La società di sicurezza Webroot ha individuato un nuovo malware ruba-password, un trojan che predilige rovistare tra i dati di accesso dei browser web e in particolare prede di mira Mozilla Firefox. Il trojan, identificato da Webroot come “Trojan-PWS-Nslog”, sembra essere derivato da un “toolkit” di un criminale iraniano non abbastanza sveglio da non aggiungere le proprie informazioni sensibili all’interno del codice.
Scopo ultimo del trojan Nslog è rubare password e credenziali di accesso presenti nell’apposito spazio di storage Internet Explorer, nel registro di configurazione di Windows e nei dati di Firefox. Per quanto riguarda quest’ultimo, il trojan si prende anche la briga di modificare il codice del file di configurazione nsLoginManagerPrompter.js , con il risultato che il browser Mozilla non chiederà più alcuna autorizzazione all’atto del salvataggio della password di accesso a un sito web.
La configurazione di default del panda rosso prevede che l’utente autorizzi la registrazione delle credenziali di login ogni volta che si presenta l’evenienza, spiegano gli analisti di Webroot, ma la modifica apportata da Nslog fa sì che il browser prenda a salvare tutti i dati in locale senza porre alcun quesito all’utente .
Il payload del malware è completato dalla creazione di un nuovo utente sul sistema chiamato “Maestro”, e infine dal tentativo di inviare le informazioni sottratte a un server remoto una volta ogni minuto. Quel server remoto è già stato buttato giù, rivela Webroot, e a rendere le cose più interessanti ci ha pensato lo stesso autore del malware con una dimostrazione disarmante di dabbenaggine. Il creatore di Nslog è stato infatti così incauto da integrare il proprio nome personale e la propria email all’interno del codice, e partendo da questi dati gli analisti di Webroot hanno facilmente individuato un profilo Facebook scoprendo che il cracker aveva sviluppato un toolkit crea- keylogger gratuito progettato per infettare il sistema operativo Windows.
Come debellare il malware? Webroot sostiene di essere facilmente in grado di individuare il trojan e ripulire il PC infetto, mentre per quanto riguarda la configurazione di Firefox l’unica alternativa è la reinstallazione del browser e la conseguente sovrascrittura del file nsLoginManagerPrompter.js modificato.
Alfonso Maruccia