martedì 12 luglio 2011

Falso aggiornamento flash player colpisce utenti Firefox e Chrome


I ricercatori di sicurezza GFI avvertono che i criminali informatici stanno spingendo i loro trojan attraverso click fraudolenti (click fraud) hanno adottato tecniche di distribuzione comunemente osservate negli schemi scareware. Prima di tutto, secondo gli esperti, sembra che l'obiettivo siano gli utenti di Chrome e Firefox in particolare, anche se non sono tra i primi browser che vengono sfruttati per distribuire questo tipo di malware con tali schemi. Il trojan, parte della famiglia 2GCash, è distribuito da un dominio resgistrato attraverso un libero provider di DNS dinamico. Il DNS Dinamico è una tecnologia che permette ad un DNS di essere sempre associato all'indirizzo IP di uno stesso host, anche se l'indirizzo viene modificato nel tempo. 

I ricercatori di sicurezza ricercatori non parlano di come gli utenti finali finiscano su questa pagina, ma sono colpiti più probabilmente attraverso diversi redirect, possibilmente dopo aver cliccato su risultati di ricerca dannosi. Un aspetto interessante di questo attacco è che gli utenti di Internet Explorer vengo reindirizzati a usa.gov, un sito web legittimo, mentre le persone che utilizzano altri browser vengono serviti da file dannosi per il download. Per esempio, agli utenti di Google Chrome verrà richiesto di scaricare e installare un aggiornamento di Flash Player chiamato v11_flash_AV.exe, anche se il browser è dotato di un plug-in flash in bundle che viene aggiornato regolarmente.


Comportamento del file:
  • Il processo è imballato e / o crittografato utilizzando un processo software di imballaggio
  • Scrive la memoria virtuale per un altro processo (Processo Hijacking)
  • Aggiunge un prodotto al registro di sistema
  • Aggiunge una chiave del Registro di sistema (RunOnce) per avviare programmi in automatico all'avvio del sistema
  • Aggiunge una chiave del Registro (RUN) per avviare programmi in automatico allo start up del sistema
  • Questo processo crea altri processi su disco
  • Termina Processi
  • Può comunicare con altri sistemi informatici utilizzando i protocolli HTTP
  • Esegue un processo
  • Registra un file Dynamic Link Library
  • Inietta codice in altri processi
  • Esegue DNS per guardare l'IP e risolvere gli indirizzi URL
  • Utilizza tecniche rootkit per nascondere la sua presenza, interrogazione o la rimozione
Nel frattempo, gli utenti di Firefox vedranno una nuova falsa pagina che sostiene allo stesso modo che Flash Player è obsoleto. Questa imita la pagina che appare normalmente dopo che Firefox è stato aggiornato ad una nuova versione e svolge effettivamente un controllo per vedere se i plug-in installati sono aggiornati. Tuttavia, nonostante l'avviso circa una vecchia versione di Flash Player, il file servito per il download è chiamato ff-update.exe. Nella finestra di download che verrà visualizzata automaticamente vi verrà chiesto di salvare il file. Se lo farete, allora avrete installato con successo il virus. Entrambi i file di installazione della variante stessa 2GCash, sono dei cavalli di Troia utilizzati per eseguire il click fraud e dirottare i risultati di ricerca degli utenti. In questo modo i cyber-criminali di monetizzano la loro creazione.


Tuttavia, il malware può anche agire come un downloader per ulteriori minacce, compresi gli exploit PDF e scareware. Un aspetto interessante delle varianti 2GCash più recenti è la loro capacità di individuare le macchine virtuali. Questo rende più difficile per i ricercatori la loro analisi perché la maggior parte di loro usa VM. "Tendono inoltre a ruotare quasi tutte le varianti da 6 a 12 ore come metodo per cercare di eludere il rilevamento", avvertono i ricercatori GFI di sicurezza. 

Tra queste è stata individuata la VirTool.Win32.Obfuscator.hg, un programma offuscato che ha lo scopo di ostacolare le analisi o il rilevamento degli scanner anti-virus. Utilizzano comunemente una combinazione di metodi tra cui la cifratura, compressione, anti-debug e tecniche anti-emulazione. Queste tecniche di offuscamento vengono utilizzate su vari tipi di malware. Il malware che si trova "sotto" può avere virtualmente qualsiasi scopo. In natura, è stato osservato in uso sui membri delle famiglie Win32/Zbot e Win32/FakeRean. Adottare le seguenti misure per aiutare a prevenire l'infezione del computer:
  • Attivare un firewall sul computer
  • Ricevere gli ultimi aggiornamenti del computer per tutti i vostri software installati
  • Utilizzare un software antivirus aggiornato
  • Limitare i privilegi dell'utente del computer
  • Fare attenzione quando si aprono gli allegati e di accettare trasferimenti di file
  • Prestare attenzione quando si clicca su link a pagine web
  • Evitare di scaricare software pirata
  • Proteggersi contro gli attacchi di social engineering.
  • Utilizzare password complesse.

Nessun commento:

Posta un commento