Sfondo dell’attacco
TSPY_ZBOT è il rilevamento di Trend Micro del malware legato a ciò che l’industria chiama “ZeuS botnet”. ZeuS botnet, infatti, è un termine abbreviato per le reti di computer compromessi che utilizzano i trojan ZeuS/ZBOT nelle loro operazioni legate alle botnet. Le varianti di TSPY_ZBOT arrivano tipicamente tramite spam che sembra provenire da fonti legittime, chiedendo ai destinatari di cliccare su un link. Il suddetto link porta al download di TSPY_ZBOT, che si insedia silenziosamente nei sistemi per aspettare che gli utenti inseriscano le loro credenziali in determinati siti.
Dal 2007, Trend Micro sta monitorando la famiglia ZBOT. Il numero di rilevamenti di ZBOT è cresciuto notevolmente nel corso degli anni, come si può vedere nelle seguenti voci del blog:
- Tenendo d’occhio EYEBOT e una possibile guerra tra bot
- ZBOT Variante Spoofs il NIC per spammare altre agenzie governative
- Nuovo ZBOT/ZeuS Binary con un messaggio nascosto
- Phishers mirano agli utenti AOL IM
- SASFIS sfuma in background
- Phishing con la scusa di migliorare la sicurezza
- ZBOT prende di nuovo di mira Facebook
- Un altro ZBOT Spam Run
- Bogus “Balance Checker” Tool porta Malware
- Sei vittima di Phishing (Facebook)?
Leggi altre voci relative a ZBOT/ZeuS qui.
Ad oggi, Trend Micro ha visto oltre 2.000 rilevamenti di ZBOT e i numeri continuano a crescere.
Qual è la differenza tra ZeuS, ZBOT e Kneber?
Questi nomi si riferiscono tutti al botnet ZeuS, che è un affermato crimeware botnet che si dice sia responsabile di altre botnet note in natura. Il primo uso notevole del trojan ZeuS è stato tramite la famigerata Rock Phish Gang, che è nota per i suoi kit di pagine di phishing facili da usare. Il termine “ZBOT” è il nome di rilevamento di Trend Micro per tutti i malware coinvolti nella massiccia botnet. La botnet Kneber, nel frattempo, è un termine coniato di recente che riguarda uno specifico compromesso ZBOT/ZeuS.
Come fa questa minaccia a entrare nei sistemi degli utenti?
La minaccia può arrivare come un messaggio di spam o può essere scaricata inconsapevolmente da siti web compromessi. La maggior parte dei rilevamenti di ZBOT ha preso di mira i siti web legati alle banche. Tuttavia, gli spam recenti hanno mostrato una crescente diversità di obiettivi. L’elenco delle varianti ZBOT degne di nota include TROJ_ZBOT.SVR, che è stato usato per spammare le agenzie governative; TSPY_ZBOT.JF, che ha preso di mira gli utenti AIM; e TSPY_ZBOT.CCB, che ha preso di mira il sito di social networking, Facebook.
Come fa a indurre gli utenti a cliccare sui link?
I messaggi di spam in genere pretendono di provenire da aziende legittime e, più recentemente, da agenzie governative. Le varianti di ZBOT sono state trovate anche in una serie di spam che cavalcano eventi popolari come la morte di Michael Jackson.
Qual è lo scopo primario del botnet ZeuS?
E’ progettato principalmente per il furto di dati o per rubare informazioni sugli account da vari siti come l’online banking, i social network e i siti di e-commerce.
Come fa questa minaccia a fare soldi per i suoi perpetratori?
Genera una lista di siti web legati alle banche o alle istituzioni finanziarie da cui tenta di rubare informazioni bancarie online sensibili come nomi utente e password. Poi monitora le attività di navigazione web dell’utente (sia HTTP che HTTPS) utilizzando i titoli delle finestre del browser o gli URL della barra degli indirizzi come trigger per il suo attacco. Questa routine rischia di esporre le informazioni dell’account dell’utente, che possono poi portare all’uso non autorizzato dei dati rubati.
Chi sono a rischio?
Gli utenti con sistemi infettati da ZBOT che accedono a uno qualsiasi dei siti bersaglio sono a rischio di perdere informazioni personali per i criminali informatici.
