Cybercrime, numeri record per il rootkit da MBR

La gang dietro una delle minacce informatiche più pericolose degli ultimi anni ha collezionato centinaia di migliaia di carte di credito e credenziali di accesso bancarie. E le nuove varianti del malware spuntano come funghi
La gang dietro una delle minacce informatiche più pericolose degli ultimi anni ha collezionato centinaia di migliaia di carte di credito e credenziali di accesso bancarie. E le nuove varianti del malware spuntano come funghi

Una volta si chiamavano virus multi-partito o da Master Boot Record , e non facevano molto più che generare hype sconsiderato sui telegiornali di prima serata. Oggi le varie genìe di malware sono diventate strumento di business e crimine informatico, un’attività con gli indici costantemente in crescita che sfrutta anche, come nel caso del rootkit Mebroot , le vecchie tattiche da DOS-virus per fare incetta di dati finanziari e carte di credito .

un esempio In circolazione dal 2006, Mebroot (anche noto come “Sinowal” o “Torpig”) è stato capace di collezionare qualcosa come più di 270mila credenziali di account bancari online e circa 240mila numeri di carte di credito. Prendendo di mira le macchine basate su sistemi operativi Windows, rivela il FraudAction Research Lab di RSA, il malware ha permesso a una singola gang del cyber-crimine di agire indisturbata per anni con una costanza che solo raramente è stato possibile osservare in altre occasioni.

La caratteristica “vincente” del malware, basato come descritto dall’autore del tool anti-rootkit GMER su un codice “proof-of-concept” noto già dal 2005, è quella di essere totalmente invisibile al sistema ospite colpito dall’infezione: non solo Mebroot si inietta nel Master Boot Record (il settore zero dell’hard disk, eseguito prima ancora di qualsiasi sistema operativo Windows, Linux o quant’altro) per garantirsi l’avvio a ogni sessione, ma arriva al punto di non modificare in alcun modo i file o i settori della partizione su cui l’OS colpito risiede , copiando invece il corpo principale del proprio codice in settori e tracce del disco inutilizzati.

Fatto ciò, il rootkit modifica al volo le routine di basso livello di Windows direttamente in memoria per garantirsi la sostanzialmente completa invisibilità , sia all’utente che agli eventuali software antivirus e antimalware installati sulla macchina. Un sistema che, visti i risultati denunciati da RSA, si è rivelato estremamente efficace nel corso del tempo: certo, perché l’infezione riesca a penetrare sul PC ha comunque la necessità di sfruttare falle del browser o dei vari componenti della multimedialità sul web costantemente bucherellati da vulnerabilità assortite, ma una volta messo piede sull’MBR dell’hard disk il malware riesce ad agire sostanzialmente indisturbato e senza far sentire minimamente la propria presenza.

Per quanto la gang che tira le fila del network di Sinowal continui a rimanere sconosciuta, le prove sin qui raccolte dagli esperti hanno evidenziato un collegamento iniziale con il provider “criminale” Russian Business Network , apparentemente fuori dai giochi , almeno per ora, visto l’eccesso di attenzione mediatica avuto nel corso dei mesi e anni scorsi. Alte sono a tal proposito le possibilità che i cyber-criminali siano di nazionalità russa , considerando peraltro che RSA non ha individuato nemmeno una vittima di Mebroot riconducibile a questa nazione.

Il futuro di Mebroot, infine, appare tutto fuorché incerto: gli ingegneri del mal(war)e dietro il rootkit sono costantemente impegnati a produrre e diffondere “in the wild” nuove varianti della loro mefitica bit-creatura , e l’ultima revisione scovata e sottoposta al servizio di scansione multipla di Virustotal.com riesce al momento a passare inosservata a 20 antivirus su 35. A parziale consolazione del problema, il miglior antivirus gratuito al mondo riconosce correttamente la minaccia e dovrebbe essere in grado di intercettarla prima che questa metta radici sull’MBR dell’hard disk di sistema.

Alfonso Maruccia

Link copiato negli appunti

Ti potrebbe interessare

02 11 2008
Link copiato negli appunti