Cybercriminali potrebbero adottare nuovo metodo phishing utilizzando URI


In un documento [PDF] recentemente rilasciato da Henning Klevjer, uno studente di information security presso l'Università di Oslo in Norvegia, dimostra che i criminali informatici possono migliorare gli attacchi di phishing basandosi sullo standard delle comunicazioni noto come l'Uniform Resource Identifier (URI). L'esperto spiega che l'attaccante potrebbe sviluppare pagine di phishing autonome, il cui contenuto può essere codificato in Base64 per mascherare le sue reali intenzioni. Questa pagina può essere codificata e quindi inserito all'interno di un URI.

In sostanza, gli URI sono URL che non puntano a postazioni remote, piuttosto, essi includono tutti i dati che sono visualizzati all'utente. Il termine comprende il più noto Uniform Resource Locator (URL) e Uniform Resource Name (URN). Tuttavia, mentre gli URL indicano la posizione di una risorsa di rete specifica e come deve essere letta (cioè con HTTP, HyperText Transfer Protocol), gli URI sono più flessibili e possono anche essere utilizzati per ospitare i dati dei "link to".


Secondo Paul Roberts, ingegnere di Sophos, Klevjer ha dimostrato le sue scoperte con la creazione di una falsa di pagina di Wikipedia utilizzando questa tecnica. A quanto pare, è stato in grado di ridurre l'URI abbastanza grande (24.682 caratteri) in soli 26 caratteri utilizzando i servizi di abbreviazione degli URL, che a quanto pare giocano un ruolo chiave in questi attacchi. L'intenzione è di indurre le vittime che ricevono il link a cliccare su di esso, lanciando il loro browser web.

Ogni moderno browser supporta lo schema URI e renderà l'URI codificato come una pagina nel browser della vittima. Il metodo di attacco URI non è nuovo. Nel 2007, i ricercatori Billy "BK" Rios e McFeters Nathan hanno esplorato attacchi simili [PDF] contro i browser IE6 e IE7 di Microsoft che sfruttavano la funzionalità senza documenti per la gestione degli URI. L'uso di URI dà la possibilità ai pirati informatici sofisticati di poter iniziare la circolazione di pagine phishing individuali mirate ad un certo numero di vittime.


Il metodo vince anche le difese contro gli attacchi di phishing tradizionali, come ad esempio il filtraggio web e gestione della reputazione, perché le vittime non avrebbero bisogno di comunicare con un server di attacco, sostiene Klevjer. E il metodo non è limitato agli attacchi phishing. Klevjer ha scritto una e-mail a Naked Security, nella quale spiega che il ricercatore di sicurezza norvegese Per Thorsheim ha sottolineato che un URI dati potrebbe contenere anche una applet Java (compromesso). A tal proposito vale la pena ricordare la pericolosa vulnerabilità Java zero-day scoperta questa settimana.

"Il problema è che ci sono poche difese contro questo tipo di phishing. Il Web Browser non si connette a qualsiasi risorsa esterna per visualizzare il phishing, a meno che le immagini sono incluse da siti remoti (che potrebbero anche essere incorporati). L'unico limite è la dimensione che il browser impone agli URL", ha spiegato Johannes Ullrich, ricercatore di SANS. Se vengono utilizzati short URL, per esempio, il contenuto dannoso si troverà all'interno di un collegamento. Ullrich fa notare, però, che gli aggressori avrebbero ancora bisogno di gestire una infrastruttura di backend per ricevere i dati rubati nell'attacco.



Tuttavia, egli dice che i pirati informatici sofisticati potrebbero anche sgattaiolare i dati rubati utilizzando un modulo per la richiesta DNS appositamente predisposto, che trasferirebbe le credenziali di accesso ad un sistema remoto. Prospettando un tentativo di phishing, sarà possibile inserire il modulo, ma ci sarà ancora bisogno di un server web per ricevere i dati. A meno che, naturalmente, sia  possibile exfiltrare questo DNS. Di seguito un piccolo proof of concept HTML / javascript per spiegare ciò.

"L'uso di URI per scopi dannosi non è una novità, ma è chiaro che la ricerca appena andrà avanti su questo argomento, i criminali informatici rivolgeranni la loro attenzione ad esso. Attualmente, alcuni browser web sono progettati per mitigare tali attacchi. Per esempio, Chrome reindirizza i blocchi per gli URL dei dati e versioni più recenti di Internet Explorer limitano la quantità di dati che possono essere confezionati. Tuttavia, Opera e Firefox  (recentemente aggiornato da Mozilla alla versione 15) li eseguono senza alcuna difficoltà.

Forum aiuto Facebook nuovamente inondato da link spam e falsi account


Gli spammer hanno invaso il Centro assistenza di Facebook, intasando il forum di supporto del social network a tal punto che è diventato di fatto inutilizzabile. Un regolare lettore ha portato il problema all'attenzione di Naked Security, dicendo che più account hanno creato thread indipendenti che invece di sostenere gli argomenti condivisi dagli utenti, pubblicano link che rimandano a siti pubblicitari che offrono feed TV in streaming per popolari eventi sportivi.

Il forum comunitario di auto-aiuto, originariamente costruito per rispondere alle domande dei veri utenti di Facebook, sarebbe in mano ad una banda di spammer che ha realizzato una serie di falsi account. E' stato Sophos che per primo ha riferito che la sezione di ricerca è stata soffocata dagli spammer, poi, TheNextWeb è intervenuto per aggiungere che gli spammer avevano anche intasato la sezione Messaggi del forum. Se clicchiamo su una delle sezioni, ecco cosa otteniamo:


In tutto, sono 23 le parti del Centro Assistenza che sono state invase. Ci sono più account in uso in questa campagna di spam, che si concentra principalmente nello streaming in diretta di eventi sportivi e altri contenuti TV.  Non è ancora chiaro se gli autori hanno compromesso account già esistenti, ma un rapido controllo mostra che ci sono molti account fasulli che sono stati creati proprio a questo scopo. Se clicchiamo su uno degli argomenti proposti dai falsi account, ecco cosa visualizziamo:


Se clicchiamo su uno dei link proposti veniamo rimandati ad un sito esterno a Facebook che propone la visualizzazione di eventi sportivi in live streaming ad alta definizione. Dopo aver eseguito la registrazione, avremo la possibilità di accedere a 4.500 canali (tra i quali sport, cartoni animati, ecc.) e scaricare anche i contenuti visualizzati:


La Pagina di diagnostica di Google per la Navigazione sicura ci segnala che il sito presenta contenuti pericolosi. "Una visita a questo sito web potrebbe danneggiare il computer e scaricare virus. In alcuni casi, terze parti possono aver aggiunto codice dannoso a siti autentici e questo è il motivo alla base della visualizzazione del messaggio di avviso", si legge.


