[NEWS] SpyEye ruba i dati. Anche da account limitato

[c.m.g]

April 26th, 2010 by Marco



L’argomento di cui vado a parlare non è un argomento nuovo, ma sta diventando sempre più rumoroso, tanto da cominciare a vedere sempre più infezioni causate da questo toolkit, chiamato SpyEye.

Anche se non si tratta di un tipo di infezione capace di alterare il kernel di Windows o modificare il Master Boot Record, si tratta comunque del perfetto stereotipo delle attuali infezioni, progettate per rubare dati personali e sensibili utilizzando tecniche di infezione a basso impatto sul sistema. Del codice semplice, ma allo stesso tempo molto efficace, capace di mettere in evidenza quanto sia marcato il gap tra lo sviluppo di malware e la classica risposta dei software antivirus.

SpyEye è l’ultima moda, il nuovo giocattolo che gira nel mondo del mercato nero informatico, capace di diventare in potenza il nuovo ZeuS trojan. Si tratta di un toolkit più economico di ZeuS, il suo codice è efficace e permette ad un potenziale cliente di configurare sia il server di controllo che l’eseguibile del trojan in una manciata di minuti. Addirittura SpyEye è interessato ad uccidere ZeuS – sì, il trojan ha delle routine incluse capaci di disinfettare i PC infetti da ZeuS.

Una volta raggiunta la macchina ed eseguito il proprio codice – che potrebbe essere stato copiato nel pc attraverso exploit presenti in siti web compromessi o attraverso semplice ingegneria sociale – il trojan crea una nuova cartella nella root dell’hard disk dove risiede il sistema operativo. La cartella si chiama cleansweep.exe, e conterrà al suo interno il file chiamato cleansweep.exe e un altro file criptato, chiamato config.bin. Quest’ultimo file contiene le informazioni relative al server C&C.

Per eseguirsi all’avvio del sistema il trojan aggiunge la seguente chiave di registro:

HKEY_CURRENT_USER\Software\Microsoft\Windows\Currentversion\Run [cleansweep.exe][C:\cleansweep.exe\cleanwseep.exe].

Successivamente il trojan inietta il proprio codice all’interno di tutti i processi ai quali può accedere. Prende il controllo delle seguenti API di Windows:

CryptEncrypt,LdrLoadDll,NtEnumerateValueKey,NtQueryDirectoryFile,NtResumeThread,NtVdmControl

Questo permette al trojan di nascondere la propria cartella e la propria chiave di registro dagli occhi dell’utente e dei software antivirus, implementando tecniche di rootkit user mode.

All’interno dei processi dei browser, il trojan prende il controllo delle seguenti API:

TranslateMessage,send,HttpSendRequestA,HttpSendRequestW,InternetCloseHandle

Facendò ciò, il trojan è in grado di rubare tutte le informazioni personali che vengono inviate dal browser ad internet, anche quelle inviate attraverso una sessione SSL. Usando questa tecnica, inoltre, il trojan è in grado di bypassare i classici software anti-keyloggger che criptano la pressione dei tasti della tastiera.



Non appena i dati vengono catturati, il trojan li invia immediatamente al server di controllo utilizzando una sessione HTTP classica. Inoltre il PC infetto può ricevere nuovi comandi da remoto.

L’infezione non è difficile da individuare e rimuovere, anche se utilizza tecniche rootkit. Tuttavia l’infezione si sta diffondendo ed è anche efficace. È forse il caso di spenderci qualche parola in più.



Il fatto che il classico approccio antivirus non è più efficace dovrebbe essere ovvio. Trojan quali ZeuS o SpyEye necessitano di un approccio rapido che solo tecnologie in-the-cloud e tecnologie automatizzate possono fornire.

I malware writer necessitano di pochi minuti per cambiare il codice del proprio malware al fine di renderlo nuovamente irriconoscible dalle signature dei software antivirus. Poi, una volta che il trojan ha evitato i controlli dell’antivirus, anche se l’antivirus stesso riceverà aggiornamenti delle firme virali, questo potrebbe non bastare visto che il trojan utilizza tecniche rootkit per rimanere nascosto. Questo è il primo punto.

Poi c’è un mito da sfatare: Windows, se utilizzato con account limitato, è immune dai malware.

Sbagliato, e ho parlato molte volte in questo blog di questo argomento. SpyEye è l’esempio perfetto. SpyEye è in grado di installarsi ed eseguirsi anche da un account limitato. Si, può ancora rubare informazioni personali dal browser, anche se è eseguito con privilegi limitati.

Sento spesso persone che dicono di non aver bisogno di un software di sicurezza perché utilizzano l’account limitato di Windows: paradossalmente queste persone potrebbero già essere vittime di SpyEye.

