Occhio al trojan ruba-password

L'Internet Storm Center avvisa dell'esistenza di un nuovo cavallo di Troia che può minacciare la privacy e il portafogli di chi utilizza servizi di on-line banking. I dettagli

Bethesda (USA) - Nelle cronache sulla sicurezza dell'ultimo periodo i worm hanno ceduto la prima pagina ad alcune minacce che, pur utilizzando strumenti di attacco tradizionali, appaiono più mirate e sofisticate. È il caso del recente attacco Download.Ject o, ancor prima, dell'adware "abusivo", ed è ancora il caso di un nuovo codice malevolo progettato per rubare numeri di carte di credito, password ed altri dati usati dagli utenti per accedere a siti finanziari e compiere operazioni bancarie.

Quest'ultimo attacco, scoperto e analizzato dall'Internet Storm Center del SANS Institute, fa uso di un cavallo di Troia che, mascherato da immagine GIF ("img1big.gif"), è veicolato da alcuni pop-up pubblicitari: quando un utente di Internet Explorer visita una pagina Web contenente tale pubblicità, il codice malevolo tenta di sfruttare una nota vulnerabilità del browser di Microsoft, corretta lo scorso aprile, per penetrare sul PC della vittima e installarvi un keylogger, ovvero un programma per registrare i tasti battuti dall'utente. Il programma si attiva quando l'utente accede ad alcuni siti finanziari e bancari: il trojan provvede poi a inviare i dati così raccolti ad un indirizzo Web registrato in Estonia, attualmente irraggiungibile.

Anche quest'ultima minaccia, come le due citate inizialmente, interessa gli utenti di Internet Explorer, quelli che non hanno provveduto ad installare le ultime patch di sicurezza per Windows. L'altra caratteristica in comune con i recenti attacchi è che i PC vengono compromessi nell'istante in cui l'utente visita certi siti Web: questi siti, in genere noti, vengono trasformati in "untori" da uno o più cracker: a differenza di un worm, l'attacco non viene dunque affidato unicamente ad un software capace di proliferare in modo autonomo, ma si basa anche su tecniche di aggressione manuali o semiautomatizzate.
Una volta compromessi alcuni siti chiave, il codice malevolo - sia esso un comune virus, un cavallo di Troia, un bot, uno spyware o che altro - può rapidamente diffondersi su centinaia o migliaia di computer. Sebbene questo metodo sia poco adatto per generare delle epidemie di ampie proporzioni - in genere sono sufficienti poche ore per individuare e fermare la fonte del contagio - i cracker possono effettuare attacchi più complessi e far leva sulla fiducia che gli utenti nutrono verso siti a loro noti.

Nel caso del nuovo attacco, ai cracker è bastato penetrare sul sito che gestiva la pubblicità di un considerevole numero di risorse Web per diffondere in brevissimo tempo il proprio codice verso centinaia, forse migliaia di PC. Ma l'aspetto più interessante di questo cavallo di Troia è che il componente spyware non è costituito da un programma eseguibile, che una volta lanciato sarebbe visibile nella lista dei processi attivi, ma da un cosiddetto Browser Help Object (BHO): si tratta di una sorta di plug-in che, sotto forma di DLL, consente agli sviluppatori di personalizzare e controllare il funzionamento di Internet Explorer. I BHO sono molto utilizzati da portali e società di advertising per installare sui PC, talvolta con mezzi poco leciti, toolbar di ricerca o altri moduli che veicolano pubblicità o tracciano le abitudini dell'utente. Alcuni BHO particolarmente aggressivi cambiano l'home page di IE e visualizzano ad intervalli regolari finestre pop-up con pubblicità di vario genere, talvolta anche porno. Secondo il SANS, tuttavia, questa è la prima volta che tale "feature" viene utilizzata per mettere in piedi una vera e propria frode on-line.

Il BHO spione analizzato dal SANS è programmato per monitorare le connessioni sicure HTTPS (SSL) verso una cinquantina di istituti finanziari e banche di tutto il mondo e loggare i dati POST/GET inviati dal browser dell'utente prima che questi vengano criptati dal protocollo SSL. Dato che il plug-in si attiva solo quando necessario, il cracker "in ascolto" riceve solo informazioni pertinenti ai propri scopi criminali.

"Credo che questo particolare tipo di malware rappresenti una grande minaccia all'industria della finanza on-line", ha commentato Tom Liston, l'esperto di sicurezza che per primo ha pubblicato un'analisi approfondita dell'attacco scoperto dal SANS. "Come dimostrato dalla proliferazione di adware e spyware, installare un file eseguibile sulla macchina di un utente è fin troppo facile. L'idea di usare un BHO rende questo tipo di attacchi ancora più insidioso".

Per minimizzare il rischio di incorrere in questo genere di furti, Microsoft ha raccomandato gli utenti di installare tutte le ultime patch di sicurezza per Windows e IE. Diversi esperti, incluso il CERT, suggeriscono qualcosa di ancora più drastico: utilizzare un browser alternativo

Update (ore 14,00): il cavallo di Troia è stato battezzato da diverse case di antivirus "Bankhook".
109 Commenti alla Notizia Occhio al trojan ruba-password
Ordina
  • Appurato che IE una pericolosa ciofeca, e volendo liberarmene il più presto possibile pur senza abbandonare (per ora) Windows, rimane il dilemma: Opera o Mozilla?

    Quali sono le caratteristiche, le differenze, e soprattutto i vantaggi dell'uno e dell'altro?

    Grazie per le risposte, soprattutto se serie (non me la prendo per le trollate, ci rido sopra... per gli insulti, magari un po' menoOcchiolino).