Il Centro assistenza della sezione "Ads" che abbiamo individuato è stato particolarmente colpito, ma ci sono anche discussioni di messaggi spam in altre parti del forum della comunità. Tra l'altro, questa non è la prima volta che lo spam è diventato un problema nel Centro assistenza di Facebook. Lo scorso novembre è stato registrato un attacco molto simile. Questo problema non solo significa che gli utenti di Facebook in cerca di aiuto possono essere indotti a cliccare sul link spam, ma questo attacco, come quello precedente, ha reso il forum della comunità quase inutile.

E' molto probabile che, per porre rimedio a questo problema, Facebook ha innalzato il controllo del suo sistema automatico antispam, bloccando anche numerosi account ritenuti violati, proponendo all'utente la procedura di sblocco profilo e renderlo così nuovamente visibile agli amici. Al momento Facebook sembra aver rimosso i contenuti spam ed i relativi profili che non sono stati in grado di completare la procedura d'emergenza. Il nostro consiglio è come al solito quello di prestare attenzione ai link che trovate su Facebook e che indirizzano a pagine esterne al social network.

Scam, false WhatsApp Facebook rubano informazioni e portano a malware


Applicazioni rogue Facebook appaiono ancora occasionalmente, anche se non sono più onnipresenti come una volta, grazie al sistema antispam del social network. Il più delle volte cercano di mostrare falsamente agli utenti che è stato visualizzato il loro profilo, ma queste ultime fingono di essere legittime applicazioni WhatsApp Messenger. In passato WhatsApp ha avuto qualche un problema di privacy, era possibile infatti intercettare le conversazioni degli utenti e recentemente alcuni esperti hanno dimostrato che è possible hackerare gli account WhatsApp.


WhatsApp Messenger è una popolare applicazione cross-platform di messaggistica istantanea per gli smartphone, e anche se ha una pagina su Facebook, non ha una applicazione Facebook, e questa mancanza ha spinto i cyber criminali a colmare il divario richiesto. Che succede con WhatsApp adesso? Impostori dell'app di messaggistica mobile stanno cercando di rubare le vostre informazioni tramite Facebook.



Secondo Robin Wauters, European Editor di The Next Web, la richiesta all'uso dell'applicazione porta gli utenti a URL illeggittimo. Sebbene alcune delle applicazioni rogue siano state disattivate, noi ne abbiamo individuate altre ancora perfettamente funzionanti e con migliaia di utenti che le utilizzano.



"L'obiettivo finale sembra essere il recupero le vostre informazioni private su Facebook", scrive Waters. La pagina porta all'applicazione nella schermata qui sotto, che sembra autentica finchè non si guarda l'URL con attenzione, il basso numero di utenti, il fatto che il nome dell'applicazione non è in maiuscolo corretto e quant'altro. Se facciamo una ricerca su Facebook con "whatsapp" ecco cosa ci viene mostrato al momento:


Waters dice di aver ricevuto una richiesta da parte di un amico. Sia l'invito che la pagina dell'app sembra legittima a prima vista. In realtà, se si da il consenso, l'applicazione raccoglierà le informazioni personali dell'utente, manderà inviti ai loro amici, e, infine, reindirizzerà a siti web che offrono software potenzialmente dannoso per il download. Anche la società ha rilasciato una dichiarazione a proposito delle false applicazioni presenti sul social network.

"Alcune persone ricevono delle notifiche di Facebook che 'xxx ha condiviso 3 foto con te in WhatsApp'. Questo non ha nulla a che fare con WhatsApp, quindi vi preghiamo di ignorare il messaggio", avvisa la società. "Non sappiamo se l'applicazione può causare danni, ma per essere al sicuro non accogliere la richiesta che si potrebbe ricevere", ha aggiunto. Gli utenti che sono caduti nelle false applicazioni sono invitati a revocare l'accesso al loro account tramite le impostazioni della privacy per le app di Facebook.

Crisis: virus per Windows, Mac e smartphone che registra le conversazioni


Crisis, noto anche come Morcut, è un rootkit che infetta macchine sia Windows che Mac OS X utilizzando un falso programma di installazione di Adobe Flash Player. Scoperto nel mese di luglio da Symantec, Kaspersky ha poi riferito che arriva sul computer infetto tramite un file JAR utilizzando tecniche di ingegneria sociale. Nell'esempio portato da Sergey Golovanov di Kaspersky, il trojan Mac viene chiamato Backdoor.OSX.Morcut e viene distribuito per mezzo di un file JAR con il nome AdobeFlashPlayer.jar e firmato da VeriSign Inc.

Se l'utente consente l'esecuzione del file JAR, viene creato il file eseguibile payload.exe in una cartella temporanea e lo avvia. Tuttavia, è ora venuto alla luce che il malware può essere diffuso in quattro ambienti diversi, tra cui le macchine virtuali. Il trojan Crisis ha come obiettivi utenti Windows e Mac OS X ed è in grado di registrare le conversazioni di MSN Messenger, Skype, acquisire il traffico di messaggistica istantanea e tracciare i siti web visitati in Firefox o Safari e gli Url dei browser.


Si sviluppa attraverso attacchi di ingegneria sociale, ovvero cerca di ingannare gli utenti nell'eseguire l'applet Java dell'installer Flash di Adobe, rilevando il sistema operativo, ed eseguendo il programma trojan di installazione adeguato attraverso un file JAR. File exe aprono una backdoor che compromettere il computer. In origine, si è creduto che il malware potesse diffondersi solo su questi due sistemi operativi. Tuttavia, Symantec ha rilevato una serie di ulteriori mezzi di replica, come unità disco rimovibili, macchine virtuali e Windows Phone.

Un metodo è la possibilità di copiare se stesso e creare un file autorun.inf su un'unità disco rimovibile, un altro è quello di insinuarsi su una macchina virtuale VMware, e il modo finale è far cadere i moduli su un dispositivo Windows Mobile. Questo malware per la prima volta prende di mira le macchine virtuali, ma Symantec insiste sul fatto che questo non è dovuta a falle di sicurezza o vulnerabilità del software VMware sfruttate in sé, piuttosto il trojan Crisis sfrutta la forma di VM, che non è altro uno o più file sul disco di una macchina host.


Anche se la macchina virtuale non è in esecuzione, i file possono ancora essere montati o manipolati da codice dannoso. Takashi Katsuki scrive sul blog ufficiale di Symantec: "La minaccia ricerca l'immagine di una macchina virtuale VMware sul computer infetto e, se trova un immagine, la monta e poi si copia sulla stessa utilizzando uno strumento di VMware Player. Questo può essere il primo malware che tenta di diffondersi su una virtual machine". Symantec rileva il file JAR come Trojan.Maljava, la minaccia per Mac come OSX.Crisis, e la minaccia di Windows come W32.Crisis.

