Siti web

Trojan nasconde il suo cervello in Google Gruppi

SunStudio-conferenza Mauro Biglino "Elohim, i signori della montagna" | Chiomonte (TO) 20-7-19

SunStudio-conferenza Mauro Biglino "Elohim, i signori della montagna" | Chiomonte (TO) 20-7-19
Anonim

Virus gli scrittori continuano a diventare più subdoli. Nel tentativo di eludere il rilevamento, hanno iniziato a nascondere le loro istruzioni di comando e controllo in siti Web 2.0 legittimi come Google Gruppi e Twitter.

Recentemente, il fornitore di sicurezza Symantec ha individuato un programma cavallo di Troia programmato per visitare un Google privato Gruppi di newsgroup, chiamati escape2sun, in cui è possibile scaricare istruzioni crittografate o anche aggiornamenti software.

Queste istruzioni di "comando e controllo" vengono utilizzate dai criminali per restare in contatto con PC hacker e aggiornare il loro software dannoso. I ricercatori hanno anche visto i criminali nascondere i loro messaggi nei feed RSS che sono impostati per trasmettere messaggi di Twitter, ha affermato Gerry Egan, direttore di Symantec Security Response. "Stiamo assistendo a una tendenza verso l'utilizzo di più interazioni di tipo social media per nascondere il comando e il controllo", ha detto.

[Ulteriori letture: Come rimuovere il malware dal PC Windows]

Viene visualizzato il sistema di Google Gruppi essere un prototipo, ma Egan si aspetta che i malintenzionati usino sempre più spesso i social media per questo scopo, poiché il software di sicurezza diventa più efficace nel rimuovere i tradizionali meccanismi di comando e controllo. "Gli autori di malware dicono che stanno seguendo le [nostre] tecniche, proviamo qualcosa di diverso", ha detto Egan.

Oggi la maggior parte dei criminali comunica con le macchine che ha hackerato tramite server IRC (Internet Relay Chat), o inserendo comandi su siti Web oscuri e difficili da trovare. Dato che gli amministratori di sistema stanno migliorando il rilevamento e il blocco di queste comunicazioni, i cattivi stanno "cercando di nascondere questi messaggi di comando e controllo all'interno del traffico legittimo, quindi la presenza del traffico di per sé non aumenta la bandiera rossa", Egan

Un amministratore di sistema può bloccare l'accesso a IRC abbastanza facilmente, ma bloccare Twitter o Google è un'altra questione.

Il trojan Google Gruppi sembra essere di origine taiwanese e probabilmente è stato usato per raccogliere informazioni in modo silenzioso per futuri attacchi. Secondo i dati su Google Gruppi, il Trojan non si è diffuso ampiamente da quando è stato creato nel novembre 2008. "Un tale Trojan potrebbe potenzialmente essere stato sviluppato per uno spionaggio aziendale mirato dove l'anonimato e la discrezione sono priorità", ha detto Symantec in un post sul blog del venerdì.