venerdì 14 gennaio 2011

Un nuovo malware ruba le password FTP e dei servizi e-banking

BitDefender®, noto fornitore di soluzioni innovative di sicurezza internet, ha messo a disposizione un tool di rimozione gratuito per il Backdoor.Lavandos.A, un complesso malware in grado di rubare password di FTP e servizi di e-banking in maniera assolutamente discreta. Nonostante il suo obiettivo principale sia il sistema di e-banking utilizzato in particolare dagli istituti russi e ucraini, Lavandos non si limita a rubare le password di e-banking, ma cerca e trafuga tutti i dati privati dagli account dell’utente del computer infetto.

“La particolarità di questa minaccia online è il fatto che i suoi driver non rimangono sul disco più del necessario”, afferma Catalin Cosoi, responsabile del BitDefender Online Threats Lab. “Questi driver vengono inseriti nel Windows® Registry immediatamente dopo aver completato il proprio compito per mantenere un basso profilo”. Poco dopo l’infezione, Backdoor.Lavandos.A genera - per ogni browser trovato sul PC attaccato - un “setupapi.dll” nella cartella di installazione root di Mozilla® Firefox®, Opera® e Internet Explorer® per consentire una semplice manipolazione delle funzioni del browser con lo scopo di importare certificati o accettare un certificato già firmato come autentico.

Un altro file DLL verrà creato in C: \ windows \ system32 \ sfcfiles.dll. Il file originale sfcfiles.dll pulito è crittografato e aggiunto come un valore al Registro di sistema in HKEY_LOCAL_MACHINE \ SOFTWARE \ Settings \ CryptoHash. Inoltre, viene aggiunto anche  tosfcfiles.dat. Al fine di eliminare ogni sospetto, sfcfiles.dll modificato ed infetto avrà la stessa dimensione e gli attributi del file originale. L'elemento di Lavandos creerà anche un driver in % windir% \ system32 \ drivers \ sfc.sys. Tuttavia - e questo è l'aspetto estremamente interessante di questo particolare tipo di malware - il driver non rimarrà sul disco più del necessario. Verrà memorizzato nel registro di Windows, invece, come dati binari, per motivi discrezione. I file dll sono utilizzati dal malware per aggiornare automaticamente i driver e caricarli quando necessario. Memorizzare il driver nel Registro di sistema riduce drasticamente le possibilità di programmi di utilità antivirus di rilevarlo e rimuoverlo. Il codice di aggiornamento viene scaricato dagli URL hardcoded che vengono crittografati e memorizzati in HKLM \ SOFTWARE \ Settings \ HashSeed. I laboratori di BitDefender hanno rilevato che l'aggiornamento viene scaricato da più domini e prende il nome dal seguente schema: 
  • http://mv [rimosso] r.com / vito / page.php, 
  • http://at [rimosso] an.org / Vito / page.php, 
  • http://s [rimosso] ler.net / Vito / page.php, 
  • http://se [rimosso] dm.cn / vito / page.php, 
  • http://a [rimosso] 0.net/vito/page.php, 
  • http://g [rimosso] ks.com/ole21/page.php. 
Quando la lib.dll carica il driver, i dati vengono salvati nel Registro di sistema sotto il valore di HKLM \ SOFTWARE \ Settings \ DriveSettings decifrato e scritto sul disco nel file: c: \ windows \ system32 \ drivers \ sfc.sys. Subito dopo il driver viene caricato in memoria, e il file viene eliminato. La cosa è particolarmente interessante del cavallo di Troia è il fatto che esso scaricherà altri 15 file dll tutti chiamati dll.dll che non saranno memorizzati sul disco, ma come dati binari nel registro di Windows.

Il primo file dll.dll comunica continuamente con il server. L'obiettivo è quello di mantenere gli indirizzi del server permanentemente aggiornati. Lavandos invia i dati di identificazione (indirizzo IP, porte e hostname) del computer sequestrato insieme con le informazioni raccolte per il server C and C. Questo file dll raccoglie anche i nomi utente e password da siti di e-banking agganciando gli InternetOpenA del browser e le funzioni InternetopenW. Quando viene intercettata con successo una combinazione di login, memoriiza gli hash dei dati nel Registro di sistema sotto la HKLK \ Software \ Microsoft \ Windows key. Ogni volta che si arriva con successo ad un username e una password, invierà tutti i contenuti della suddetta chiave del Registro di sistema tramite una richiesta POST al server C and C. Il secondo file dll.dll intercetta le informazioni FTP sull'account come hostname, IP, porta di destinazione, il nome utente e password, che potranno anche essere criptati (questa volta usando Base64) e memorizzati nello stesso Registro di sistema. Il terzo file dll.dll cerca le chiavi di registro create da specifici software client FTP e cerca di leggere le chiavi di registro utilizzate distintamente da ogni applicazione per "memorizzare" le credenziali di connessione. La DLL è in grado di riconoscere 14 delle più importanti applicazioni freeware e commerciali FTP, garantendo un alto tasso di successo. Il quarto file dll è un keylogger che si aggancia alla funzione TranslateMessage, intercetta il tasto premuto e lo memorizza in un buffer. Inoltre, "legge" il nome della classe della finestra in primo piano, se chiamata "java.sun.awt.bifit" (bifit - tecnologie  and banking; e delle finanze su Internet), il malware effettua uno screenshot e lo salva negli appunti. Alcuni dei file dll.dll sono intercettate da altre funzioni in varie applicazioni bancarie proprietarie e vengono anche utilizzate per manipolare le funzioni del browser per importare i certificati o per considerare un certificato auto-firmato come attendibile.  


Anche se il file backdoor non distribuisce un rootkit driver, riesce a sovvertire le funzioni critiche di Windows e compromette il browser e il client FTP di sicurezza. Questo difficile tipo di malware gioca tutte le sue carte sull'assoluta stealth (incognita), mantenendo un assoluto minimo di file scritti su disco e mantenendo all'essenziale la trasmissione dei dati. Gli utenti colpiti dal Lavados rischiano di rivelare informazioni riservate relative ai servizi di e-banking, così come di essere derubati dei propri account FTP da cybercriminali impegnati in piani di diffusione di malware. I clienti di BitDefender sono stati protetti a partire dal primo giorno dell’attacco attraverso delle routine generiche incluse nel database delle firme. Chi non è protetto da un prodotto BitDefender può scaricare gratuitamente un tool di rimozione[1] dalla sezione Downloads di MalwareCity.com.

NOTA [1]: Alcuni antivirus potrebbero interpretarlo come un malware. In questo caso aggiungerlo ai file sicuri.

Nessun commento:

Posta un commento