Crisis può anche attivare la webcam integrata e microfono per guardare e ascoltare, scattare screenshot istantanei di Safari e Firefox, registrare i tasti premuti, e rubare i contatti dalla rubrica della macchina. Tuttavia, vi è una buona notizia per gli utenti di dispositivi iOS e Android. Dato che usano il Remote Application Programming Interface (RAPI), questi sistemi non sono tenuti in ostaggio dalle vulnerabilità come i modelli di telefoni Windows.


"Questa variante Crisis non fa altro che, quando è eseguita su un sistema Windows, verranno montate tutte quelle immagini di unità virtuali che avete creato e poi farà una copia di quel sistema operativo all'interno del vostro sistema operativo. E' come se fosse un disco fisico come una chiavetta USB, e il malware si copia sul disco. Così, quando un utente infetto tenta di accedere a quelle immagini ancora una volta, il malware spierà senza che l'utente ne sia a conoscenza", scrive Lysa Myers sul blog di Intego.

Secondo Intego, che ha pubblicato una prima analisi Martedì a cui hanno fatto seguito ulteriori informazioni, il codice di Crisis si collega ad un software di una ditta italiana che vende un kit di strumenti di spionaggio per 245.000 dollari all'intelligence nazionale e alle forze dell'ordine. Intego ha definito Crisis come "una minaccia molto avanzata e completamente funzionale", in parte a causa del collegamento col codice del malware di origine con il software commerciale di spionaggio.



Come scrive Computer World, in una brochure di marketing [download PDF] della società italiana Hacking Team, il Remote Control System (RCS) viene descritto come "La suite di hacking per l'intercettazione del governo", che il software viene utilizzato in tutto il mondo, e si vanta che il software in grado di monitorare centinaia di migliaia di computer infetti o smartphone alla volta. Il software RCS è commercializzato dall'impresa italiana ed "è una soluzione progettata per eludere la crittografia per mezzo di un agent direttamente installato sul dispositivo per il monitoraggio".

Guarda caso, questa è una buona definizione di "malware", ed in particolare di rootkit. Se questa teoria è corretta, Crisis diventa dunque molto più pericoloso di Gauss, Mahdi, Stuxnet, Flame o Shamoon, il malware che sovrascrive il Master Boot Record. Perché mentre questi ultimi sembrano mirare al Medio Oriente, mentre Crisis non avrebbe un target geografico specifico. Il consiglio è quello di non installare il Flash Player mediante siti diversi da quello ufficiale di Adobe e di mantenere il software antivirus aggiornato alle ultime definizioni.

Adobe: disponibile update per flash player, risolte pericolose vulnerabilità


Adobe Flash Player è stato aggiornato ancora una volta soltanto una settimana dopo il rilascio ufficiale delle patch di Martedì. Ciò significa che si tratta di pericolose vulnerabilità chiuse con un update fuori programma. Adobe ha rilasciato gli aggiornamenti di sicurezza per Adobe Flash Player 11.3.300.271 e versioni precedenti per Windows, Macintosh e Linux, Adobe Flash Player 11.1.115.11 e versioni precedenti per Android 4.x, e Adobe Flash Player 11.1.111.10 e versioni precedenti per Android 3 . x e 2.x.

Questi aggiornamenti di vulnerabilità se non applicati potrebbero causare un crash e potenzialmente consentire a un utente malintenzionato di assumere il controllo del sistema interessato. Adobe consiglia agli utenti di aggiornare le installazioni dei prodotti alle ultime versioni. Gli utenti di Adobe Flash Player 11.3.300.271 e versioni precedenti per Windows e Macintosh dovrebbero aggiornare ad Adobe Flash Player 11.4.402.265.


Gli utenti di Adobe Flash Player 11.2.202.236 e versioni precedenti per Linux dovrebbero aggiornare ad Adobe Flash Player 11.2.202.238. Flash Player con Google Chrome verrà automaticamente aggiornato alla versione più recente di Google Chrome, che include Adobe Flash Player 11.3.31.230 per Windows e Linux, e Flash Player 11.4.402.265 per Macintosh. Gli utenti di Adobe Flash Player 11.1.115.11 e versioni precedenti sui dispositivi Android 4.x dovrebbero aggiornare ad Adobe Flash Player 11.1.115.17.

Gli utenti di Adobe Flash Player 11.1.111.10 e versioni precedenti per Android 3.xe versioni precedenti dovrebbero aggiornare Flash Player alla versione 11.1.111.16. Gli utenti di Adobe AIR 3.3.0.3670 per Windows e Macintosh dovrebbero aggiornare ad Adobe AIR 3.4.0.2540. Gli utenti di Adobe AIR 3.3.0.3690 SDK (include AIR per iOS) dovrebbero aggiornare a Adobe AIR 3.4.0.2540 SDK.

Gli utenti di Adobe AIR 3.3.0.3650 e versioni precedenti per Android dovrebbero aggiornare a Adobe AIR 3.4.0.2540. Questi aggiornamenti risolvono una vulnerabilità di corruzione della memoria che potrebbe provocare l'esecuzione di codice (CVE-2012-4163CVE-2012-4164CVE-2012-4165CVE-2012-4166). Una vulnerabilità di overflow dei valori integer che potrebbe provocare l'esecuzione di codice (CVE-2012-4167) e una vulnerabilità di cross-domain la perdita di informazioni (CVE-2012-4168).


Per verificare la versione di Adobe Flash Player installata sul vostro sistema, accedere alla pagina Informazioni su Flash Player, oppure fare clic destro sul contenuto in esecuzione in Flash Player e selezionare "Informazioni su Adobe (o Macromedia) Flash Player" dal menu. Se si utilizzano più browser, eseguire la verifica per ogni browser installato sul vostro sistema.  La tabella che trovate sulla pagina contiene le informazioni più aggiornate versione di Flash Player.

Adobe consiglia a tutti gli utenti di Flash Player l'aggiornamento alla versione più recente del lettore attraverso il Centro di download di Flash Player per poter approfittare di aggiornamenti per la protezione. Per verificare la versione di Adobe Flash Player per Android, andate in Impostazioni> Applicazioni> Gestisci applicazioni> Adobe Flash Player xx. Per verificare la versione di Adobe AIR installato sul sistema, seguire le istruzioni riportate nella nota tecnica Adobe AIR.

Phishing, attenzione ai messaggi che si ricevono nella posta di Facebook


In queste ore abbiamo ricevuto molte segnalazioni da parte di utenti che hanno subito furto di Pagine e profili Facebook. Come in tutti i casi visti finora si tratta di attacchi del tipo social engineering, dove l'utente viene invitato a visualizzare una pagina esterna che imita quella di login a Facebook. In questo caso però, dato che anche le Pagine aziendali possono ricevere messaggi da parte degli utenti, gli attacchi possono essere portati direttamente agli admin con messaggi da falsi profili direttamente in posta.