Cosa fa il malware con le informazioni che raccoglie?
Invia le informazioni raccolte tramite HTTP POST a URL remoti. I criminali informatici possono quindi utilizzare queste informazioni per le loro attività dannose. Possono essere venduti nei mercati clandestini.
Cosa rende questa minaccia persistente?
Oltre alle sue tattiche di ingegneria sociale e alle tecniche di spamming in continua evoluzione, ZBOT rende difficile il rilevamento a causa delle sue capacità di rootkit. Quando si installa su un sistema colpito, ZBOT crea una cartella con attributi impostati su Sistema e Nascosto per impedire agli utenti di scoprire e rimuovere i suoi componenti. Inoltre, ZBOT è in grado di disabilitare Windows Firewall e di iniettarsi nei processi per diventare residente in memoria. Si termina anche da solo se alcuni processi firewall conosciuti vengono trovati sul sistema. Le varianti di ZBOT figurano anche in download a margherita che coinvolgono altre famiglie di malware come WALEDAC e FAKEAV.
Cosa posso fare per proteggere il mio computer dalla minaccia presentata dalla botnet ZeuS?
È importante che gli utenti facciano attenzione quando aprono messaggi e-mail e quando cliccano su URL. Dal momento che gli autori del malware ZBOT trovano costantemente nuovi modi per attaccare gli utenti, si consiglia agli utenti di impiegare pratiche informatiche sicure.
Stare attenti alle pagine di phishing che si presentano come siti web legittimi, in quanto questi sono progettati principalmente per ingannare gli utenti inconsapevoli a consegnare informazioni personali. Cliccare sui link delle e-mail che provengono da mittenti sconosciuti è uno dei modi più semplici per cadere preda degli attacchi ZBOT.
Le varianti TSPY_ZBOT sono attualmente supportate da Trend Micro GeneriClean, una funzione presente nella maggior parte dei prodotti Trend Micro. Gli utenti devono scansionare manualmente i loro sistemi per attivarla.
Le soluzioni supportate da Trend Micro™ Smart Protection Network™ bloccano lo spam utilizzato da questa botnet per infettare gli utenti tramite il servizio di reputazione e-mail. Può rilevare e prevenire l’esecuzione di file dannosi attraverso il servizio di reputazione dei file. Protegge anche gli utenti dalle varianti di ZBOT bloccando l’accesso ai siti dannosi tramite il servizio di reputazione Web, nonché dai tentativi di phone-home in cui un computer infetto cerca di caricare dati rubati o di scaricare ulteriore malware dai server command-and-control (C&C).
Gli utenti di prodotti non-Trend Micro possono anche controllare i loro sistemi utilizzando HouseCall, uno strumento gratuito che identifica e rimuove tutti i tipi di virus, Trojan, worm, plug-in del browser indesiderati e altri malware dai sistemi interessati. Possono anche usare Web Protection Add-On per proteggere proattivamente i loro computer dalle minacce del web e dalle attività legate ai bot. RUBotted può essere usato per scoprire se le loro macchine fanno parte di una rete di bot.
Alcuni dei nostri rilevamenti euristici per questa minaccia sono MAL_ZBOT, MAL_ZBOT-2, MAL_ZBOT-3, MAL_ZBOT-4, MAL_ZBOT-5, MAL_ZBOT-6 e MAL_ZBOT-7.
Dal campo: Expert Insights
“Il recente attacco della botnet Kneber non è che un altro caso di come i file ZeuS Trojans (o ZBOT) vengono utilizzati. Trend Micro ha pubblicato voci sul blog a questo proposito già nel 2007. Per quanto ci riguarda, non siamo nemmeno sorpresi.”
-Jamz Yaneza sul recente attacco Kneber e il clamore mediatico che circonda la questione
“È difficile stargli davanti tramite gli antivirus perché i binari ZeuS (ZBOT) cambiano continuamente alcune volte al giorno per eludere il rilevamento.”
-Paul Ferguson su un attacco ZeuS lo scorso settembre 2009 che ha utilizzato messaggi spam che sembravano provenire dall’Internal Revenue Service (IRS)
.