Trasformare un PC non protetto a sufficienza in uno zombie ora è più facile che mai: per consegnare il controllo remoto del proprio computer a terzi basta seguire un link che porta ad un certo video, in apparenza fornito da YouTube ma in realtà offerto da un server russo, su dominio.su.
Ne ha parlato Websense nel suo ultimo alert, spiegando che la minaccia sfrutta la popolarità del celebre portalone di video sharing “per spingere con l’inganno gli utenti a guardare un video contenente codice maligno che in realtà non sta affatto sul popolare portale. Il file maligno – denominato YouTube04567.exe – è infatti ospitato su un web server nel dominio.su”.
In questo caso gli esperti Websense sono arrivati al video durante la caccia quotidiana al malware ma fanno notare come il tipo di aggressione ben si presti ad essere utilizzata via email o instant messaging: ci vuole poco per far passare il video come legittimo e molti potrebbero cadere nell’inganno.
Una volta installato, il malware (o “crimeware”, come lo descrive Websense) apre letteralmente il PC in quattro: si rende quasi invisibile ai più comuni software di sicurezza, scarica keylogger per catturare i dati degli utenti e spedirli agli autori del malware, prepara il computer ad essere usato in qualsiasi momento successivo da remoto.
Nello specifico, spiega Websense, “se l’utente vi clicca, l’applicazione lancia nel browser un video simil-YouTube denominato After World Episode 6 . Automaticamente e in background, il browser si connette anche a un altro sito web, ospitato a Washington, che scarica due ulteriori file sul PC dell’utente. Essi contengono Trojan disegnati per rubare informazioni dal PC e trasferirle via HTTP”.
Su YouTube , quello vero, Websense ha pubblicato una analisi del funzionamento dello zombificatore, un documento di sicuro interesse che ha l’unico inconveniente di essere in inglese: eccolo qui sotto.
Ti potrebbe interessare
11 giu 2007