lunedì 9 maggio 2011

Kaspersky Lab, home video di Bin Laden sfruttati per Trojan-Botnet


Gli esperti di Kaspersky Lab hanno individuato nuovi attacchi malevoli che che utilizzano la morte di Bin Laden e l'interesse che ne è seguito. Il governo americano ha pubblicato alcuni home video di Osama Bin Laden nel suo nascondiglio pakistano. Gli screenshot del video sono utilizzati per realizzare pericolosi attacchi blackhat SEO tramite Google Images. Si tratta del secondo allarme segnalato dagli esperti di Kaspersky Lab in pochi giorni a seguito della morte dello sceicco del terore. Il 3 maggio scorso infatti era stata data comunicazione di una minaccia via Facebook: era stato riscontrato infatti una campagna che rimandava ad un presunto "video della cattura", cliccando sul link del video ci si ritrova su una pagina in cui si era invitati a lasciare un messaggio per avere maggiori informazioni.


Molti siti Web legittimi basati su Nginx sono stati attaccati e sfruttando la vulnerabilità CVE-2009-2629. Anche perchè la popolarità di questo webserver è continuamente in aumento, tanto da essere divenuto in brevissimo tempo il candidato alla terza posizione tra i server HTTP più importanti al mondo, oltre che già il terzo server HTTP più usato in assoluto. I siti compromessi sono stati iniettati con il seguente script:


che portano ad un sito dannoso. Il dominio presenta un exploit per la vulnerabilità CVE-2010-1885 (la stessa vulnerabilità usata di recente per una campagna maligna simile). Di seguito uno screenshot reale dello sfruttamento:


Questa volta i criminali stanno facendo più pressione rispetto ad un FakeAV (Kaspersky antivirus rileva XP Anti-Spyware come Trojan.Win32.FakeAV.cxdi).


Il loro payload è una modifica del Trojan-Downloader.Win32.CodecPack che viene utilizzato da una botnet per inviare spam a scopi pubblicitari. In aggiunta a quanto sopra, se si visita uno dei siti compromessi con Mac, invece di malware si viene reindirizzati a un sito pornografico. Il Trojan è protetto da un software con codice pesantemente offuscato. Di regola, i confezionatori sono utilizzati per impedire l'individuazione di un ricco programma maligno piuttosto che per proteggere il suo codice di analisi, e questo pezzo di malware non fa eccezione: l'estrazione è un compito relativamente facile. Una volta estratto, la funzione WinMain di diversi Trojan di solito è più o meno la stessa. In questo caso, tuttavia, gli autori di malware hanno cercato di offuscare il loro codice inserendo un gran numero d'istruzioni superflue in modo da rendere il codice difficilmente da analizzare.


Il codice superfluo è polimorfico ed è costituito da blocchi di codice che consentono di eseguire diverse operazioni su variabili globali che non sono utilizzate dal codice principale. Esso comprende anche le funzioni API, che quando viene eseguito, in alcun modo influire sulla esecuzione del programma stesso.


La prima cosa che il Trojan-Downloader.Win32.CodecPack fa al momento del lancio è verificare la presenza di una connessione a Internet mediante l'invio di richieste DNS per diversi siti web popolari, come wordpress.comwalmart.com e photobucket.com, che sono disponibili a qualsiasi ora del giorno o della notte. Se non vi è alcuna connessione a Internet, CodecPack termina il suo processo. Se il computer infetto è in linea, il downloader raccoglie informazioni su di esso, compreso il numero di serie del volume del disco contenente la cartella Windows, versione del sistema operativo, se l'utente corrente ha privilegi di amministratore e se il trojan è in esecuzione su una macchina virtuale o sotto un debugger. Successivamente, viene creata una richiesta al centro di C & C contenente i dati raccolti. 


Vale la pena notare che i domini a cui il downloader invia le richieste non sono veri e propri centri di C & C. I server associati a questi domini sono semplicemente Reverse proxy che servono soltanto a nascondere la botnet vera e propria del centro di comando e controllo. È importante sottolineare che tutte le richieste inviate al server di comando dal Trojan sono criptati. I dati vengono prima crittografati con l'algoritmo RC4 e poi codificati usando Base64. Kaspersky Lab ha rilevato il primo campione CodecPack nell'estate del 2008. Le botnet Artro è cresciuta fino a una dimensione enorme negli ultimi due anni e mezzo: nel gennaio 2011, CodecPack è stata rilevata almeno una volta sulle macchine di circa 140.000 dei propri utenti. 

Nessun commento:

Posta un commento