Instant Messaging accelera il pericolo di furto di dati

Uno dei più sofisticati malware in circolazione ha ricevuto un aggiornamento che consente ai criminali informatici di agire ancora più velocemente dopo aver rubato i dati da un PC.

Secondo la società di sicurezza RSA, la Zeus Trojan - accusato di aver attivato innumerevoli attacchi al conto in banca online - ora usa un componente di messaggistica istantanea che avvisa gli hacker immediatamente quando hanno catturato le credenziali di autenticazione di qualcuno. Ciò può consentire un uso rapido di informazioni sensibili al tempo, come le password monouso ora utilizzate spesso nell'online banking.

Zeus non è il primo malware ad utilizzare l'instant messaging, rileva RSA nel suo rapporto antifrode online di agosto. Un altro programma per rubare password chiamato Sinowal è stato trovato in uso anche nel 2008.

[Ulteriori letture: Come rimuovere malware dal PC Windows]

Una volta su un PC, Zeus invia login e password a un server remoto, che l'hacker deve quindi accedere e ordinare. RSA ha scoperto che diverse varianti di Zeus hanno un modulo di messaggistica istantanea Jabber. Il progetto Jabber - così come altri servizi come la funzione chat di Gmail di Google - impiegano XMPP (Extensible Messaging and Presence Protocol), uno standard aperto per la messaggistica istantanea.

Gli hacker hanno creato due account Jabber, uno per inviare informazioni e uno per ricevere. Quando Zeus ottiene i log-in, li invia a un server remoto. Il modulo Jabber cerca quindi credenziali per specifiche istituzioni finanziarie e quindi trasmette le informazioni all'hacker tramite un messaggio istantaneo, ha detto RSA.

Il numero di computer negli Stati Uniti contagiati da Zeus è stato stimato il mese scorso dalla compagnia di sicurezza Damballa a circa 3,6 milioni di computer, rendendolo uno dei più diffusi programmi software dannosi e una botnet molto grande.

Gli utenti possono essere infettati se non hanno installato le patch di sicurezza più recenti sul proprio computer e visitano un sito Web progettato per cerca automaticamente le vulnerabilità del software e quindi distribuisce il malware. Zeus potrebbe anche essere installato inavvertitamente su un computer se una persona viene ingannata nell'aprire un allegato di posta elettronica contenente Zeus.

Zeus, che si crede sia il prodotto di un hacker russo che si chiama AZ, viene venduto in forum sotterranei per far nascere cybercriminali, secondo un'altra società di sicurezza, Secureworks. Può essere personalizzato in base alle esigenze degli acquirenti. Ad esempio, Zeus può essere codificato per registrare solo i dettagli di accesso per un determinato elenco specifico di siti Web.

"La facilità d'uso del toolkit crimeware di Zeus per consentire alle persone di creare le proprie reti di Trojan personalizzate ha significato che è diventato uno strumento privilegiato per i criminali entry-level per essere coinvolti nell'economia sommersa ", secondo Peter Coogan di Symantec, scrivendo su uno dei blog della compagnia. "La maggiore disponibilità di questo toolkit sui forum sotterranei ha portato anche ad un aumento nel suo utilizzo."

Zeus è stato sul radar dei professionisti della sicurezza per un po ', e un gruppo gestisce un sito Web che tiene traccia di Zeus infezioni e server command-and-control, che possono dare istruzioni ai PC infetti.

Lo ZeuS Tracker ora conta 802 host maligni con Zeus. L'organizzazione pubblica inoltre un elenco di blocco che gli amministratori possono utilizzare per garantire che le persone sulla loro rete non accedano a domini relativi a Zeus pericolosi.