Facebook sta apportando importanti modifiche alla messaggistica della piattaforma e sono proprio le caselle di posta ad essere utilizzate come veicolo delle truffe. Abbiamo analizzato due diversi attacchi che sono attualmente in corso su Facebook e le cui pagine trappola sono ancora attive sui rispettivi spazi hosting. Nel primo caso un utente potrebbe ricevere un messaggio nella posta di Facebook o della fan page, dove si legge testualmente: "ciaoo hai una bellissima pagina veramente...spero di diventare come te un giorno.. ecco la mia.. [LINK RIMOSSO]"


Se clicchiamo sul link veniamo rimandati ad una pagina esterna al social network ma che ripropone quella di accesso a Facebook, facendoci credere di essere stati disconnessi dalla piattaforma:


Se introduciamo i nostri dati di login, verrà effettutato un redirect su Facebook ed avremmo consegnato il nostro account e le relative pagine delle quali siamo amministratori al phisher di turno. Noi, ovviamente, abbiamo introdotto credenziali di accesso false e siamo stati rimandati ad una pagina sul social network.


Nel secondo caso si potrebbe ricevere un messaggio in posta del tipo:

"Dear Creator of the fanpage ,

The facebook staff have one action to secure all fanpages ,

Before 3 days ago in facebook circulating one virus with name likusTR

What you need to do , follow this link [LINK RIMOSSO] and continue to fill all steps to security full your fanpage .

regards from
facebook staff
c 2012
Mark Zuckerberg"


che tradotto:

"Caro Creatore della  fanpage,

Lo staff di facebook ha una azione per proteggere tutte le fanpages,

Già da 3 giorni fa circola in facebook un virus con il nome likusTR

Quello che dovete fare, seguite questo link [LINK RIMOSSO] e continuate per completare tutti i passaggi di sicurezza della vostra fanpage.

saluti dallo
staff facebook
c 2012
Mark Zuckerberg"

Come nel caso precedente, se clicchiamo sul link allegato veniamo reindirizzati a una pagina esterna che imita quella di login a Facebook. Se introduciamo i dati di accesso avremmo consegnato il profilo e le nostre Pagine delle quali siamo amministratori all'ennesimo phisher di turno. In realtà non esiste alcun virus con quel nome ed è molto semplice ricreare delle pagine di login Facebook su siti esterni.


Come in altri casi simili di furto delle credenziali di accesso, Facebook non chiederà mai i vostri dati di accesso. Le regole di sicurezza sono sempre le stesse: non cliccate direttamente sui link che ricevete per posta e prestate attenzione quando accettate richieste d'amicizia da parte di sconosciuti. Controllate sempre che l'indirizzo in alto sul vostro browser sia facebook.com e non introducete le vostre credenziali di accesso mentre siete già loggati su Facebook ed informate gli amici.

Nel caso aveste per errore introdotto i vostri dati in una di queste pagine truffa, potete provare a riprendere il controllo del vostro account Facebook cliccando su questo link http://www.facebook.com/hacked. Inoltre, il social network ha attivato di recente all'interno della piattaforma un servizio e-mail per la segnalazione di URL fraudolenti, che si integra con i sistemi interni che Facebook ha in atto per individuare i siti di phishing che tentano di rubare le informazioni degli utenti al momento del login.

AVG, siti compromessi presentano annunci di Facebook e scaricano virus


All'inizio di questa settimana molte persone hanno cominciato a notare una massiccia ondata di rilevamenti di Blackhole Exploit Kit segnalati da molti degli utenti del noto software antivirus AVG. I rilevamenti riportati sono stati pari a 1,6 milioni in circa 12 ore. Alcuni clienti hanno comunicato alla società di sicurezza AVG che LinkScanner, il noto programma di rilevamento siti malware, aveva segnalato anche Facebook come sito malevolo. Tuttavia, i reali rilevamenti del Blackhole Exploit Kit type 2314 erano il risultato di annunci dannosi passati insieme da un servizio di pubblicità che apparivano sulle pagine di Facebook e quelli di altri siti web.

A complicare ulteriormente la situazione, gli operatori non autorizzati che stavano usando gli annunci avevano progettato alcuni dei loro annunci con caratteristiche grafiche, colori e caratteri tipografici che imitavano il look di Facebook. Gli esperti di AVG hanno ricevuto le relazioni di rilevazione attraverso il "rapporto" opt-in, della funzione automatica di AVG che riporta le rilevazioni di diversi milioni di utenti della società. Così, circa l'uno per cento degli utenti di AVG sono stati bloccati da contenuti potenzialmente dannosi grazie a LinkScanner. Questi sono stati circa 1,3 milioni di rilevamenti nelle prime 6 o 7 ore.


L'ad server che fornisce gli annunci a quanto pare era stato compromesso da un hacker che ha installato il malware del Blackhole Exploit Kit. Il codice JavaScript maligno viene iniettato nelle pagine servite dal server Web compromesso. In genere, il JavaScript associato al Blackhole afferra altri script dannosi da un altro server al fine di compromettere la sicurezza degli utenti che visitano il sito web - un tipico attacco malware drive-by. In questo caso, il server Web compromesso era in qualità di ad-server, condizionando il contenuto dei messaggi pubblicitari sui vari siti web, così da servire delle pagine fuori ox-d.served-now.com e negli spazi pubblicitari delle pagine di altri siti web.


Dopo la compromissione dell'ad-server, le pagine pubblicitarie servite contenevano gli annunci previsti più lo script exploit Blackhole. Nell'immagine qui sopra, AVG ha evidenziato in blu il codice sorgente HTML del messaggio pubblicitario previsto che è l'originale, mentre il testo non evidenziato è lo script Blackhole. Una volta decifrato, gli esperti di AVG hanno illustrato ciò che lo script è destinato a fare. "Dopo aver testato le diverse funzioni e le versioni del browser Web del visitatore, l'intenzione principale di questo script è quella di iniettare un Iframe nella pagina Web corrente", spiega TomK, ingegnere software di AVG.

Questo è un pò contorto, ma significa che il contenuto di una pagina Web col banner.blawg.ch verrà inserita in una pagina, tramite gli annunci del bue-d.served-now.com. Si noti che non è necessario fare clic su un annuncio, o interagire con esso in alcun modo, da qui in poi la funzionalità descritta si verificherà in modo del tutto involontario. La semplice visita una pagina in cui vengono visualizzati tali annunci è sufficiente per attivare  il codice dannoso che potrebbe portare a frodi con carta di credito, il furto di identità e vari pezzi di software cattivo potrà essere installato sul computer di un utente Web.


