La minaccia criminale delle botnet si è trasformata da tempo in business, e non stupisce dunque scoprire che le dinamiche di mercato tipiche delle società “legittime” trovino corrispondenze anche tra i professionisti del malware e della truffa telematica. Che fanno accordi, si scambiano conoscenze e stringono partnership per incrementare le occasioni di affari a spese dei malcapitati proprietari dei sistemi infetti, inesorabilmente trasformati in bot controllati da remoto.
Protagonisti di una di queste collaborazioni strategiche sarebbero le gang note come “Rock Phish” e “Asprox”, impegnate secondo gli esperti di sicurezza a supportare una tecnologia malevola allo stato dell’arte , inclusiva di una botnet basata su tecniche di fast flux che la rendono impermeabile ai tentativi di contrasto.
Il collettivo europeo di Rock Phish è in circolazione sin dal 2004, ed è specializzato nel prendere di mira banche e altri istituti finanziari. Asprox è noto per azioni come quelle recenti basate su attacchi di SQL injection .
Stando alla società di sicurezza RSA , negli ultimi mesi Rock Phish ha migliorato enormemente la qualità della propria infrastruttura , grazie all’impiego di pacchetti software in grado di camuffarsi efficacemente nei PC infetti per renderli parte della botnet. Alcuni di questi malware sono stati creati con il tool Neosploit , da tempo utilizzato per guadagnare sistemi alla botnet Asprox.
Oltre a questo, i ricercatori hanno scoperto che almeno uno dei server di comando&controllo usati da Rock Phish ha molto in comune con i server di Asprox, e che una riduzione degli attacchi di phishing ospitati dai vecchi server della prima gang è coincisa con la crescita esponenziale del phishing in partenza dalla botnet della seconda .
Lo dicono i ricercatori di RSA e lo confermano quelli di Damballa , Rock Phish e Asprox stanno lavorando assieme per ottimizzare le tecnologie e massimizzare i guadagni illeciti traibili da esse. D’altronde non conviene, suggerisce The Register , spendere mesi o anni per costruire infrastrutture efficienti quando è possibile sfruttare quelle già disponibili oggi. Una regola che vale sia per il business IT che per il suo doppio malvagio, nato e cresciuto in seno all’underground della rete.
Alfonso Maruccia