All’orizzonte c’è già un nuovo ZeuS. Secondo Prevx sarebbe già in circolazione quello che pare proprio essere il successore del pericoloso malware. ZeuS, lo ricordiamo, è più volte balzato agli “onori” delle cronache soprattutto in forza della sua complessità e della competenza tecnica che contraddistingue gli autori. Il malware, infatti, viene incontro a tutte le esigenze del “truffatore online”: in particolare, è stato studiato per sottrarre dati personali e credenziali di accesso (ad esempio username e password per l’accesso a servizi online, credenziali per l’impiego di strumenti di online banking,…). Una volta infettato un sistema, ZeuS sfrutta una serie di funzionalità evolute che permettono di intercettare dati attraverso i protocolli HTTP, HTTPS e POP3, di modificare in tempo reale il contenuto delle pagine web visitate con il browser, di trasmettere agli aggressori tutti i dati raccolti attraverso software di messaggistica istantanea.
Inoltre, una volta infettato un sistema, ZeuS lo rende parte di una “botnet“, gestibile da remoto attraverso un comodo pannello di amministrazione. Un aggressore, insomma, può controllare insiemi di computer infetti decidendo di volta in volta le operazioni che questi debbono compiere in modo automatizzato.
Le botnet, lo ricordiamo, sono “reti” di personal computer, fisicamente situati anche a migliaia di chilometri di distenza, che vengono a costituirsi in seguito all’infezione da particolari malware. Tali componenti installano sui sistemi infetti degli elementi software nocivi (“trojan”) che di fatto aggiungono la macchina dell’utente vittima alla botnet e ne permettono il controllo remoto da parte degli aggressori. Le botnet hanno un potenziale enorme perché possono essere utilizzate, da malintenzionati, per sferrare attacchi DDoS, inviare spam oppure compiere altri tipi di operazioni dannose.
Secondo Marco Giuliani, malware technology specialist per Prevx, ZeuS – in relazione al quale si sono registrati, sia nel Regno Unito che negli USA, numerosi arresti (ved. questa notizia – avrebbe già un “figlio”. Tra Murofet.A, un nuovo malware di recente scoperta, e ZeuS vi sarebbero troppi tratti in comune per non pensare che alla base dei due trojan vi siano gli stessi sviluppatori.
“Sia Murofet.A che ZeuS prendono di mira le medesime chiamate API Win32” scrive Giuliani che fa presente di aver rilevato un’impressionante somiglianza tra i codici utilizzati nei due malware.
Murofet.A introduce un’importante novità: il trojan non si aggiorna più utilizzando un indirizzo Internet preimpostato ma è capace di ricorrere ad una routine per l’update da un insieme pseudo-casuale di domini.
Per Giuliani, quindi, “Murofet.A” dovrebbe essere rinominato in “ZeuS++“.
Il malware si diffonde attraverso la veicolazione, in Rete, di file infetti. Strumenti preferiti restano quindi i network peer-to-peer ma potrebbero ben presto iniziare attacchi “drive-by download” che inducono l’utente al download di oggetti in grado di scatenare l’infezione a partire da una pagina web dannosa. Giuliani, ipotizzando la realizzazione di Murofet.A da parte dello stesso team di persone che ha concepito ZeuS, ritiene l’uso del vettore “drive-by” molto probabile.
Un’analisi tecnica della nuova minaccia è disponibile in questo articolo ed in questa pagina.