Il malware Zeus bersaglia gli utenti italiani via e-mail

Di Zeus abbiamo parlato più volte. Si tratta di un pericoloso malware appositamente studiato per sottrarre informazioni personali (dati per l'accesso a servizi di online banking, numeri di carte di credito insieme con relativi codici di autori...

Di Zeus abbiamo parlato più volte. Si tratta di un pericoloso malware appositamente studiato per sottrarre informazioni personali (dati per l’accesso a servizi di online banking, numeri di carte di credito insieme con relativi codici di autorizzazione, nomi utente e password) e rubare denaro ai malcapitati il cui sistema venisse infettato con successo. Zeus si diffonde utilizzando schemi drive-by download (sono più esposti, in questo caso, gli utenti che non usano aggiornare tempestivamente il browser e tutti i plugin utilizzati) oppure attacchi phishing.

Proprio in queste ore abbiamo rilevato una nuova ondata di attacchi che sembrano ricollegabili all’azione di Zeus. Questa volta le aggressioni paiono appositamente studiate per bersagliare gli italiani ed indurli all’installazione di Zeus sul proprio sistema.

Tutto inizia con l’arrivo di e-mail con soggetto e testo in italiano: “Richiesta sta per essere eseguita. Il nostro sistema di ticket ha chiesto informazioni sul profilo” si legge di un messaggio. “Il tuo ordine viene elaborato, vedere il risultato del profilo a“, è la frase che appare in un’altra e-mail. Ci sono però probabilmente almeno una decina di varianti di messaggi di posta in circolazione: ciascuno di essi cerca di tendere una trappola agli utenti più creduloni citando ordini, richieste di conferma o spedizioni assolutamente fasulle.
In ogni messaggio è presente un link facente riferimento ad un file Zip contenente il codice dannoso. Eseguendo il contenuto dell’archivio compresso, il malware entrerà immediatamente in esecuzione inserendo il personal computer in una botnet (un insieme di macchine controllabili da remoto dai malintenzionati) ed iniziando a monitorare i tasti premuti dall’utente e le informazioni inserite nei moduli online alla ricerca di dati personali da sottrarre.

I siti web che ospitano il malware sono stati, molto probabilmente, precedentemente compromessi. Abbiamo infatti provato ad inserire nella speciale pagina diagnostica di Google che restituisce informazioni sull'”identità” di un nome a dominio (Google: ogni giorno rilevati 9.500 nuovi siti dannosi) i siti web citati nelle e-mail truffaldine. In tutti i casi Google ha risposto con il seguente messaggio: “contenuto sospetto è stato rilevato l’ultima volta in data 2012-12-11. Esempi di software dannoso sono: 1 trojan(s). (…) Questo sito ha ospitato malware? Sì, questo sito ha ospitato software dannoso nel corso degli ultimi 90 giorni“.
Ricordiamo che chiunque può interrogare la funzionalità “Safe Browsing” di Google digitando, nella barra degli URL del browser, l’indirizzo http://www.google.com/safebrowsing/diagnostic?site= e digitando, alla fine, il nome del dominio da controllare (esempio: http://www.google.com/safebrowsing/diagnostic?site=www.ilsoftware.it).

Ciò che è preoccupante è che molti software antivirus, almeno fino alla serata di ieri, non erano ancora in grado di rilevare correttamente la minaccia. In altre parole, scaricando il file citato nelle e-mail truffaldine, questo non veniva indicato come nocivo da parte di molti motori antivirus. Oggi la situazione è notevolmente migliorata con 20 produttori di antivirus che sono in grado di riconscere la minaccia (vedere quest’analisi su VirusTotal).

Marco Giuliani, direttore della società di sicurezza italiana ITSEC, ha dichiarato che questi campioni di malware, appositamente studiati per prendere di mira gli utenti italiani, “ad una prima analisi sembrano appartenere alla famiglia dei banking trojan ZeuS. Un attacco mirato riesce così ad avere ancora una volta la meglio nei confronti delle vecchie tecnologie signature-based dei classici software antivirus. Questo è uno dei motivi per i quali le tecnologie euristiche e cloud debbano assumere oggi un ruolo quanto mai principale nella logica di difesa contro le minacce informatiche“.

Suggeriamo ai lettori di usare la massima cautela evitando di seguire link sospetti, inseriti in messaggi di posta elettronica che – in molti casi – provengono da contatti sconosciuti.
Per ulteriori informazioni sul trojan Zeus, è possibile fare riferimento a questi nostri articoli.

Ti consigliamo anche

Link copiato negli appunti