Trojan Limbo 2: scaramuccia tra McAfee e PrevX

I “cybercriminali” hanno rilasciato un trojan, battezzato “Limbo 2”, che è accreditato di una pericolosità abilità, quella di passare inosservato ai principali software antivirus disponibili sul mercato.
In grado di sottrarre all’utente dati sensibili quali le informazioni impiegate per effettuare il login su servizi di online banking, gli autori di Limbo 2 – secondo quanto dichiarato da PrevX – starebbero addirittura vendendo licenze del malware per una cifra che si aggira attorno ai 1.300 Dollari.
Secondo l’analisi resa pubblica da PrevX, Limbo 2 utilizzerebbe una sorta di “guscio intercambiabile”: il malware, quindi, può presentarsi sotto forma di un numero potenzialmente illimitato di varianti. Limbo 2 è destinato quindi a mettere in crisi tutti quei prodotti antivirus che utilizzino unicamente, oppure in maniera prevalente, un approccio basato su un archivio delle firme virali.
Ogni variante di Limbo 2 verrebbe personalizzata dagli autori per essere in grado di rubare i dati di un insieme predefinito di siti web.

Il trojan, inoltre, supera le tradizionali tecniche di “keylogging” integrando un meccanismo capace di generare informazioni “falsificate” sul sistema dell’utente, in modo tale da indurlo a digitare credenziali di accesso personali.

PrevX spiega come Limbo 2 abbia generato un enorme interesse nella comunità dei “cybercriminali” visto il ragguardevole numero di visite che stanno riscuotendo le discussioni relative a questo malware.

“La forza di Limbo 2 sta nella sua versatilità. Anche nel caso in cui venga riconosciuto dai vari prodotti antivirus, possono essere generate innumerevoli nuove varianti nel giro di poche ore”, spiega Jacques Erasmus (PrevX). “Chiunque abbia studiato questo trojan sta già facendo, purtroppo, diversi soldi”.

In seguito alla pubblicazione dei dettagli riguardanti il trojan Limbo 2, si è ingenerato una sorta di “botta e risposta” tra gli esperti di McAfee e quelli di PrevX.

Secondo Allysa Myers (McAfee, da poco passata a svolgere l’incarico di Director of Research in West Coast Labs) la notizia della commercializzazione di malware che garantiscono la possibilità di passare inosservati ai prodotti antivirus ed antimalware non sarebbe una novità. “Ogniqualvolta venga sviluppato un trojan”, osserva Myers, “viene subito verificato se questo possa essere o meno rilevato dai vari motori antivirus. Ciò non implica, tuttavia, che il malware rimanga per sempre irriconoscibile”. Myers continua commentando come Limbo 2 non sia un trojan “nuovo” ovvero come non integri funzionalità in grado di renderne difficoltosa l’individuazione. E si parla di presunto “FUD” (strategia basata sul disseminare informazioni negative, vaghe o inaccurate) da parte di chi afferma il contrario.

Il post successivamente pubblicato sul blog di PrevX appare come una risposta diretta alla Myers, tanto che le osservazioni dell’esperta di McAfee vengono esplicitamente linkate e citate.

Riferendosi alla frase con cui Allysa Myers si era riferita a Limbo 2 come ad un semplice trojan PWS-Banker, Jacques Erasmus (direttore dei laboratori di ricerca PrevX) ha dichiarato: “dubito che gli utenti penseranno la stessa cosa nel caso in cui le loro macchine dovessero essere infettate da Limbo 2 o da trojan similari”. L’analista di PrevX prosegue spiegando come tutte le varie case produttrici di software antivirus debbano modificato il loro “modus operandi” prima possibile od un trojan come Limbo 2 è destinato a restare per lungo tempo di difficile individuazione (“below the radar”).