venerdì 25 marzo 2011

False notifiche Facebook via email scaricano virus Zbot e Blackhole exploit


Websense ® Security Labs ™ Threatseeker ® ​​Network ha rilevato una nuova campagna e-mail dannosa mascherata come proveniente da Facebook. La campagna sembra essere effettivamente proveniente dalla spam bot Cutwail Pushdo. Pushdo è una delle più grandi botnet spamming su Internet. Questa è rimasta sotto controllo dal 2007, anche se è stata segnalata essere responsabile di una percentuale enorme di spam a livello mondiale. 

E' persino riuscita ad entrare nella Top 5 delle botnet più grandi senza mai raggiungere la prima posizione. Ci sono rapporti di 7,7 miliardi di email spam al giorno, provenienti da questa botnet, che la pone nella Top 2 delle spam botnet più grandi del mondo. "Povero Pushdo, sempre la damigella d'onore, mai la sposa!", commenatno gli esperti dei laboratori di  Trend Micro ®. 

In realtà la botnet Pushdo è una grande e fantasiosa "piattaforma di distribuzione" di software maligni. Una volta che la vittima è infetta, di norma visitando un sito Web dannoso, Pushdo scarica malware eseguibili, molti dei quali sono prodotti da terzi parti. Questo è l'unico tipo di comunicazione con il server di comando e controllo. A settembre 2010, per esempio, circa 5.000 messaggi di spam sono stati inviati agli utenti di Facebook da zombie Cutwail per circa 30 minuti. Ma questa volta, i criminali informatici utilizzano due vettori di attacco: ingegneria sociale e di un exploit kit.


Entrambi finiscono con l'istallare il trojan Zeus / Zbot sulle macchine bersaglio. A meno che non siete stati fuori da Internet negli ultimi anni, probabilmente avrete sentito parlare dell'enorme problema di sicurezza causato dalle botnet. Queste grandi collezioni di computer infetti comandati da capi criminali possono lanciare attacchi coordinati, dannosi ospitare siti web o inviare spam. I clienti Websense sono protetti da questo tipo di attacco con il loro motore Advanced Classification Engine per l'analisi dei dati e la loro suite di tecnologie interna TRITON. Ecco un esempio di una e-mail dannosa in lingua spagnola:


L'email è un falso maligno che appare come proveniente da Facebook.com e recita: “Hi, someone loves your photo comments, please click on the link to see all comments” (“Ciao, a qualcuno piacciono i tuoi commenti alle foto, clicca sul link per vedere tutti i commenti”). Esso fornisce un URL falso travestito da formale collegamento Facebook. Una volta cliccato, l'utente viene reindirizzato a una pagina di attacco e viene richiesto di scaricare ed eseguire un "aggiornamento" da Facebook. L'aggiornamento "file" è una variante del trojan Zeus / Zbot. Al momento della stesura, il file ha avuto "soltanto" un 7% di rilevazione, ma è in costante aumento. L'attacco non è però ancora finito.


Mentre avviene il finto caricamento della pagina Facebook, la macchina dell'utente viene attaccata silenziosamente in background con diversi exploit. L'exploit sono inviati tramite un iframe contenuto nella finta pagina Facebook attacco. Questo processo avviene in silenzio quando la pagina attacco viene caricata. Gli exploit sono caricati da uno dei prevalenti exploit kit oggi in maggior circolazione - il Blackhole exploit kit. Tutti gli attacchi hanno avuto successo. Vine stato scaricato ed installato silenziosamente il trojan Zeus / Zbot sulla macchina dell'utente. Ecco un iframe esempio dalla pagina di attacco su Facebook che punta a sfruttare il Blackhole kit:


Il Black Hole Exploits Kit , è una applicazione web sviluppata in Russia, che incorpora anche un'interfaccia in lingua inglese, e la prima versione (beta al momento) sta cercando di adattarsi al mercato nero da quando è stata distribuita nei primi di settembre 2010. Il suo costo è determinato sulla base di una serie di caratteristiche che cercano di differenziarsi dal resto. Questo modulo offre una visione rapida delle informazioni più rilevanti per un botmaster: numero di computer che fanno parte della rete e dei loro rispettivi paesi, sfrutta con elevati tassi di successo e l'elaborazione delle informazioni di altri.


A differenza di molti altri crimeware di questo stile, Black Hole Exploits Kit utilizza un sistema di licenze pagate a tempo. Ad esempio, l'acquisto di questo crimeware per 1 anno (attualmente il tempo massimo) costa $ 1500, mentre una semi licenza annuale e trimestrale, costa rispettivamente 1.000 dollari e 700 dollari. 

La tendenza segna un lieve incremento graduale ma nei sistemi operativi impegnati che non appartengono alla famiglia di Microsoft. Questo include crimeware per piattaforme basate come GNU / Linux e Mac OS. Altri, come il Siberia Exploit Pack e Eleonore exploit kit includono piattaforme per dispositivi mobili di fascia alta e console di gioco. Inoltre al costo di 50 dollari si può utilizzare in alternativa il sistema di crittografia. 

Questa funzione è un modello per il "servizio" extra offerto dagli sviluppatori di crimeware, come la possibilità di verificare l'integrità dei malware (AVChecker) che si diffondono attraverso crimeware. Per effettuare questa verifica, è spesso usato VirTest , il servizio privato di origine russa che è diventato uno dei preferiti dai criminali non solo per il controllo della reputazione ma anche per la diffusione di malware sfruttati dai pacchetti. 

Ci sono confezioni crimeware diverse che hanno recentemente aderito modulo VirTest, compresa l'ultima versione di SpyEye . Questi exploit hanno il più elevato tasso di successo nello sfruttamento. Il Black Hole exploit kit include un TDS (Traffic Direzione Script) che consente l'indipendenza da altre applicazioni web, permettendo di manipolare arbitrariamente il traffico web, e probabilmente questa funzione attira l'attenzione dei criminali.

Nessun commento:

Posta un commento