Bethesda (USA) – Nelle cronache sulla sicurezza dell’ultimo periodo i worm hanno ceduto la prima pagina ad alcune minacce che, pur utilizzando strumenti di attacco tradizionali, appaiono più mirate e sofisticate. È il caso del recente attacco Download.Ject o, ancor prima, dell’ adware “abusivo” , ed è ancora il caso di un nuovo codice malevolo progettato per rubare numeri di carte di credito, password ed altri dati usati dagli utenti per accedere a siti finanziari e compiere operazioni bancarie.
Quest’ultimo attacco, scoperto e analizzato dall’ Internet Storm Center del SANS Institute, fa uso di un cavallo di Troia che, mascherato da immagine GIF (“img1big.gif”), è veicolato da alcuni pop-up pubblicitari: quando un utente di Internet Explorer visita una pagina Web contenente tale pubblicità, il codice malevolo tenta di sfruttare una nota vulnerabilità del browser di Microsoft, corretta lo scorso aprile, per penetrare sul PC della vittima e installarvi un keylogger , ovvero un programma per registrare i tasti battuti dall’utente. Il programma si attiva quando l’utente accede ad alcuni siti finanziari e bancari: il trojan provvede poi a inviare i dati così raccolti ad un indirizzo Web registrato in Estonia, attualmente irraggiungibile.
Anche quest’ultima minaccia, come le due citate inizialmente, interessa gli utenti di Internet Explorer, quelli che non hanno provveduto ad installare le ultime patch di sicurezza per Windows. L’altra caratteristica in comune con i recenti attacchi è che i PC vengono compromessi nell’istante in cui l’utente visita certi siti Web : questi siti, in genere noti, vengono trasformati in “untori” da uno o più cracker: a differenza di un worm, l’attacco non viene dunque affidato unicamente ad un software capace di proliferare in modo autonomo, ma si basa anche su tecniche di aggressione manuali o semiautomatizzate.
Una volta compromessi alcuni siti chiave, il codice malevolo – sia esso un comune virus, un cavallo di Troia, un bot, uno spyware o che altro – può rapidamente diffondersi su centinaia o migliaia di computer. Sebbene questo metodo sia poco adatto per generare delle epidemie di ampie proporzioni – in genere sono sufficienti poche ore per individuare e fermare la fonte del contagio – i cracker possono effettuare attacchi più complessi e far leva sulla fiducia che gli utenti nutrono verso siti a loro noti.
Nel caso del nuovo attacco, ai cracker è bastato penetrare sul sito che gestiva la pubblicità di un considerevole numero di risorse Web per diffondere in brevissimo tempo il proprio codice verso centinaia, forse migliaia di PC. Ma l’aspetto più interessante di questo cavallo di Troia è che il componente spyware non è costituito da un programma eseguibile, che una volta lanciato sarebbe visibile nella lista dei processi attivi, ma da un cosiddetto Browser Help Object (BHO): si tratta di una sorta di plug-in che, sotto forma di DLL, consente agli sviluppatori di personalizzare e controllare il funzionamento di Internet Explorer. I BHO sono molto utilizzati da portali e società di advertising per installare sui PC, talvolta con mezzi poco leciti, toolbar di ricerca o altri moduli che veicolano pubblicità o tracciano le abitudini dell’utente. Alcuni BHO particolarmente aggressivi cambiano l’home page di IE e visualizzano ad intervalli regolari finestre pop-up con pubblicità di vario genere, talvolta anche porno. Secondo il SANS, tuttavia, questa è la prima volta che tale “feature” viene utilizzata per mettere in piedi una vera e propria frode on-line .
Il BHO spione analizzato dal SANS è programmato per monitorare le connessioni sicure HTTPS (SSL) verso una cinquantina di istituti finanziari e banche di tutto il mondo e loggare i dati POST/GET inviati dal browser dell’utente prima che questi vengano criptati dal protocollo SSL. Dato che il plug-in si attiva solo quando necessario, il cracker “in ascolto” riceve solo informazioni pertinenti ai propri scopi criminali.
“Credo che questo particolare tipo di malware rappresenti una grande minaccia all’industria della finanza on-line”, ha commentato Tom Liston, l’esperto di sicurezza che per primo ha pubblicato un’ analisi approfondita dell’attacco scoperto dal SANS. “Come dimostrato dalla proliferazione di adware e spyware, installare un file eseguibile sulla macchina di un utente è fin troppo facile. L’idea di usare un BHO rende questo tipo di attacchi ancora più insidioso”.
Per minimizzare il rischio di incorrere in questo genere di furti, Microsoft ha raccomandato gli utenti di installare tutte le ultime patch di sicurezza per Windows e IE. Diversi esperti, incluso il CERT, suggeriscono qualcosa di ancora più drastico: utilizzare un browser alternativo
Update (ore 14,00): il cavallo di Troia è stato battezzato da diverse case di antivirus “Bankhook”.