the packet's header to find identifying characteristics.This reveals whether a packet is part of an email, a web page or a file-sharing transfer - and, in the latter case, which network the file was shared over.Detta così è un'attività del tutto illegale,nessun isp potrebbe violare la privacy degli utenti in questo modo e farla franca. Mi sembra la solita compagnia che strizza l'occhio alle major perchè comprino la loro tecnologia nella speranza di poter monitorare tutto e tutti .Se lo fa uno Stato anche meglio,tanti soldini che arrivano in cassa.
  • Anonimo scrive:
    Re: CANADA: Uno stato di diritto....
    Guarda che da noi avrebbero fatto la stessa cosa.
  • Anonimo scrive:
    Re: P2P: Nessun calo nel mondo
    Io direi... ispirandomi ad un post sotto...ciapa' su... :D:D:D
  • TPK scrive:
    P2P: Nessun calo nel mondo
    http://www.newscientist.com/news/news.jsp?id=ns99995045 Riassuntino:Leggero calo in USA, aumento in Europa.Passaggio negli USA da Kazaa ad eDonkey.Pencentuale di traffico dato dal p2p:USA: 65%EU: 80%==================================Modificato dall'autore il 01/07/2004 0.44.33
  • Anonimo scrive:
    Ahahahah
    Fatto bene, lamers.
  • Anonimo scrive:
    CANADA: Uno stato di diritto....
    Altro che Urbani & Co.A proposito, lo cancellano o no sto decreto del malanno, in attesa di cancellare pure loro alle prossime politiche??:@
Chiudi i commenti