Reston (USA) – Il responsabile dell’ultima epidemia telematica che tiene col fiato sospeso centinaia di migliaia d’utenti è un trojan che sfrutta la falla critica nel formato multimediale WMF utilizzato dai prodotti Microsoft . Finora, stando alle stime di VeriSign , il malware potrebbe avere già infettato un milione di computer.
Riconosciuto da Symantec col nome MetaFisher , questo trojan si diffonde attraverso la posta elettronica: basta che un utente ignaro segua il collegamento all’interno del messaggio e MetaFisher si autoinstalla, trasformando il computer in uno zombie , nome comune per indicare il nodo di una botnet .
Il computer infetto entra infatti a fare parte di un complicato sistema che raccoglie e registra ogni transazione finanziaria e ciascuna procedura d’autenticazione effettuata. I dati raccolti vengono poi spediti ad un webserver remoto, totalmente automatizzato: attraverso un complesso programma in PHP, gli untori riescono a filtrare le informazioni sottratte ed individuare i codici identificativi utilizzati per accedere ai servizi bancari telematici .
Ken Dunham, esperto di sicurezza del team iDefense sostiene che “MetaFisher è tra i trojan più sofisticati mai analizzati”. “Abbiamo visto molti tipi di trojan utilizzati per creare botnet e per spiare le attività degli utenti”, dice Dunham, “ma questo utilizza una tecnica talmente raffinata e sofisticata da fare invidia ad un sistema di gestione dati professionale”.
MetaFisher trasmette dati attraverso una connessione criptata , organizza i dati rubati in base al paese di provenienza e tiene nota dell’entità delle pagine web visitate dall’utente infetto, catalogandole in base alle parole chiave contenute. Inoltre, MetaFisher può modificare il proprio comportamento in qualsiasi momento ricevendo ordini impartiti a distanza.
Naturalmente, la migliore forma di prevenzione contro MetaFisher è l’installazione immediata delle patch di sicurezza che correggono la falla WMF. Inoltre, come consiglia lo stesso Dunham, “bisogna ricordare agli utenti di non aprire nessun collegamento sconosciuto contenuto in messaggi di posta elettronica non sicuri”.
Il trojan, stando al rapporto di iDefense, è attualmente in mano a numerose organizzazioni criminali ed esistono già diverse varianti , progettate per colpire in modo specifico le banche di certi utenti.
Secondo le prime indagini, gli untori si troverebbero prevalentemente in Europa e negli Stati Uniti. Un bollettino di sicurezza di Websense parla poi di un malware assai simile e ne attribuisce la paternità ad un anonimo russo.