Senza entrare troppo nei dettagli, questa pagina richiede una applet Java che è dipendente dalla versione del browser (in base al PluginDetect che viene usato per determinare le caratteristiche del browser) e sfrutta una vulnerabilità di Java adatta nella versione installata del browser per scaricare ed eseguire diversi programmi eseguibili di Windows. Gli URL da cui vengono prelevati questi programmi vengono decodificati dall'applet Java da un parametro passato, come evidenziato nell'immagine qui sopra. Quindi, l'inserimento dello script iniziale negli annunci del server degli ad banner alla fine ha portato ad un attacco malware drive-by tramite uno dei numerosi exploit Java.


Il malware binario include bot e backdoor, e qualcosa per fare ancora più soldi, come un falso AV chiamato Security Shield. Il falso software antivirus segnala delle potenziali minacce che avrebbero infettato il sistema dell'utente vittima. In realtà si tratta di falsi rilevamenti che inducono l'utente ad installare il programma. Il rogue antivirus alcuni casi blocca prende letteralmente in ostaggio il PC, bloccando di fatto ogni possibilità di azione da parte dell'utente. Qui di seguito le schermate di alcuni degli annunci che gli utenti potrebbero aver visto nelle pagine Web legittime che erano state manomesse, come descritto in precedenza. Esse sono nel contesto di una pagina Web, dove sarebbero state integrate con gli altri elementi della pagina.


L'AVG Web Threats Research team ha studiato un incidente simile nel mese di luglio in cui LinkScanner aveva rilevato un numero enorme di annunci dannosi su YouTube. Per migliorare la protezione di un motore di ricerca consigliamo l'installazione gratuita di LinkScanner. Dopo l'installazione, è sufficiente eseguire una ricerca nella casella di ricerca di uno dei browser disponibili. I risultati della ricerca includono chiare valutazioni relative alla protezione di ogni collegamento. Per coloro invece che sono stati colpiti dal malware ed in generale da virus, trojan o rootkit, è possibile utilizzare il software gratuito Windows Defender Offline messo a disposizione da Microsoft.

Il programma consente di rimuovere questi programmi dannosi e difficili da individuare, grazie all'utilizzo di definizioni in grado di riconoscere le minacce. Esso viene lanciato all'avvio del computer ed agisce contro il malware prima che il sistema operativo venga caricato e, quindi, prima che l'infezione possa produrre effetti. Windows Defender Offline funziona su Windows XP, Windows Vista, Windows 7, Windows Developer Preview e Windows 8 Consumer Preview. L'applicazione è disponibile sia per sistemi a 32 bit che a 64 bit. Se il computer non è nuovissimo e non permette l'avvio dalla pendrive, allora sarà indispensabile l'installazione su CD o DVD.

Nuovo sistema di Facebook elimina immediatamente le foto dai suoi server


Sono trascorsi più di tre anni da quando ArsTechnica scoprì l'incapacità di Facebook a rimuovere le foto "cancellati" dai suoi server, ma questa particolare saga sembra stia volgendo al termine. La società ha dichiarato che i nuovi sistemi di conservazione delle foto sono a posto e adesso l'eliminazione delle foto avviene entro un ragionevole periodo di tempo e Asr  ha potuto confermare in modo indipendente.

Per prima cosa Asr ha iniziato a studiare Facebook, MySpace, Flickr, e Twitter nel 2009 per vedere quanto velocemente le loro foto scomparissero da Internet dopo che li avevano eliminati da ciascuna delle reti sociali. Il suo metodo per il controllo delle foto è stato quello di salvare un collegamento diretto con il JPEG in questione, facilmente ottenibile da chiunque con il tasto destro del mouse su una foto e aprendolo in una nuova scheda / finestra del browser, quindi effettuadno la copia della URL.

Anche se per Twitter e Flickr ci sono voluti pochi secondi per rimuovere le foto dai loro Content Delivery Network (CDN) dopo la cancellazione dal sito, MySpace e Facebook non sono stati così veloci. MySpace è riuscito a cancellare le foto dal suo CDN mesi più tardi e Facebook ha impiegato più di un anno. Nonostante ciò, le foto di numerosi lettori di Ars sono rimasti online (attraverso collegamento diretto) per tre anni o più .

Facebook sosteneva che gli utenti che avevano gli URL diretti delle foto cancellate erano rari e che le foto erano disponibili online solo per un "periodo limitato di tempo". Ma nel mese di febbraio di quest'anno, la società ha finalmente ammesso che i suoi sistemi non hanno lavorato correttamente fino a quel momento, confermando che non tutte le foto sono state cancellate entro un ragionevole lasso di tempo.

"I sistemi che abbiamo usato per la memorizzazione delle foto di qualche anno fa non sempre hanno rimosso le immagini dalla rete entro un termine ragionevole di tempo, anche se sono state immediatamente rimosse dal sito", aveva detto il portavoce di Facebook Frederic Wolens ad Ars nel mese di febbraio. "Abbiamo lavorato duramente per spostare la nostra memoria foto a nuovi sistemi che garantiscono la completa eliminazione delle foto".

Adesso la situazione è cambiata. Dal mese di febbraio, tutti i collegamenti diretti  delle foto che sono stati inviati dai lettori ad Ars sono scomparsi, e Jacqui Cheng, senior Apple editor ad Ars Technica, ha cominciato a cancellare le sue foto di nuovo dal sito di Facebook per vedere quanto tempo ci sarebbe voluto per la loro rimozione dal CDN. Ha provato questo con due foto ed entrambe sono diventati inaccessibile da link diretto entro due giorni dalla cancellazione.


Wolens ha confermato ad Ars che questo era un risultato della nuova politica della cancellazione delle foto di Facebook e sistemi di storage. "Come risultato di un lavoro sulle nostre politiche e le infrastrutture, abbiamo istituito un 'max-age' di 30 giorni per i nostri collegamenti CDN", ha detto Wolens ad Asr Technica questa settimana. "Tuttavia, in alcuni casi il contenuto scade al CDN molto più rapidamente, sulla base di una serie di fattori".

Wolens non ha spiegato tali fattori, ma ha sottolineato ancora una volta che le persone che navigano casualmente su Facebook non vedranno più le foto subito dopo l'eliminazione. "Come sapete, le foto cessano di essere mostrate ad altri utenti su Facebook immediatamente quando la foto viene cancellata dall'utente. La finestra di 30 giorni si applica solo alle immagini memorizzate nella cache sul CDN", ha detto Wolens.

Meglio tardi che mai, ma 3 + anni è ancora un bel po 'per il social network più famoso al mondo per capire come rimuovere le immagini dal suo CDN correttamente. (CEO di Facebook Mark Zuckerberg è probabilmente felice politiche aziendali hanno finalmente cambiato, anche, perché ci potrebbero essere le foto ancora più imbarazzanti che non sono stati scaricati da parte di estranei, prima di essere "cancellato" dal sito.)

