Gli esperti di G DATA, società tedesca fondata nel 1985 e specializzata nello sviluppo di soluzioni per la sicurezza informatica, hanno registrato una nuova importante tendenza: gli autori di malware stanno guardando con sempre maggior interesse e convinzione alla “filosofia cloud”.
L’obiettivo, come dicono gli statunitensi, è quello di rimanere “under the radar“, ossia di sottrarre dati personali degli utenti e mettere in atto altre operazioni pericolose senza che il proprietario del sistema se ne accorga e senza ingenerare alcun allarme da parte delle soluzioni antivirus installate.
G DATA cita come esempio i malware capaci di sottrarre i dati per l’autenticazione a servizi di online banking o comunque a strumenti che consentono di “muovere” denaro. Se fino a qualche tempo fa, la tendenza dei “malware writers” era quella, dopo aver “infettato” un sistema, di caricarvi dei “file di configurazione” contenenti la lista dei siti web da attaccare e le modalità per la sottrazione dei dati, adesso l’idea è quella di ridurre al minimo le informazioni memorizzate sul sistema della vittima.
I tecnici di G DATA hanno rilevato una variante del ben noto malware (si tratta di un cosiddetto banking trojan) ZeuS (vedere questi nostri articoli) che sfrutta un codice JavaScript più compatto rispetto al passato. Esso viene sfruttato per “iniettare”, all’interno di alcune pagine web ben definite (ad esempio su siti come PayPal, eBay, Amazon e Facebook), codice che ne altera il contenuto.
Diversamente rispetto a quanto accadeva in passato, una delle ultime varianti di ZeuS scoperte dal team di G DATA carica una funzione JavaScript che provvede a scaricare “dalla nuvola” il codice contenente le istruzioni per modificare le pagine web visualizzate nel browser da parte dell’utente.
G DATA, ad esempio, ha scoperto che ZeuS, al momento dell’effettuazione di un pagamento attraverso PayPal, provoca la visualizzazione di un messaggio che invita l’utente a confermare i dati della propria carta di credito. Come si vede in quest’immagine, il codice Javascript “webinjector” si inserisce nel corpo della pagina di PayPal e ne altera il funzionamento. Una volta che l’utente sarà persuaso ad inserire i dati dalla sua carta di credito, questi saranno automaticamente girati ai criminali informatici.
Ancora più “cloud” è il malware Ciavax che, attivo sin dal mese di agosto, ha già abbondantemente perfezionato il suo funzionamento. Esso infatti, diversamente da ZeuS, tiene completamente segreta la lista dei siti web oggetto d’attacco e provvede a scaricarla “dalla nuvola”.
Usando queste tecniche, gli aggressori possono sferrare attacchi molto più efficaci adeguando il loro codice nocivo alle modifiche apportate ai vari siti web e scegliendo di volta in volta quali siti web bersagliare.
Maggiori informazioni sono reperibili sul sito web di G DATA facendo riferimento a questo indirizzo.