Alfonso Maruccia

Waledac, il phishing col GPS nel motore

La nuova botnet degli autori di Storm promette meraviglie, quantomeno dal punto di vista del codice. Ora le campagne di scam via posta prendono in considerazione la location del PC sotto attacco per rendersi credibili

Roma - Waledac, l'ultima botnet in via di costruzione da parte della "premiata ditta" degli autori dello Storm Worm, aggiunge una nuova freccia al proprio arco malevolo, una freccia avvelenata che si affida all'analisi del traffico di rete per identificare la zona di provenienza dell'indirizzo IP bersagliato e camuffare meglio i messaggi di phishing spediti nelle mailbox di tutto il mondo.

L'ultimo trucco dei "botnet master" specializzati nello spam tematico consiste appunto nell'individuare, a un punto non meglio specificato delle comunicazioni di rete, l'IP del PC a cui spedire le mail di spam. Una volta ottenuto tale IP viene poi confezionata una news fittizia su misura per quella parte del mondo, rendendo il sostanza il tentativo di phishing più credibile a occhi non sufficientemente abituati allo schermo di un computer.

La campagna di spam più recente cavalcata da Waledac è incentrata su un supposto attacco terroristico, magari condotto per mezzo di una "bomba sporca" e ovviamente capitato giusto poco distante dalla zona in cui risiede la vittima.
Paul Royal, ricercatore della società di sicurezza Purewire, esemplifica che nel provare a utilizzare un indirizzo IP cileno si è visto recapitare una mail (contenente il link al download del malware) che parlava di un'esplosione a Santiago, la capitale e maggiore città del paese.

In tal modo "il contenuto diventa più convincente" e l'attacco ha maggiori possibilità di riuscita, spiega Royal. Oltre che alle finte-news provenienti da famose agenzie di stampa, a ogni modo, pare che il trucco della geo-localizzazione sia una costante applicata anche alle altre campagne di spam portate avanti da Waledac, come nel caso dei coupon di sconto malevoli analizzato dalla statunitense McAfee.

Se c'è un lato positivo in questa storia, infine, questo è sicuramente il livello della minaccia attualmente rappresentata dalla botnet. Dopo un'attività di svariati mesi, il trojan Waledac non è riuscito ad avvicinare neanche lontanamente le dimensioni dell'infezione da Storm Worm (anche noto come Peacomm secondo la nomenclatura di Symantec) che contava 400mila PC alla fine del 2007. Per Waledac ancora si parla di stime provvisorie riguardanti 25mila-50mila sistemi infetti.

Alfonso Maruccia