La botnet che ci sente bene

La botnet che ci sente bene

Individuato un trojan in grado di bypassare il captcha audio posto a difesa di account Live.com e Hotmail. Sparge spam e reindirizza a siti di phishing a sfondo erotico
Individuato un trojan in grado di bypassare il captcha audio posto a difesa di account Live.com e Hotmail. Sparge spam e reindirizza a siti di phishing a sfondo erotico

Una variante della botnet Pushdo ha trovato un modo per penetrare le difese di Microsoft Live e Hotmail superando il captcha audio, il sistema sviluppato per prevenire agli script automatizzati di effettuare l’accesso al servizio.

Stavolta è la società anti-virus Webroot ad aver individuato la nuova minaccia: l’attacco permette alle macchine zombie di inviare email attraverso l’account con l’indirizzo Live.com , considerato innocuo da molti filtri spam a differenza dei relay normalmente utilizzati che rientrano nella blacklist da bloccare.

Mentre esistono già botnet in grado di superare captcha testuali, sarebbe il primo caso di un captcha audio attaccata e sconfitta da un sistema automatizzato . La botnet individuata è infatti in grado di bypassare il sistema di autenticazione sviluppato da Microsoft, “fornendo la risposta corretta nella maggior parte dei casi già al secondo tentativo, anche se una volta, durante le osservazioni, il bot ha dovuto effettuare sei tentativi prima di poter procedere”, spiega un ricercatore Webroot.

Non si sa ancora se il captcha venga bypassato tramite l’ausilio di agenti umani, cui viene inviata la stringa da interpretare, o se venga utilizzato un software di riconoscimento vocale. In ogni caso, il virus arriva mascherato dal servizio di gestione password gratuito KeePass, ma una volta infettato il PC e avviato si copia nella cartella System32 e stabilisce contatti con quattro server C&C : inizia così a prendere di mira il captcha e, una volta superatolo, a spargere spam in ogni dove con indirizzi considerati sicuri dai filtri.

Lo spam, a sua volta, contiene un link che porta a un gruppo Yahoo! che cambia ogni ora, mantenendo sempre link che portano tutti a “Hacked Blackbook”: un sito pornografico che promette foto a luci rosse rubate a ignari profili di social network e a cui si può accedere gratuitamente, una volta fornite alcune informazioni personali (necessarie a ottenere la membership vitalizia) tra cui il numero della carta di credito. Phishing allo stato brado.

Claudio Tamburrino

Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il
23 mar 2010
Link copiato negli appunti