Per Finjan sta iniziando l'era dei Trojan 2.0

E’ sempre più di moda “ribattezzare” con l’appellativo “2.0” le nuove tendenze che stanno caratterizzano web ed applicazioni di nuova generazione. Alcuni ricercatori di sicurezza hanno iniziato a battezzare “Trojan 2.0” alcuni malware che stanno cominciando ad utilizzare la tecnologia RSS per comunicare.
Yuval Ben-Itzhak, CTO di Finjan, ha registrato la nascita di tre “inediti” trojan che sfruttano alcuni blog di limitata popolarità per ricevere istruzioni da parte di botnet o per redistribuire informazioni rubate sui sistemi infettati.
Secondo Ben-Itzhak, gli autori di malware utilizzerebbero sempre più come “ponte” per compiere attività maligne siti web legittimi e servizi come Google e Yahoo proprio nel tentativo di far passare inosservati i vari componenti dannosi.
Per Finjan, insomma, il 2008 sarà l’anno in cui i malware cominceranno a fare pesantemente uso di blog e siti di social networking per diffondersi senza destare sospetti.
Ecco come Finjan descrive il comportamento di un ipotetico “Trojan 2.0”:
1. il personal computer dell’utente viene infettato da un “Trojan 2.0” utilizzando uno dei tanti metodi comunemente applicati (iframe o “code obfuscation”)
2. l’aggressore usa un server privato che provvede a pubblicare su blog od altri servizi simili, i comandi da inviare al “Trojan 2.0”. Tali comandi indicano le azioni che il malware deve compiere (sottrazione di password e di dati personali).
3. il personal computer infetto provvede a recuperare i comandi servendosi un legittimo aggregatore di feed RSS
4. i dati vengono estrapolati dal trojan dall’elenco dei feed RSS ed i comandi indicati vengono eseguiti sul personal computer infetto
5. tutte le informazioni illecitamente recuperate dal malware vengono poi ripubblicate online. Il sito Web 2.0 (ospitato, ad esempio, su MySpace.com o Googlepages) diviene così una sorta di “contenitore” temporaneo che agevola l’attività del malware.