giovedì 5 gennaio 2012

Variante Ramnit virus attacca utenti Facebook, violati 45.000 account



Un worm pervasivo ha ampliato la sua portata ed è intenzionato a rubare ora i dettagli di login e password degli utenti di Facebook, ha avvertito il vendor di sicurezza Seculert, che ha trovato un server comando e controllo con 45.000 credenziali di accesso. Il worm, chiamato Ramnit, infetta i file eseguibili di Windows, Microsoft Office e file HTML. Ruba nomi utente, password, cookie del browser e può anche funzionare come una backdoor, che permette ad un hacker di fare altre azioni pericolose su un computer infetto.


Molto è stato scritto circa il worm Ramnit e la sua trasformazione in un malware finanziario. E ora, laboratorio di ricerca Seculert ha scoperto che Ramnit ha recentemente iniziato a prendere di mira gli account Facebook con notevole successo, rubando più di 45.000 credenziali di login di Facebook in tutto il mondo, per lo più persone nel Regno Unito e Francia.

Scoperto nel mese di aprile 2010, il Microsoft Malware Protection Center (MMPC) descrive Ramnit come "un multi-componente della famiglia di malware che infetta eseguibili di Windows così come i file HTML", "ruba informazioni sensibili come le credenziali FTP memorizzate e i cookie del browser". Prima di procedere all'infezione di altri file sulla macchina, il malware determina innanzitutto se una precedente istanza del suo processo è già in esecuzione.

Il malware può anche aprire una backdoor in attesa di istruzioni da un attaccante remoto. Win32/Ramnit si connette a un server remoto e attende istruzioni da un utente malintenzionato. Usando questa backdoor, un aggressore remoto potrebbe istruire un computer infetto per eseguire azioni come scaricare un file ed eseguirlo o connettersi a un altro server e attendere istruzioni. Nel Report di luglio 2011 Symantec [PDF] ha stimato che varianti del worm Ramnit hanno rappresentato il 17,3 per cento di tutte le nuove infezioni da software dannosi. "Il malware bloccato con maggior frequenza durante il mese precedente è stato W32.Ramnit!html", ha detto Symantec.

Numero di macchine infette da Ramnit tra settembre 2011 e dicembre 2011

Il worm si diffonde criptandosi e unendosi a file con estensione .DLL, .EXE e .HTML.  Nell'agosto del 2011, Trusteer ha riferito che è Ramnit è diventato "finanziario". Dopo la fuoriuscita del codice sorgente di ZeuS a maggio, è stato suggerito che gli hacker dietro Ramnit hanno accorpato varie funzionalità di diffusione delle frodi finanziarie per creare una "creatura ibrida" che è ha le dimensioni e le capacità dell'infezione Ramnit e quelle finanziarie di data-sniffing di ZeuS.

Il worm ha acquisito la capacità di iniettare il codice HTML in un browser Web, permettendo di bypassare a Ramnit l'autenticazione a due fattori e i sistemi di transazione a firme, ottenenendo l'accesso remoto alle istituzioni finanziarie, le sessioni di online banking e penetrare in diverse reti aziendali dopo averle compromesse.

 Distribuzione infezione Facebook Ramnit.C per paese

Con l'uso di un Sinkhole, Seculert ha scoperto che circa 800.000 computer sono stati infettati con Ramnit da settembre a fine dicembre 2011. Sembra, tuttavia, che questo non è l'ultima spirale. Recentemente, il laboratorio di ricerca Seculert ha identificato una variante finanziaria completamente nuova di Ramnit che mira a rubare le credenziali di login di Facebook.

Poiché il Facebook Ramnit C & C URL è visibile e accessibile, è stato abbastanza semplice rilevare che oltre 45.000 credenziali di accesso di Facebook sono state rubate in tutto il mondo, principalmente da parte degli utenti nel Regno Unito e Francia. Aviv Raff, CTO e co-fondatore di Seculert , ha detto che gli autori di Ramnit autori adesso attaccano i social network perchè è un modo più produttivo per raccogliere i dati sensibili delle persone.

Server Ramnit Comando & Controllo con file account Facebook visibili

"Abbiamo il sospetto che gli aggressori dietro Ramnit utilizzano le credenziali rubate di login agli account Facebook delle vittime e di trasmettere i link malevoli ai loro amici, quindi il malware diventa più grande e si diffonde ancora di più", dicono i ricercatori. "Inoltre, i cybercriminali stanno approfittando del fatto che gli utenti tendono a utilizzare la stessa password nei vari servizi web (Facebook, Gmail, Corporate VPN SSL, Outlook Web Access, ecc.) per ottenere l'accesso remoto alle reti aziendali". Questa variante e capacità del worm Ramnit sono abbastanza nuove.

Al suo primo apparire, il worm ha concentrato i propri sforzi nell'infettare .EXE, .SCR, .DLL., .HTML e altri tipi di file e rubare le credenziali FTP e cookies del browser. Dai campioni di reverse-engineering per questa variante, i ricercatori hanno trovato che il metodo utilizzato per configurare Ramnit quando indirizza ad una specifica banca è identico a quello utilizzato da Zeus.

Con il recente worm ZeuS di Facebook e questa variante Ramnit più recente, sembra che gli hacker più sofisticati stanno ora sperimentando la sostituzione della vecchia scuola worm di posta elettronica con più aggiornati worm di rete sociale. Come dimostrato dai 45.000 account Facebook compromessi, il potere virale dei social network può essere manipolato per causare notevoli danni alle persone e alle istituzioni quando è nelle mani sbagliate. Seculert ha fornito a Facebook tutte le credenziali rubate che sono state trovate sul Ramnit server.

Adottare le seguenti misure per prevenire l'infezione del computer:
  • Attivare un firewall sul computer.
  • Ricevere gli ultimi aggiornamenti del computer per tutti i vostri software installati.
  • Utilizzare un software antivirus aggiornato.
  • Limitare i privilegi dell'utente del computer.
  • Prestare attenzione quando si aprono gli allegati e ad accettare trasferimenti di file.
  • Prestare attenzione quando si clicca su link a pagine Web e Facebook
  • Evitare di scaricare software pirata.
  • Proteggersi da attacchi di social engineering.
  • Utilizzare password complesse.


1 commento:

  1. "che permette ad un hacker di fare altre azioni pericolose"
    Un hacker non fa queste cose. Basta leggere qualche informazione su wikipedia per capire l'errore.

    RispondiElimina