La botnet rileva 70G byte di dati personali e finanziari

I ricercatori dell'Università della California hanno acquisito il controllo su una rete ben nota e potente di computer hackerati per 10 giorni, acquisendo informazioni su come rubare dati personali e finanziari.

La botnet, nota come Torpig o Sinowal, è una delle reti più sofisticate che utilizza software dannoso e difficile da rilevare per infettare i computer e successivamente raccogliere dati come password e credenziali di banking online.

I ricercatori sono stati in grado di monitorare oltre 180.000 computer hacker sfruttando una debolezza all'interno della rete di comando e controllo utilizzata dagli hacker per controllare i computer. Ha funzionato solo per 10 giorni, tuttavia, fino a quando gli hacker non hanno aggiornato le istruzioni di comando e controllo, secondo il documento di 13 pagine dei ricercatori.

[Ulteriori informazioni: Come rimuovere malware dal PC Windows]

Tuttavia, quello era abbastanza di una finestra per vedere il potere di raccolta dei dati di Torpig / Sinowal. In quel breve periodo, circa 70G di dati sono stati raccolti da computer hackerati.

I ricercatori hanno archiviato i dati e stanno collaborando con le forze dell'ordine come l'US Federal Bureau of Investigation, ISP e persino il Dipartimento della Difesa degli Stati Uniti per notificare vittime. Gli ISP hanno anche chiuso alcuni siti Web utilizzati per fornire nuovi comandi alle macchine compromesse, hanno scritto.

Torpig / Sinowal può pilotare nomi utente e password da client di posta elettronica come Outlook, Thunderbird ed Eudora mentre raccoglie anche indirizzi e-mail in quei programmi per gli spammer. Può anche raccogliere password dai browser Web.

Torpig / Sinowal può infettare un PC se un computer visita un sito Web dannoso progettato per verificare se il computer dispone di software senza patch, una tecnica nota come attacco di download drive-by. Se il computer è vulnerabile, un pezzo di software dannoso di basso livello chiamato rootkit viene inserito nel sistema.

I ricercatori hanno scoperto che Torpig / Sinowal finisce su un sistema dopo la prima infezione da Mebroot, un rootkit apparso intorno al dicembre 2007.

Mebroot infetta il Master Boot Record (MBR) di un computer, il primo codice che un computer cerca quando avvia il sistema operativo dopo l'esecuzione del BIOS. Mebroot è potente poiché tutti i dati che lasciano il computer possono essere intercettati.

Mebroot può anche scaricare altro codice sul computer.

Torpig / Sinowal è personalizzato per acquisire dati quando una persona visita determinati servizi bancari online e altri siti Web. È codificato per rispondere a più di 300 siti Web, con i più mirati come PayPal, Poste Italiane, Capital One, E-Trade e Chase Bank, secondo il documento.

Se una persona visita un sito Web bancario, viene consegnata una forma falsificata che sembra essere parte del sito legittimo, ma richiede una serie di dati che una banca normalmente non richiede, come un PIN (numero di identificazione personale) o un numero di carta di credito.

Siti Web che utilizzano La crittografia SSL (Secure Sockets Layer) non è sicura se usata da un PC con Torpig / Sinowal, poiché il software dannoso catturerà le informazioni prima che vengano crittografate, i ricercatori hanno scritto.

Gli hacker vendono solitamente password e informazioni bancarie nei forum sotterranei per altri criminali, che cercano di nascondere i dati in contanti. Mentre è difficile stimare con precisione il valore delle informazioni raccolte nel corso dei 10 giorni, potrebbe valere tra 83.000 e 8,3 milioni di dollari, dice il documento di ricerca.

Ci sono modi per distruggere botnet come Torpig / Sinowal. Il codice botnet include un algoritmo che genera i nomi di dominio che il malware chiama per nuove istruzioni.

Gli ingegneri della sicurezza sono stati spesso in grado di capire quegli algoritmi per prevedere quali domini il malware chiamerà e preregistrare quei domini per disturbare il botnet. È un processo costoso, tuttavia. Il worm Conficker, ad esempio, può generare fino a 50.000 nomi di dominio al giorno.

I registrar, società che vendono registrazioni di nomi di dominio, dovrebbero assumere un ruolo maggiore nella cooperazione con la comunità di sicurezza, hanno scritto i ricercatori. Ma i registrar hanno i loro problemi.

"Con poche eccezioni, spesso mancano le risorse, gli incentivi o la cultura per affrontare i problemi di sicurezza associati ai loro ruoli", afferma il documento.