Negli ultimi sei mesi,
Trend Micro ha registrato un incremento delle attività legate al malware
ZeuS, utilizzato per creare una delle
più estese e longeve botnet (reti di computer zombie) con l'obiettivo principale di sottrarre credenziali bancarie e altri dati sensibili. Di recente ZeuS è arrivato ad una media di circa 300 campioni unici al giorno e, nel solo mese di gennaio 2010, Trend Micro ne ha registrato oltre 13.000.
Ciò emerge da un recente report, "
ZeuS: A Persistent Criminal Enterprise", che ha analizzato le attività delle organizzazioni criminali dell'Europa orientale responsabili di
uno dei più prolifici kit utilizzati dai cyber-criminali per il furto di denaro su vasta scala. ZeuS, è infatti l'arma preferita dalla criminalità organizzata russa e ucraina che è la principale responsabile della creazione della botte. Tuttavia la disponibilità sul "mercato underground" del tool kit per creare il malware e archiviare su un server i dati sottratti (ZeuS Builder e Zeus Server) ne permette l'utilizzo da parte di più gruppi o singoli malintenzionati.
ZeuS, inoltre, deve gran parte della sua pericolosità alla capacità di
aggiungere ulteriori campi nelle maschere che appaiono durante le sessioni online legittime (di collegamento ad esempio al sito di banche), inducendo così le vittime a inserire informazioni che normalmente la banca non richiederebbe.
Il successo di ZeuS è da addebitare in parte alla possibilità per i cyber-criminali di reclutare online i cosiddetti
money mule, complici "somari" che, adescati attraverso finte offerte di lavoro a domicilio, riciclano il denaro sporco a loro insaputa. Alla luce della difficile situazione economica mondiale, con milioni e milioni di disoccupati, i cybercriminali sanno di poter avere facilmente successo nel reclutare nuovi complici.
A tali complici viene richiesto di fornire le informazioni relative ai loro conti correnti, sui quali i cybercriminali trasferiscono somme di denaro inferiori a 10.000 dollari (un elemento che indica la conoscenza dei limiti vigenti per i trasferimenti di denaro sul circuito bancario) sottratte dai conti delle loro vittime e i complici, a loro volta, provvedono a trasferire il denaro in Europa orientale attraverso servizi di money transfer.
Nella gran parte dell'anno passato, Trend Micro ha rilevato varianti di ZeuS che sono state distribuite anche attraverso
la rete bot Avalanche, una botnet fast-flux per l'invio di massa di
messaggi spam. Gli attacchi di spam simulavano mail provenienti da noti siti di social networking come
Facebook e
My Space. I cybercriminali responsabili di questi attacchi hanno tentato persino di replicare messaggi e-mail e siti Web di istituzioni federali statunitensi quali la Federal Deposit Insurance Corporation (FDIC), il Centers for Disease Control and Prevention (CDC), la Social Security Administration (SSA) e l'Internal Revenue Service (IRS).
Un'altra particolarità riscontrata recentemente nelle versioni correnti di ZeuS è la funzione "
Jabber". Jabber è un protocollo di instant messaging open source utilizzato da
Google Talk, ma anche da JabberZeuS, una variante di ZeuS che invia in tempo reale al botmaster ZeuS, tramite instant message, le credenziali sottratte durante una sessione di online banking, in modo tale da permettere l'immediato accesso all'account dell'ignara vittima utilizzandone le stesse credenziali per rubare denaro dal conto, appoggiandosi "sulle spalle" della vittima durante la stessa sessione di online banking.
Lo studio Trend Micro evidenzia inoltre come
BREDOLAB, altro pericoloso malware, e ZeuS, pur essendo tool distinti, si completino a vicenda e ciò spiega perchà© vengano rilevati spesso insieme. Mentre ZeuS è specializzato nel sottrarre informazioni dai sistemi infettati, BREDOLAB permette alle organizzazioni cybercriminali di distribuire ogni sorta di software alle loro vittime. Una volta che un computer è infettato da BREDOLAB riceverà regolari aggiornamenti del malware esattamente come avviene con gli aggiornamenti software distribuiti dai vendor di programmi per la sicurezza. Per massimizzare i loro profitti i cyber criminali insieme a Bredolab e ZeuS utilizzano anche il malware
FAKEAV, che si presenta come software antivirus.
Lo studio realizzato da Trend Micro è consultabile
qui
Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di
BitCity.it iscriviti alla nostra
Newsletter gratuita.
