4718 Letture

Lo "Storm worm" cambia pelle e prende di mira i blog

Lo "Storm worm" continua ad evolversi e a presentarsi sotto nuove forme. L'obiettivo dei suoi autori sembra essere quello di creare una delle "botnet" più grandi mai esistite. Il worm "Storm" si è presentato, dai primi di Gennaio ad oggi, sotto le spoglie più disparate: via e-mail, per indurre l'utente ad aprire l'allegato nocivo, il worm ha utilizzato tecniche di ingegneria sociale veicolando false notizie meteorologiche (sfruttando l'interesse dell'opinione pubblica per gli aggiornamenti relativi all'uragano abbattutosi sull'Europa settentrionale ad inizio anno), riportando indiscrezioni sul fatto che Saddain Hussein fosse ancora in vita, sulla morte di Fidel Castro. "Storm worm" si è fatto poi foriero di falsi messaggi "sexy" e di "cartoline virtuali" decisamente pericolose. Alcune varianti hanno poi iniziato ad infettare anche i forum online. Il malware veicolato da "Storm", una volta insediatosi sul sistema dell'utente, vi si installava sotto forma di LSP ("Layered Service Provider"). Come un parassita, il malware diveniva così in grado di intercettare ed analizzare tutto il traffico di rete intervenendo attivamente sui pacchetti in uscita. Ogniqualvolta veniva rilevato l'invio, da parte dell'utente di un messaggio su un forum di discussione vBulletin o phpBB il malware, agendo a basso livello, provvedeva ad aggiungere automaticamente link ad oggetti pericolosi. Il worm poteva anche modificare i testi di messaggi di posta elettronica inviati da web tramite i servizi GMail, Yahoo Mail, AOL e simili.
Più di recente, lo "Storm worm" ha iniziato a camuffarsi da video di YouTube (ved. queste notizie).
Secondo gli esperti di alcune aziende attive nel campo della sicurezza informatica, lo "Storm worm" avrebbe adesso iniziato a prendere di mira anche i blog. Il worm sarebbe ora in grado di accedere agli account degli utenti di BlogSpot e creare nuovi blog con link a componenti trojan.
Secondo Sunbelt Software, i messaggi pubblicati dal worm sarebbero inviati attraverso la funzionalità di BlogSpot che permette di spedire e-mail ad uno specifico indirizzo in modo tale che i contenuti possano essere poi automaticamente aggiunti al proprio blog. Da Heise Security si fa notare come non tutti i link risultino operativi: "sembrano fare riferimento ad indirizzi IP, probabilmente dinamici, di macchine già infette; si tratta di sistemi spenti oppure ai quali è stato già assegnato un IP differente".
Heise stima che, ad inizio Agosto, già 1,7 milioni di sistemi facessero parte della "botnet" creata dallo "Storm worm" e mette in allerta sui possibili rischi: "sebbene la rete creata sia impiegata principalmente per l'invio di spam, tra gli utilizzi possibili vi sono anche attacchi DoS verso istituzioni, aziende ed addirittura interi Paesi".

Lo