Master Boot Record rootkit, a volte ritornano

Lo scorso anno si aprì quasi tragicamente per il mondo della sicurezza informatica, con gli esperti che isolarono la prima variante del MBR rootkit, una nuova tipologia di rootkit in the wild che inaugurò di fatto un nuovo trend per i malware informatici. Nulla che non si conoscesse già, poiché il proof of concept di un rootkit residente nel Master Boot Record era stato presentato anni prima ad una conferenza sulla sicurezza informatica, ma era sempre rimasto sotto forma di esempio.

Allo scoccare del 2008 però, la tragica scoperta che quel rootkit era stato utilizzato veramente.  Il rootkit era stato identificato in the wild, cioè largamente diffuso, tanto da guadagnarsi i titoli dei media online che lo definivano come peggiore minaccia del 2008. Quasi totalmente invisibile, il rootkit era riuscito ad eludere il controllo di tutti i software di sicurezza che non erano in grado di gestire questa minaccia. A distanza di un anno la società di sicurezza informatica Prevx rilancia l'allarme: il rootkit è mutato ed è pronto a fare nuovamente danni.

"Questa è una tipologia di rootkit che già in origine era difficile da individuare, ma nella nuova variante gli autori sono riusciti a superare di nuovo sé stessi, mettendo in ginocchio gran parte dei prodotti di sicurezza" spiega Marco Giuliani, Prevx senior malware analyst che ha analizzato il nuovo rootkit.

Il rootkit in questione infetta il Master Boot Record, alterando l'avvio del sistema operativo e caricando in memoria il proprio driver. Da quel momento il PC è in mano al rootkit. Secondo il team di ricerca Prevx il rootkit, seppur evoluto, ha ancora come scopo principale quello di sottrarre dati personali all'utente, controllandone eventuali connessioni a molti siti bancari internazionali ed italiani.

"Il rootkit è in grado di decodificare eventuali connessioni crittografate alle banche, proprio perché riesce ad intercettare la connessione nel momento in cui viene codificata e decodificata dal browser. Il comportamento in questione non è niente di particolarmente nuovo; quello che preoccupa maggiormente è la complessa tecnica con la quale il rootkit riesce a nascondersi nel sistema, capace di alterare ancor più in profondità il sistema operativo" continua ancora Giuliani.

La nuova variante del rootkit riesce infatti ad alterare gli oggetti del kernel di sistema, creandone delle copie opportunamente modificate e ridefinendo il device dell'hard disk in modo che risulti definito come l'oggetto di sistema creato ad hoc. In questa maniera il rootkit riesce ad alterare la lettura del Master Boot Record da parte di qualsiasi programma ogni qualvolta se ne tenti la lettura, mostrando il MBR originale pre-infezione.

L'infezione, secondo Giuliani, è attualmente trasmessa attraverso siti web compromessi contenenti javascript offuscati o iframe nascosti che reindirizzano a pagine web opportunamente configurate per sfruttare exploit al fine di installare automaticamente il malware nel sistema.

"Visto l'impressionante ritmo con il quale il MBR rootkit è riuscito lo scorso anno ad infettare decine di migliaia di PC e visto come le società di sicurezza hanno reagito lentamente al problema, è probabile che si assista ad una rapida diffusione di questa nuova variante nelle prossime settimane o mesi" ha poi concluso Giuliani.

L'unico strumento ufficialmente in grado di individuare e rimuovere questa nuova variante del MBR rootkit risulta al momento essere Prevx 3.0, scaricabile dal sito web della società Prevx. La società ha comunicato che l'individuazione e la rimozione dell'infezione è offerta gratuitamente.