Facebook ha acquistato il servizio di condivisione foto Instagram nel mese di aprile di quest'anno, così  Cheng ha pensato di dare un'occhiata anche alle procedure di cancellazione delle foto Instagram. Le due società non dovrebbero essere completamente integrate, a questo punto, quindi è logico che Instagram potrebbe funzionare un pò diversamente da Facebook, al momento della stesura di questo articolo.

Ha provato cancellando due foto per un periodo di quattro mesi. La prima è stata "cancellata" nel mese di aprile, ma non è scomparsa dai server di Instagram fino alla settimana scorsa, mentre la seconda è scomparsa istantaneamente. Non c'è stato alcun ritardo: nel momento in cui ha cancellato l'immagine, era già inaccessibile dai server di Instagram. Curiosa del divario,  Cheng ha chiesto alla società circa le sue politiche.

"Noi contrassegniamo le foto come eliminate in [Amazon S3] dopo una cancellazione dell'account utente, anche se possono essere memorizzate nella cache nel nostro CDN fino a 24 ore dopo. C'è stato un breve periodo di tempo in cui le foto non sono state sempre contrassegnate come eliminate in S3, ma è stato risolto", ha detto il portavoce di Instagram Kevin Systrom, in risposta ai 4 mesi di ritardo nel cancellare la prima foto di Cheng.

I problemi di privacy su Facebook non sono comunque finiti. Ad esempio, la Norvegia ha avviato un'indagine sul riconoscimento facciale di Facebook. Per lo stesso motivo il Garante per la privacy in Germania, ha riaperto l'indagine che aveva sospeso a Giugno per cercare di convincere Facebook a cambiare le sue politiche. Poiché la società si muove in avanti nel suo nuovo ruolo di azienda pubblica, tali questioni dovranno essere affrontate se Facebook vuole rimanere ancora in cima.

Kaspersky Lab presenta l'evoluzione del malware nel 2° trimestre del 2012


Secondo i dati raccolti tramite il Kaspersky Security Network (KSN), nel corso del secondo trimestre del 2012 le soluzioni anti-malware di Kaspersky Lab hanno rilevato e neutralizzato oltre 1 miliardo di oggetti nocivi. E' stata rilevata la distribuzione di programmi malware da ben 89,5 milioni di URL. Sono stati individuati 14.900 file relativi a software nocivi specificamente destinati a colpire il sistema operativo mobile Android. Rispetto al trimestre precedente, nel corso del periodo analizzato nel presente report il numero dei programmi Trojan appositamente sviluppati dai virus writer per attaccare la piattaforma mobile Android è in pratica quasi triplicato.

"Nel breve volgere di tre mesi, difatti, sono stati aggiunti alla nostra 'collezione' oltre 14.900 software nocivi", hanno dichiarato gli esperti di Kapserky Lab. Uno sviluppo così rapido dei programmi dannosi specificamente destinati a colpire il sistema operativo Android testimonia inequivocabilmente come un numero sempre maggiore di autori di virus si stia attivamente dedicando all’elaborazione di software dannosi per dispositivi mobili. Così come è avvenuto per i software dannosi rivolti alla piattaforma Windows, il repentino sviluppo del malware mobile ha generato la formazione di un vero e proprio mercato nero specializzato in ogni genere di servizi preposti alla sua diffusione.

I principali canali di distribuzione dei programmi nocivi per smartphone, tablet ed altri apparecchi mobili sono attualmente rappresentati dagli app store non ufficiali e dai programmi di partenariato. Circa la metà (49%) dei file malevoli analizzati e trattati da Kaspersky Lab nel corso del secondo trimestre del 2012 è costituita da Trojan multifunzionali di vario tipo, volti principalmente a realizzare il furto di dati dagli smartphone degli utenti (nominativi presenti nell’elenco dei contatti, indirizzi di posta elettronica, numeri di telefono e via dicendo); al tempo stesso, i suddetti software nocivi sono in grado di generare il download di moduli aggiuntivi dai server predisposti dai malintenzionati.


Esattamente un quarto dei programmi malware destinati alla piattaforma mobile Android è rappresentato dai cosiddetti Trojan-SMS. Sino ad un paio di anni fa, i suddetti programmi dannosi risultavano diffusi esclusivamente nei paesi ubicati nello spazio geografico precedentemente occupato dalle repubbliche dell’Unione Sovietica, così come in Cina e nel Sud-Est asiatico. "Al momento attuale, - spiegano gli esperti di Kaspersky Lab - tali software nocivi si stanno invece rapidamente propagando in ogni angolo del pianeta: basti pensare che, nel secondo trimestre del 2012, le nostre soluzioni antivirus hanno protetto nei confronti dei famigerati Trojan-SMS gli utenti di ben 47 diversi paesi".

Il 18% dei malware rivolti al sistema operativo mobile Android, individuati e neutralizzati nel corso del secondo trimestre del 2012, è rappresentato da programmi Backdoor. Si tratta, nella circostanza, di software dannosi malevoli che offrono ai cybercriminali l’opportunità di ottenere il pieno controllo del dispositivo contagiato. Difatti, è proprio sulla base dei Backdoor che vengono create le botnet mobili. E’ diminuito, rispetto al primo trimestre dell’anno in corso, il numero dei programmi dannosi - individuati dalle soluzioni anti-malware di Kaspersky Lab - appositamente elaborati dai virus writer per attaccare il sistema operativo Mac; nei database antivirus di Kaseprsky sono state difatti aggiunte soltanto 50 nuove firme in grado di rilevare e neutralizzare software dannosi destinati a Mac OS X.

A seguito dell’inattesa scoperta, nel precedente trimestre, dell’estesa botnet FlashFake, composta da oltre 700.000 computer targati Apple, la società di Cupertino si è occupata ancor più attivamente delle questioni inerenti alla sicurezza del proprio sistema operativo. Sono state ad esempio rilasciate alcune patch critiche per Oracle Java, contemporaneamente alle versioni per Windows. Apple ha inoltre annunciato nuove funzionalità di protezione che saranno implementate nella prossima versione del sistema operativo Mac OS X, quali l’impostazione di default relativa alla possibilità di effettuare esclusivamente l’installazione di programmi provenienti dallo store ufficiale, l’utilizzo di una specifica sandbox per le applicazioni scaricate dal negozio online, l’installazione automatica degli aggiornamenti, e così via.


Nel corso del secondo trimestre del 2012 hanno suscitato particolare clamore le notizie relative alla violazione dei database degli hash delle password relative agli account di alcuni servizi online particolarmente popolari presso il pubblico della Rete. Uno degli avvenimenti più eclatanti in tal senso è indubbiamente rappresentato dall’attacco hacker che ha portato alla pubblicazione online di una consistente porzione del database (ben 6,5 milioni di hash delle password) di LinkedIn. Per non divenire vittima di attacchi informatici del genere, gli utenti debbono in primo luogo ricorrere all’impiego di password sufficientemente lunghe e complesse, che non possano essere utilizzate dai malintenzionati nei cosiddetti “attacchi a dizionario”, spiegano gli esperti di Kaspersky Lab.

