sabato 9 ottobre 2010

Un trojan keylogger ruba le password su Firefox


Mozilla Firefox è uno dei client browser attualmente in uso più diffusi e, di conseguenza sta attirando le attenzioni degli hacker, alcuni dei quali hanno sviluppato un trojan keylogger che costringe il cliente a memorizzare le password automaticamente. Webroot, dice di aver scoperto il malware  Trojan-PWS-NSlogm, capace di rubare i nomi utente e le password memorizzate da Firefox, grazie ad un interrogatorio di codice routine in Internet Explorer.

Ogni browser può, a discrezione dell'utente, essere impostato per ricordare le password. In generale, consigliamo di non impostare il browser per memorizzare le credenziali di accesso, perché possono essere facilmente estratte dal Trojan password-stealing come Zbot. In Firefox, per esempio, è possibile fare clic su Strumenti, Opzioni, quindi aprire la scheda Protezione e deselezionare una casella che indica al browser di ricordare le password inserite nei moduli web. (La casella è selezionata per impostazione predefinita). In un post sul blog di sicurezza da Andrew Brandt, un ricercatore di sicurezza di Webroot, dice che il suo team di ricerca ha scoperto che il trojan patch denominato nsLoginManagerPrompter.js, aggiunge alcune righe di codice extra nel momento in cui Firefox richiede all'utente di salvare le password quando accede ad un sito sicuro.


Prima dell'infezione, una installazione di default di Firefox 3.6.10 richiede all'utente, dopo che l'utente fa clic sul pulsante di log-in su una pagina web, se si vuole salvare la password. Dopo l'infezione, il browser salva semplicemente tutte le credenziali di accesso a livello locale, senza richiedere più nulla all'utente. Ad un esame ravvicinato, il Trojan patch nsLoginManagerPrompter.js aggiunge alcune righe di codice (visualizzato sopra), e altre porzioni di codice per commenti-out, che determinano se Firefox richiede all'utente di salvare le password quando lui o lei si collega a un sito sicuro. Per i più esperti, il trojan keylogger è segnalato per copiare se stesso nella directory System32 con il nome del file KERNEL.EXE e registra un vecchio controllo ActiveX chiamato Microsoft Internet Transfer Control DLL o msinet.ocx (MD5: 7BEC181A21753498B6BD001C42A42722).


La quale DLL viene utilizzata dal trojan per comunicare con il suo server di comando e controllo, poi crea un nuovo account utente (username: Maestro) sul sistema infetto. "Il trojan estrae quindi informazioni dal Registro di sistema, dalla cosiddetta zona di archiviazione protetta utilizzato da I.E. per memorizzare le password, e dai depositi propri delle password di Firefox, e cerca di passare poi le informazioni rubate, una volta al minuto", ha detto il ricercatore Webroot. Purtroppo, Brandt dice che, quando i suoi colleghi di ricerca hanno iniziato la ricerca del file manualmente, il dominio web del Trojan che hanno cercati di contattare era stato chiuso. Nonostante questo, Webroot dice di aver rintracciato l'autore del trojan attraverso il suo profilo di Facebook e ha scoperto che l'hacker vive nella città di Karaj in Iran. Non capita spesso di vedere un autore di malware prendendo il merito per la sua creazione con il suo vero nome.


A quanto pare, Zeynali scrive crimeware per divertimento, perché non vende il suo codice keylogger. Zeynali offre lo strumento di creazione del keylogger come download gratuito. Sopra un breve elenco di alcune delle funzionalità incluse in una delle versioni. Purtroppo, ci sono un sacco di persone che frequentano il sito di Zeynali che lo usa per pubblicare il suo codice keylogger, e alcune di queste persone lo stanno chiaramente utilizzando per creare e distribuire Trojan. 

Tuttavia, in attesa dell'arrivo di Firefox 4, c'è una soluzione semplice per chi è stato colpito dal trojan: è sufficiente scaricare l'ultima installazione di Firefox e installarla sopra la vostra installazione esistente. "Non perderete i segnalibri o add-on, e il programma di installazione basta per sovrascrivere la modifica al file nsLoginManagerPrompter.jsnsLoginManagerPrompter.js file. Problema risolto", ha detto Brandt. Inoltre raccomandiamo, come al solito, di tenere aggiornato il vostro software di sicurezza e di effettuare una scansione programmata del sistema.

Nessun commento:

Posta un commento