Ultimo, ma non per importanza, è il fatto di preoccuparsi riguardo la sicurezza delle transazioni online. Un antivirus, anche se utilizza tecnologie in-the-cloud, potrebbe fallire. Sì, anche Prevx può fallire. Nessun software può individuare il 100% del malware là fuori. È per questo che è importante prendersi cura della propria vita digitale implementando più livelli di sicurezza. Chiunque dovrebbe preoccuparsi di rendere più sicuro il proprio browser mentre si naviga, cercando di bloccare proattivamente eventuali malware dal rubare i dati personali.

Prevx SafeOnline è la risposta, la tecnologia che potrebbe colmare il gap. Anche se si lavora in un account limitato, un malware potrebbe comunque infettare il PC. Anche se abbiamo un antivirus, questo potrebbe fallire nell’individuare l’infezione. Quindi cosa si fa?

Il modo in cui Prevx SafeOnline lavora, proteggendo il browser da keylogger, screen grabbers, attacchi man-in-the-browser, può rendere il browser più sicuro a priori, al fine di proteggerlo anche da eventuali nuove infezioni sconosciute.

Prevx è in grado di individuare e rimuovere l’infezione. Tuttavia gli utenti che utilizzano Prevx SafeOnline sono protetti a priori da SpyEye. Il trojan, anche se attivo nel PC, non è in grado di rubare alcuna informazione dal browser fintanto che è protetto da SafeOnline.

I malware si evolvono rapidamente, adattandosi anche agli account limitati. Come detto in un blog post precedente, danneggiare il sistema non è più lo scopo principale. I dati personali sono l’obiettivo.

Anche lavorando da un account limitato, prendetevi cura della vostra vita digitale.





Fonte: PcAlSicuro.com di Marco Giuliani

[xcdegasp]

ottimo articolo di eraser, come sempre una spanna sopra a tutti

[sampei.nihira]

Quote:

Originariamente inviato da xcdegasp

ottimo articolo di eraser, come sempre una spanna sopra a tutti

Vero !!

[nV 25]

In effetti, a memoria d'uomo non si ricorda un singolo articolo di eraser che non abbia offerto interessanti spunti di riflessione per il lettore...


Personalmente, cmq, gradirei che cancellino spendesse altre 2 parole sul processo di impianto della componente rootkit che, quasi sicuramente, è conseguenza dell'iniezione di codice all'interno dello spazio di memoria di determinati processi...
In particolare, e per capire quindi se un HIPS serio avrebbe (come credo...) potuto prevenire l'infezione, che tipo di stratagemma è stato adottato per perfezionare l'iniezione?




Ora mando un pvt a Marchino e si vede se ha tempo per illuminare ulteriormente...

[eraser]

Assolutamente qualsiasi HIPS avrebbe intercettato l'iniezione di codice. È basilare. Tuttavia i software HIPS di sicuro non rientrano nella lista di programmi standard dell'utenza media

[nV 25]

Grazie per la risposta.

Sul

Quote:

Originariamente inviato da eraser

...Tuttavia i software HIPS di sicuro non rientrano nella lista di programmi standard dell'utenza media

,

ti conforto dicendoti che anche l'utenza avanzata che ho modo di conoscere (tra cui 2 ingegneri informatici ), non solo non usano questi strumenti ma adottano l'approccio rilassato, e cioè il (quasi) punta e clicca e, se qualcosa dovesse andar male, se ne vanno beati alla ricerca dell'apposito tool di rimozione.

Insomma, il problema lo vivono come un non problema visto che non sembrano essere minimamente toccati da questo discorso...

Da contraltare, però, si ritrovano Pc che, pur di recente tecnologia, paiono dei Commodore64 tanto sono imballati...


Questo, giusto per dire che l'ignoranza e la poca cura di quello che si ha non risparmia nessuno...

[c.m.g]

Piccoli ZeuS crescono su webnews

[xcdegasp]

Quote:

Originariamente inviato da nV 25

Da contraltare, però, si ritrovano Pc che, pur di recente tecnologia, paiono dei Commodore64 tanto sono imballati...


Questo, giusto per dire che l'ignoranza e la poca cura di quello che si ha non risparmia nessuno...

aggiungo che poi arrivano a dare la colpa all'antivirus disinstallandolo per liberare ram e cpu

[nV 25]

Quote:

Originariamente inviato da xcdegasp

aggiungo che poi arrivano a dare la colpa all'antivirus disinstallandolo per liberare ram e cpu

e io, a mia volta, aggiungo di non essermi mai "scoperto" con suggerimenti o quant'altro per evitare di cadere nel vicolo cieco dei "doveri" spettanti in via automatica a chi dimostra di conoscere meglio certe problematiche:

in sostanza, rispondo all'approccio rilassato applicando alla lettera la citazione "non ti curar di lor ma..."