Non bisogna oltretutto dimenticare che l’uso di un’unica password per accedere a vari servizi online amplifica considerevolmente i possibili danni derivanti dal furto della stessa. Agli amministratori dei siti web, relativamente alla custodia delle password, consigliamo invece di utilizzare contemporaneamente, come minimo, hash e salt. Tuttavia, l’impiego di un algoritmo di hash rapido (quale può essere, ad esempio, SHA-1 o MD5) e del relativo salt, viste le notevoli potenzialità che sono attualmente in grado di dispiegare le GPU nel processo di raccolta delle password, può rivelarsi non sufficiente ad impedire la violazione dei database da parte degli hacker.

Una soluzione ben più efficace è indubbiamente rappresentata dall’impiego di algoritmi quali PBKDF2 (Password-Based Key Derivation Function 2) o “bcrypt”, i quali non solo utilizzano di default il salt crittografico, ma permettono allo stesso tempo di rallentare considerevolmente il processo di raccolta delle password. Il tema di maggior rilievo del secondo trimestre dell’anno in corso è tuttavia rappresentato dalla scoperta di Flame, il sofisticato programma malware utilizzato per compiere mirate operazioni di cyber-spionaggio. Si tratta di un software nocivo di notevoli dimensioni, per di più strutturato in maniera incredibilmente complessa. Il rapporto completo è disponibile a questo link: http://www.kaspersky.com/it/about/news/virus/2012/Evoluzione_delle_minacce_informatiche_nel_secondo_trimestre_del_2012

Microsoft, Patch day agosto: 9 patch di sicurezza risolvono 15 vulnerabilità


Come pubblicato nella notifica preventiva dei bollettini di sicurezza, Microsoft ha rilasciato gli aggiornamenti di sicurezza relativi ad agosto 2012. Si tratta di 9 patch che vanno a tappare 15 vulnerabilità di diversi prodotti Microsoft, inclusi Windows, Internet Explorer, Office, Exchange e SQL Server. Dei nove aggiornamenti, cinque sono etichettati come "critici", mentre i restanti quattro come "importanti" e si occupano dell’esecuzione di codice remoto. Questa è la prima serie di patch che includono una correzione per Microsoft Exchange dal dicembre 2010. Di seguito il riassunto dei bollettini sulla sicurezza di questo mese in ordine di gravità.

Facebook lancia l'indirizzo e-mail Phish@fb.com per segnalare il phishing


Quasi tutti gli utenti li hanno visti, quei fastidiosi annunci di phishing e spam cliccabili nel News Feed di Facebook o pubblicate sulle bacheche degli amici del social network: "Ottieni biglietti gratuiti per la Giamaica", "Vinci un iPad gratis" o "Amico, ho urgentemente bisogno di soldi". Lo scam è stata la rovina dell'esistenza di Facebook per anni, e oggi il social network ha annunciato che sta facendo un nuovo tentativo per bloccare queste pratiche, lanciando un indirizzo e-mail phish@fb.com, a cui gli utenti possono inviare gli avvisi di phishing che hanno visto sul social network.


"Oggi Facebook è orgogliosa di annunciare il lancio di phish@fb.com, un indirizzo di posta elettronica a disposizione del pubblico per segnalare tentativi di phishing contro Facebook. Il phishing è un tentativo di acquisire informazioni personali, quali nome utente, password o informazioni finanziarie per rappresentazione o spoofing. Fornendo a Facebook i rapporti, saremo in grado di indagare e chiedere di aggiungere il sito alla lista nera del browser e il suo takedown ove opportuno", ha scritto Facebook Security in una nota sulla sua pagina.

"Ci sarà poi da lavorare con il nostro team di eCrime per essere certi di individuare i cattivi attori responsabili. Inoltre, in alcuni casi, saremo in grado di identificare le vittime, e proteggere i loro account. Anche se rare, speriamo che ci trasmetterete tutti i tentativi di phishing che si incontrano. Insieme possiamo contribuire a segnalare questi siti dal web e individuare i cattivi responsabili"; conclude Facebook Security. Uno dei problemi maggiori dei social network e soprattutto di Facebook, riguarda la grande quantità di spam e di truffe veicolate.


Il social network ha anche suggerito agli utenti trasmettere e-mail sospette all'Anti-Phishing Working Group (APWG), all'indirizzo di posta elettronica reportphishing@antiphishing.org. L'APWG è un'associazione nata con l'obiettivo di combattere il furto d'identità in Rete e il dilagare dei fenomeni di phishing e di email-spoofing. L'organizzazione è aperta a provider, vendor, ISP, istituti finanziari, professionisti del settore ed autorità giudiziarie. Inoltre è possibile segnalare alla Federal Trade Commission (FTC), inviando le e-mail all'indirizzo spam@uce.gov, e l'Internet Crime Complaint Center (IC3).

L'Anti-Phishing Working Group in partnership con Facebook, ha delineato dei suggerimenti per aiutare gli utenti a individuare gli attacchi di phishing: diffidare di qualsiasi email con richieste urgenti di accesso o informazioni finanziarie, e ricordare, a meno che l'e-mail non sia stata firmata digitalmente, che non si può essere certi che non sia modellata ad hoc o falsa; non utilizzare i link inviati in una e-mail, instant message, o chat per raggiungere qualsiasi pagina web se si sospetta che il messaggio potrebbe non essere autentico o non ci si fida del mittente, invece andare al sito direttamente.


Questo nuovo canale di comunicazione completa ed integra i sistemi interni che Facebook ha in atto per individuare i siti di phishing che tentano di rubare le informazioni degli utenti al momento del Facebook login. I sistemi interni lo comunicano al team di sicurezza, in modo da poter raccogliere informazioni sull'attacco, mettere i siti di phishing offline, e avvisare gli utenti. Agli utenti interessati verrà richiesto di modificare la propria password e saranno forniti consigli per proteggersi meglio in futuro. Come promemoria, è possibile visitare il sito www.facebook.com/hacked se pensi che il vostro account potrebbe essere stato compromesso. Potete trovare ulteriori informazioni sul phishing nel Centro assistenza di Facebook.

Kaspersky Lab scopre nuova cyberminaccia Gauss, metodo per verificare


Kaspersky Lab annuncia la scoperta di "Gauss", una nuova cyber-minaccia indirizzata ai consumatori in Medio Oriente. Gauss è un complesso tolkit di cyber-spionaggio, sponsorizzato a livello di stato-nazione, progettato per rubare dati sensibili, con un focus specifico sulle password del browser, le credenziali online degli account bancari, cookie, e configurazioni specifiche di macchine infette. La funzionalità trojan dell'on-line banking trovata in Gauss è una caratteristica unica che non è stata trovato in nessuna precedentemente cyber-arma nota.

