I malware guardano alla perfezione: un trojan sotto la lente

Joe Stewart, ricercatore presso SecureWorks, ha effettuato un’operazione di “reverse engineering” sul codice del trojan Pushdo. L’attività ha consentito di mettere a nudo un complesso sistema per la distribuzione del malware abbinato ad intelligenti tecniche di mascheramento e monitoraggio delle attività dannose via a via svolte. L’occasione è buona per riflettere su quanto molti malware siano divenuti oggi “efficaci” e difficili da mettere a nudo.
Stewart ha scoperto come, nel caso del trojan Pushdo – oggetto della sua analisi -, il server principale dal quale vengono scaricati i campioni del malware, ospitasse ben 421 varianti del componente nocivo.
Sfruttando tecniche di ingeneria sociale, il trojan si presenta dapprima come una cartolina d’auguri – all’interno della casella di posta elettronica – spronando così l’utente più incauto ad aprire l’allegato dannoso. Una volta in esecuzione, Pushdo avvia immediatamente una comunicazione con l’esterno. Pushdo utilizza un database “GeoIP” che permette di individuare in quale regione geografica è situato l’indirizzo IP associato alla macchina infettata. In questo modo, gli autori del malware possono impostare delle “regole” che permettano di bersagliare nazioni specifiche con un determinato “payload” (con questo termine si fa riferimento al codice runtime presente in un virus informatico).
Ogni vittima viene poi tracciata in modo meticoloso. Stewart spiega infatti come Pushdo non solo tenga traccia dell’indirizzo IP ma recuperi il numero di serie del disco fisso della macchina infetta, controlli il file system impiegato, la versione di Windows utilizzata e così via.
Interessante la verifica del numero di serie del disco fisso. E’ facile ipotizzare che il controllo venga effettuato per stabilire se il programma sia in esecuzione o meno su una “virtual machine”. I produttori di antivirus, infatti, usano le “virtual machine” per analizzare in profondità il comportamento di malware senza così dover modificare la configurazione del sistema in uso.
Pusho, inoltre, getta le basi per lo sviluppo di malware sempre più pericolosi. Il trojan, infatti, si occupa anche di verificare quali tool antivirus, antimalware e firewall siano presenti sulla macchina dell’utente. Queste informazioni vengono poi trasmesse in Rete così da stilare una statistica sui prodotti non in grado di rilevare la presenza del componente dannoso sul sistema.
“Abbiamo a che fare con ecosistema malware piuttosto sfaccettato”, ha dichiarato Stewart. “Il business che sta alla base dello sviluppo di malware sta iniziando a far leva su un sempre maggior numero di specialisti. La distribuzione dei downloader è gestita da alcuni, ben remunerati per assolvere queste attività; le botnet sono mantenute da altri; ci sono poi spammer che, a loro volta, acquistano l’uso delle botnet”.
I “downloader” sono applicazioni di dimensioni ridottissime che, una volta andati in esecuzione, provvedono a scaricare i malware veri e propri dagli indirizzi Internet specificati. Le “botnet” sono insiemi di computer in genere controllati illecitamente all’insaputa del legittimo proprietario. Secondo alcuni studi l’11% dei sistemi di tutto il mondo sarebbero infettati da bot, ritenuti responsabili dell’invio addirittura dell’80% dell’intero quantitativo di e-mail indesiderate ricevute quotidianamente. Il controllo delle macchine infettate viene infatti spesso venduto, da criminali informatici, ad altre organizzazioni che effettuano attività illecite come l’invio di campagne spam.