Secondo Webroot, Koobface - anagramma di Facebook - ha dirottato per più d'un anno gli utenti di Facebook su siti che ospitano i file di payload dannosi, ma anche per lavorare come proxy-server e comando di controllo per la botnet. Andrew Brandt, un ricercatore di sicurezza di alto livello della società, dice che un tale dominio web - migdal.org (http://www.migdal.org.il/cgi-sys/suspendedpage.cgi) - è recentemente apparso in una serie di post di blog e sui siti web che listano i domini utilizzati per ospitare malware, nel lontano lo scorso maggio, quando l'equipaggio Koobface ha iniziato ad usare una grande quantità di nuovi server dirottati come punti di distribuzione per i suoi file malevoli. "Koobface è un trojan che ha garantito questa estate un notevole furto di password tra i vari utenti del social network ed ha portato ad aver il controllo sui computer infettati ", ha detto in un blog di sicurezza. Il nome del trojan, egli dice, è migdal.org.il.exe, e la password rubata dai computer infetti veniva inviata al server web migdal.org.il, che è fisicamente collocato presso un ISP nel Regno Unito.
"Migdal sembra anche essere - se si può credere al contenuto che era pubblicato sul sito web - una organizzazione franco / ebraica che fornisce aiuti e risorse per bambini israeliani e guardie di frontiera, e la cui leadership si oppone molte alle molte concessioni da parte israeliana che i negoziatori palestinesi hanno chiesto durante il lungo processo di pace", ha osservato. La banda Koobface si è addentrata nella politica, semplicemente sfruttando una posizione comoda, attraverso un sito apparentemente abbandonato, dubitando cosi della apparente sicurezza. Dopo aver dato un'occhiata più da vicino il 'carico utile Migdal', Brandt dice che assomiglia ad un ladro di password abbastanza convenzionale, nella stessa vena come SpyEye o Zbot, anche se sembra essere distinto da uno di questi due trojan più comuni. Webroot, dice, di aver individuato un gruppo di questi file che appaiono come Koobface negli ultimi due mesi e tutti i campioni sembrano rientrare nella gamma di dimensioni della grandezza di circa 110-130 kilobytes. Il trojan è stato inserito su un sistema di prove, secondo i rapporti di Brandt, dove il malware Migdal ha donato alcune password entrando in FileZilla, un'applicazione client FTP per scambiare file.
"Vari sistemi di monitoraggio indicano che il trojan ha anche cercato nei dischi rigidi altri client FTP - tra cui Total Commander, TurboFTP e FlashFXP - individuando nel disco rigido il file wcx_ftp.ini di Total Commander, che tale programma utilizza per memorizzare le password FTP", ha detto. "E 'inoltre recuperate le password memorizzate in Firefox e Internet Explorer, e cercato (ma non è riuscito a trovare), la directory sia per l'installazione standard di Opera ed il browser Opera 9 Beta - qualcosa che l'esperto non aveva ancora osservato con SpyEye e Zbot", ha aggiunto. Il ricercatore Webroot dice che una volta le password sono state recuperate dal trojan, il malware li ha inviate al server Migdal con un HTTP POST, generando un file batch per cancellare se stesso, che una volta eseguito il file batch, non esisteva più. "Quindi la domanda è come ha fatto la banda di Koobface ad utilizzare un server Web per lungo tempo abbandonato ed utilizzarlo come repository delle credenziali rubate, abusando di questo server ed in particolare, per screditare organizzazioni politiche, autodefinendosi 'organizzazione militante' che si vanta di distribuire giubbotti antiproiettile ai bambini che vivono nelle vicinanze dei territori palestinesi", ha detto. "È certamente significativo che il virus Koobface deliberatamente richiama l'attenzione su questo particolare argomento e rinominando il dominio dopo aver utilizzato il trojan, ma le loro motivazioni nessuno è riuscito ad indovinarle", ha aggiunto.
Fonte: http://www.infosecurity-us.com/
Nessun commento:
Posta un commento