lunedì 9 aprile 2018

Un trojan sta flagellando l'Italia: si chiama URSNIF


Utilizza, per la diffusione, un sistema piuttosto raffinato di ingegneria sociale, si diffonde tramite allegati dannosi. Il fatto che la maggior parte degli antivirus in commercio ne riesca a riconoscere gli allegati infetti non ha ridotto, evidentemente, la diffusione dello stesso. Sembra banale, ma lo ripetiamo: se l'antivirus avvisa che un allegato è dannoso, forse non è il caso di aprirlo!

Come si diffonde...
non si tratta di un malware molto sofisticato, semplicemente gli attaccanti hanno trovato un sistema ingegnoso di diffusione. Nella quasi totalità dei casi i malware che si diffondono via email usano un meccanismo piuttosto ripetitivo per la diffusione: una volta infettato un computer, usano la lista dei contatti per inviare una serie di email con allegato il trojan stesso. E' una tecnica, questa, che ha goduto di grande successo tra i cyber truffatori negli anni 2000 circa, ma poi ha "perso smalto": una volta conosciuto il trucchetto, occorre essere molto bravi ad impostare in maniera coerente oggetto e contenuto delle email stesse per convincere la vittima ad aprire l'email stessa e l'allegato.

La novità di URSNIF sta qui: per rendere più credibili le email il trojan è stato programmato per inviare i messaggi inserendoli nei thread attivi della posta elettronica. Il messaggio così non sembra "piovere dal nulla", ma si inserisce direttamente in un contesto, sembrando a tutti gli effetti la risposta ad una conversazione già in corso. Il risultato è che URSNIF si sta diffondendo ad una rapidità incredibile. Tutto questo nonostante il testo non sia particolarmente felice: parliamo di un banale e sgrammaticato "Buongiorno, Vedi allegato e di confermare. Cordiali saluti". 

Una mail vettore di URSNIF

Il messaggio infatti:
  • appare avere una provenienza del tutto sicura (utilizza perfino la firma dell'account di posta elettronica violato);
  • induce quindi i destinatari ad abilitare le Macro (disabilitate di default in Word) senza indugiare troppo;
  • è così convincente da indurre gli utenti ad ignorare gli avvisi dell'antivirus, arrivando perfino a convincere alcuni utenti a recuperare il file dalla quarantena o disattivare i sistemi di sicurezza pur di aprirlo. 
Il vettore di attacco
Il vettore di attacco è il classico file Word che usa le Macro per avviare l'installazione di URSNIF. Per aggirare i controlli dei software antivirus, modifica perfino la sequenza dei comandi Macro, così da non offrire eccessivi punti di riferimento utili a classificare il suo modus operandi.


Il trojan: qualche dato tecnico
URSNIF è un data-stealing e keylogger: registra cioè ogni battuta effettuata dalla vittima sulla tastiera del computer infetto, ma anche ogni sito web visitato, al fine di rubare dati e informazioni sensibili. Salva poi queste informazioni in un file log che viene trasmesso agli attaccanti attraverso una connessione anonima TOR. Il file log viene salvato nella cartella utente %Temp% e rinominato con un nome a 4 caratteri come F173.bin: questo file .bin attualmente è un file .zip contenente il log con le informazioni registrate dal trojan. 

Fonte: bleepingcomputer.com
Nell'esempio, che traiamo da Bleeping Computer, si può vedere dal log che l'utente ha aperto il browser Chrome, che a sua volta ha aperto automaticamente la home page, Google. L'utente ha quindi cercato le parole "movie times": gli attaccanti quindi hanno tentanto di eseguire manualmente il login al sito Fandango.com con le credenziali indicate nel log. Infine hanno copiato del testo negli appunti di Windows: queste informazioni finiscono in mano allo sviluppatore che può ricevere o modificare le credenziali rilevate o altre informazioni riservate. Si possono usare per ricattare la vittima, rubare denaro o eseguire un furto di identità. 

Nessun commento:

Posta un commento