Il malware Zeus torna ancora ad affacciarsi sul panorama italiano confermandosi come una delle minacce allo stesso tempo più pericolose e longeve. Scoperto per la prima volta nel luglio 2007, quando fu utilizzato per sottrarre informazioni sensibili presso il Dipartimento dei Trasporti degli Stati Uniti, iniziò a diffondersi su più vasta scala nel marzo 2009, Zeus è stato appositamente studiato per sottrarre informazioni personali (dati per l’accesso a servizi di online banking, numeri di carte di credito insieme con relativi codici di autorizzazione, nomi utente e password, certificati digitali,…) e rubare denaro ai malcapitati il cui sistema venisse infettato con successo.
Zeus si diffonde utilizzando schemi drive-by download (sono più esposti, in questo caso, gli utenti che non usano aggiornare tempestivamente il browser e tutti i plugin utilizzati) oppure attacchi phishing.
Proprio in queste ore abbiamo rilevato una nuova ondata di attacchi che sembrano ricollegabili all’azione di Zeus. Le aggressioni, come già accaduto in passato sono appositamente studiate per bersagliare gli italiani ed indurli all’installazione di Zeus sul sistema.
Tutto inizia con l’arrivo di un’e-mail con soggetto e testo in italiano: “La nostra azienda ha scoperto una discrepanza nei calcoli probabilmente con voi. Scusa se ti disturbo, ma noi non convergono rapporto fiscale. Vi chiediamo di essere messo fuori per controllare l’importo dei pagamenti“.
Ci sono però attualmente in circolazione diverse varianti dei messaggi di posta collegati all’azione di Zeus: ciascuno di essi cerca di tendere una trappola agli utenti citando documenti, ordini, richieste di conferma o spedizioni assolutamente fasulle.
In ogni messaggio è infatti presente un link facente riferimento ad un file Zip o ad un eseguibile contenente il codice dannoso.
Eseguendo il file exe od aprendo il contenuto dell’archivio compresso, il malware entrerà immediatamente in esecuzione inserendo il personal computer in una botnet (un insieme di macchine controllabili da remoto dai malintenzionati) ed iniziando a monitorare i tasti premuti dall’utente e le informazioni inserite nei moduli online alla ricerca di dati personali da sottrarre (funzionalità di keylogging).
I siti web che ospitano il malware Zeus (presenti negli URL contenuti nelle e-mail di phishing) sono stati precedentemente compromessi: è facile verificarlo servendosi di urlQuery (Verificare se un sito è infetto con urlQuery) e degli strumenti che abbiamo presentato nell’articolo Controllare se un sito è sicuro. Effettuare la scansione antivirus di un file senza scaricarlo.
Ciò che è preoccupante è che i motori di scansione di diversi antivirus (basati sull’utilizzo delle firme virali) non sono tutt’oggi in grado di rilevare correttamente la minaccia. Ieri, solamente 7 motori dei 50 presi in esame (vedere questa analisi su VirusTotal) erano in grado di riconoscere i nuovi campioni malware di Zeus.
Marco Giuliani, CEO di Saferbytes, società italiana specializzata in soluzioni per la sicurezza informatica, ha confermato che questi campioni di malware, appositamente studiati per prendere di mira gli utenti italiani, “appartengono alla famiglia dei banking trojan Zeus. Si tratta di attacchi mirati che riescono ad avere ancora una volta la meglio nei confronti delle vecchie tecnologie signature-based dei classici software antivirus. Questo è uno dei motivi per i quali le tecnologie euristiche e cloud debbano assumere oggi un ruolo quanto mai principale nella logica di difesa contro le minacce informatiche“.
Suggeriamo ai lettori di usare la massima cautela evitando di seguire link sospetti, inseriti in messaggi di posta elettronica che – in molti casi – provengono da contatti sconosciuti.
Anche Cisco ha confermato la diffusione dei nuovi esemplari di Zeus diramando un’allerta proprio poche ore fa.
Per ulteriori informazioni sul trojan Zeus, è possibile fare riferimento a questi nostri articoli.