    Saluti!Sorride

    non+autenticato
  • Riporto la mia risposta già "postata" in proposito di mozilla 1.8 :

    Chi lavora SUL SERIO con il web,
    sà benissimo che opera è portabile su tutto,
    MA NON SUPPORTA NULLA !!!
    Già la compatibilità tra IE e gli altri browser
    per i "virtuosismi" dei CSS è limitatissima (ovvero gli stili e gli effetti sull'html che oltre essere carini sono utilissimi),
    su OPERA poi è nulla !

    In dettaglio :
    Dei vari filtri CSS tipo shadow,alpha,ecc,ecc,
    l'unico che si riesce a portare sui browser è il trasparent,
    il quale per ogni browser supporta una sintassi diversa.
    OPERA NON SE LO FILA PROPRIO IL TRASPARENT !
    Mozzilla,Safari,Conquerror,IE,tutti MA PROPRIO TUTTI GLI ALTRI reggono in qualche modo la trasparenza,opera NO !

    Aggiungiamo che i button-immage li prende senza proporzionamento.
    Provate a fare un "button-immage" specificando solo il parametro di with o eight,DISASTRO !
    Qualunque browser li proporziona in base a quell'unico parametro fornito,OPERA SE NE STRAFREGA e li fà grandi come piace a lui !

    Altra differenza carina tra opera e gli altri browser è la seguente :
    TUTTI I BROWSER TRANNE OPERA,quando trovano una cella di una tabella vuota la quale possiede un background,
    si limitano a non mostrare il background ma la cella almeno la calcolano,e l'impaginazione rimane corretta.
    OPERA NO !
    Lui la toglie direttamente !
    ESEMPIO:
    Tabella a 2 colonne,la prima di 100 pixel vuota,la seconda con un immagine.
    Il risultato con qualunque browser è quello di vedere l'immagine a distanza di 100 pixel da bordo,MA NON CON OPERA ! Lui scavalca la cella e attacca l'immagine al bordo !
    MERAVIGLIOSO VERO ?

    FORSE opra un giorno riuscirà a colmare le lacune,
    per ora rimane lo stereotipo DELLE CIOFECA DELLE CIOFECHE !!!
    Ma...graficamente è molto carino,LA PIU' BELLA CIOFECA CHE VI POSSA CAPITARE !!!

    MENTRE SU MOZILLA...
    La versione 1.8 sicuramente sorpassera qualunque altro browser (1.8 mozilla o fireFox 1.0 DEFINITIVO),ma
    la versione attuale (1.7.3) possiede diverse pecche che
    purtroppo tutt'ora collocano mozilla (e quindi firefox )
    AL DISOTTO DI Iinternet Explorer.

    MORALE DELLA FAVOLA :

    IE 6.05            : BUTTARE !
    OPERA 7.54 : BUTTARE !
    MOZILLA1.7 : BUTTARE !
    MOZILLA 1.8: !!! PERFECT !!!
  • Da quando pur avendo tutte le patch installate (tramite windows update) mi sono beccato un trojan grazie ad uno script java ho deciso di non utilizzare più Explorer,un vero cesso di browser,le cui ultime vulnerabilità sono note a tutti ma non a Microzozz.
    non+autenticato


  • - Scritto da: Anonimo
    > Da quando pur avendo tutte le patch
    > installate (tramite windows update) mi sono
    > beccato un trojan grazie ad uno script java
    > ho deciso di non utilizzare più
    > Explorer,un vero cesso di browser,le cui
    > ultime vulnerabilità sono note a
    > tutti ma non a Microzozz.

    Allora usa Opera è non avrai più problemi.
  • script java? al limite un javascript. Mah, al giorno d'oggi c'è ancora chi non capisce la differenza tra java e javascript
    non+autenticato
  • Al giorno d'oggi c'è anche chi non capisce la differenza tra indirettezza multipla e costruttore di copie di oggetti,
    come c'è anche chi non capisce la differenza tra una conversione cast e una semplice assegnazione di varibili,
    e...
    OPS...
    SONO TUTTE COSETTE JAVA !!!

    Signorino,ok,tu sai la differenza tra java e javascript,
    ma dubito che tu possa meritare una cattedra dalla quale sancire giudizi.

    C'è chi è più preparato e chi meno,
    c'è chi è meno preparato di te e sono molti,
    c'è chi è più preparato di te e SONO TANTISSIMI !
    Ma...
    poi riprovare a metterti in cattedrà se vuoi,
    se preferisci fare una figura da stupidello plateale piuttosto che passare da persona discreta,ACCOMODATI !
    Sono sicuro che verranno molto apprezzati i tuoi commenti,è così difficile ridere davanti ad un internet che è quasi sempre seria...
  • Anche opera ha le sue belle vulnerabilità,
    come tutti i browser,non c'è via d'uscita !

    Tuttavia...c'è chi cerca di arrampicarsi su gli specchi per tappare falle ma...per ogni buco che si tappa se ne aprono altri 4.

    NON E' QUESTIONE DI BROWSER MA DI KERNEL !!!

    Windows fà acqua da tutte le parti,
    lo avrò detto 10 volte su questo sito ma...NON MI STANCHERO' MAI DI DIRLO !

    Cmq...Mozilla 1.8 DEFINITIVO sarà l'unico browser accettabile,gli attuali...vanno bene per la raccolta differenziata.
  • There is a new mallware discovered :

    hxxp://isc.sans.org/presentations/banking_malware.pdf

    There is no patch yet but you can use BHODemon to list all Browser Helper Objects that are installed on a Windows system.

    hxxp://isc.incidents.org/diary.php?date=2004-06-29&isc=ea36b88654a2fdc2f7211126d5e02574
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
1 | 2 | 3 | 4 | Successiva
(pagina 1/4 - 20 discussioni)