Scoperto per la prima volta nel luglio 2007, quando fu utilizzato per sottrarre informazioni sensibili presso il Dipartimento dei Trasporti degli Stati Uniti, il malware Zeus iniziò a diffondersi su più vasta scala nel marzo 2009.
Zeus appartiene alla categoria dei banking trojan, appositamente studiato per sottrarre informazioni personali (dati per l’accesso a servizi di online banking, numeri di carte di credito insieme con relativi codici di autorizzazione, nomi utente e password, certificati digitali,…) e rubare denaro ai malcapitati il cui sistema dovesse essere infettato con successo.
I tecnici dei laboratori di Comodo hanno annunciato la scoperta di una variante di Zeus che utilizza un certificato digitale valido, rilasciato da Microsoft.
Il numero dei campioni malware firmati digitalmente sta crescendo a vista d’occhio: nell’ultimo biennio, ben 200.000 malware hanno fatto uso di certificati digitali riconosciuti come validi da browser web e sistemi operativi.
Gli autori dei malware stanno ricorrendo all’utilizzo delle firme digitali per evitare la comparsa di molti messaggi d’allerta generalmente esposti dal sistema operativo quando l’identità dell’applicazione che si sta avviando non è nota. Gli utenti tendono a dar fiducia a quei software che dispongono di una firma digitale: i programmi non firmati, infatti, generano solitamente la comparsa di una finestra di dialogo che chiede esplicita conferma prima di procedere all’eventuale installazione.
Nelle versioni a 64 bit di Windows Vista, Windows 7 e Windows 8.x, tra l’altro, non è proprio possibile avviare l’installazione di un driver sprovvisto della firma digitale.
Coloro che sviluppano malware hanno da tempo iniziato a sfruttare vari espedienti per ottenere firme digitali valide o certificati da utilizzare in abbinamento ai propri software maligni.
La variante di Zeus individuata da Comodo in questi giorni si maschera da file parte integrante di Internet Explorer e si presenta con un certificato digitale valido per non insospettire utenti e sistema operativo.
Una volta eseguito, il malware provvede a scaricare ed installare componenti rootkit che si occupano di intercettare e trasferire altrove le credenziali d’accesso digitate dall’utente per accedere, ad esempio, ai servizi di online banking.