Gauss è stato scoperto nel corso dello sforzo in corso avviato dall'Internazional Telecommunication Union (ITU), in seguito alla scoperta di Flame. Lo sforzo è volto a mitigare i rischi presentati dalle cyber-armi, che è una componente chiave per conseguire l'obiettivo generale della cyber-pace globale. ITU, con l'esperienza fornita da Kaspersky Lab, sta adottando misure importanti per rafforzare la cyber-sicurezza globale, collaborando attivamente con tutte le parti interessate, come i governi, il settore privato, organizzazioni internazionali e società civile, in aggiunta ai suoi principali partner all'interno dell'inziativa ITU- IMPACT.

Rispetto a Flame, Gauss è meno sofisticato. Manca il modulo LUA su cui è basata l'architettura, ma è comunque molto flessibile. Rispetto ad altri Trojan bancari, sembra essere stato messo a punto, nel senso che non prende di mira centinaia di istituzioni finanziarie, ma un elenco selezionato di istituti bancari on-line. Gli esperti di Kaspersky Lab scoperto Gauss individuando la quota dannosa del programma in comune con Flame. Questi includono piattaforme architettoniche simili, strutture dei moduli, codice base e mezzi di comunicazione con il comando e controllo (C & C) del server.


Fattori rapidi:

  • L'analisi indica che Gauss ha iniziato ad operare nel periodo di tempo di Settembre 2011.
  • E' stato scoperto nel giugno 2012, risultato derivante dalla conoscenza acquisita dalla approfondita analisi e ricerca condotte sul malware Flame.
  • Questa scoperta è stata resa possibile a causa di forti somiglianze e correlazioni tra Flame e Gauss.
  • L'infrastruttura di Gauss C & C è stato arrestata nel luglio 2012 poco dopo la sua scoperta. Attualmente il malware è in uno stato dormiente, in attesa che il suo server C & C diventi attivo.
  • Dalla fine di maggio 2012, più di 2.500 infezioni sono state registrate dal sistema di sicurezza cloud-based di Kaspersky Lab, con il numero totale stimato delle vittime di Gauss probabilmente nell'ordine delle decine di migliaia. Questo numero è inferiore rispetto al caso di Stuxnet, ma è nettamente superiore al numero di attacchi di Flame e Duqu.
  • Gauss ruba le informazioni dettagliate sui PC infetti tra cui la cronologia del browser, i cookie, password e configurazioni di sistema. E' anche in grado di rubare le credenziali di accesso per i vari sistemi di online banking e metodi di pagamento.
  • L'analisi di Gauss mostra che è stato progettato per rubare dati provenienti da diverse banche libanesi tra cui la Bank of Beirut, EBLF, BlomBank, ByblosBank, Fransabank e Credit Libanais. Inoltre, colpisce gli utenti di Citibank e PayPal.


Il nuovo malware è stato scoperto dagli esperti di Kaspersky Lab nel mese di giugno 2012. Il modulo principale è stato chiamato dai creatori sconosciuti successivamente con il nome del matematico tedesco Johann Carl Friedrich Gauss. Altri componenti portano anche i nomi di famosi matematici come Joseph-Louis Lagrange e Kurt Gödel. L'inchiesta ha rivelato che i primi incidenti con dati Gauss sono accaduti già nel settembre 2011. Nel luglio 2012 i server di comando e controllo di Gauss hanno smesso di funzionare.

Più moduli di Gauss hanno lo scopo di raccogliere informazioni dai browser, tra cui la cronologia dei siti Web visitati e password. Anche i dati dettagliati sulla macchina infetta vengono inviati agli attaccanti, tra le quali specifiche delle interfacce di rete, le unità del computer e le informazioni BIOS. Il modulo di Gauss è anche in grado di rubare dati dai clienti di alcune banche libanesi tra cui la Bank of Beirut, EBLF, BlomBank, ByblosBank, Fransabank e Credit Libanais. Si rivolge inoltre agli utenti di Citibank e PayPal.

Un'altra caratteristica fondamentale di Gauss è la capacità di infettare le thumb drive USB, utilizzando la stessa vulnerabilità LNK (CVE-2010-2568) che è stata precedentemente utilizzata in Stuxnet e Flame. Allo stesso tempo, il processo per infettare le chiavette è più intelligente. Gauss è in grado di "disinfettare" il disco in determinate circostanze, e utilizza il supporto rimovibile per memorizzare le informazioni raccolte in un file nascosto. Un'altra attività del Trojan è l'installazione di un carattere speciale chiamato Palida Narrow, e lo scopo di questa azione è ancora sconosciuto.


Mentre Gauss è simile a Flame nel design, la geografia delle infezioni è notevolmente differente. Il più alto numero di computer colpiti da Flame è stata registrata in Iran, mentre la maggior parte delle vittime Gauss si trovavano in Libano. Il numero di infezioni è diverso. Sulla base della telemetria riportata dal Kaspersky Security Network (KSN), Gauss ha infettato circa 2.500 macchine. In confronto, la diffusione di Flame era significativamente più bassa, infettando più di 700 macchine.

Anche se il metodo esatto usato per infettare i computer non è ancora noto, è chiaro che Gauss si propaga in modo diverso a Falme o Duqu, tuttavia, simile alle due precedenti armi di cyber-spionaggio, i meccanismi di diffusione di Gauss sono condotti in un ambiente controllato della moda, che sottolineano furtività e segretezza dell'operazione. Al momento, il Trojan Gauss viene rilevato con successo, bloccato e bonificato dai prodotti Kaspersky Lab, classificato come Trojan-Spy.Win32.Gauss.

Alexander Gostev, Chief Security Expert di Kaspersky Lab, ha commentato: "Gauss ha somiglianze impressionanti Flame, come la progettazione e la base di codice, che ci ha permesso di scoprire il programma dannoso. Simile a Flame e Duqu, Gauss è un complesso toolkit di cyber-spionaggio, sottolineando le sue caratteristiche stealth e furtività, ma il suo scopo è diverso da Flame o Duqu. Gauss si rivolge a più utenti in alcuni paesi per rubare grandi quantità di dati, con un focus specifico sulle informazioni bancarie e finanziarie".

Gli esperti di Securelist.com hanno pubblicato un'approfondita analisi del malware: http://www.securelist.com/en/analysis/204792238/Gauss_Abnormal_Distribution. Una FAQ Gauss contenente le informazioni essenziali sulla minaccia è anche disponibile: http://www.securelist.com/en/blog?weblogid=208193767. Per verificare la presenza di Gauss sulla proprio  PC è disponibile la pagina test http://gauss.crysys.hu/ del noto laboratorio ungherese di ricerca CrySyS. Il modo più affidabile per proteggersi è quello di installare la soluzione antivirus di Kaspersky o utilizzare il free Kaspersky Virus Removal Tool.