CoreBot si è trasformato in un vero e proprio banker

Gli esperti di X-Force, il dipartimento di sicurezza IT della società IBM, hanno rilevato, con rammarico, come le loro previsioni riguardo a CoreBot si siano rapidamente avverate. Nell’arco di pochi giorni, in effetti, questo nuovo malware Windows ha considerevolmente ampliato le proprie funzionalità, arricchendosi di una moltitudine di moduli aggiuntivi, preposti alla conduzione di attacchi particolarmente efficaci e virulenti nei confronti dei titolari di account bancari.

I risultati delle analisi eseguite su CoreBot sono stati pubblicati da X-Force alla fine del mese scorso. Secondo i ricercatori, il Trojan in questione, sino a quel momento, era esclusivamente provvisto delle funzionalità di base possedute dai comuni stealer adibiti al furto di informazioni: esso era in grado di carpire le password custodite nei browser più popolari, così come nei client FTP ed e-mail più diffusi; inoltre, provvedeva a ricercare le credenziali relative agli account utilizzati per la posta web ed i wallet digitali contenenti criptovaluta; CoreBot, infine, era specializzato nel sottrarre certificati e dati personali relativi a varie applicazioni desktop. Il Trojan veniva abitualmente installato nel sistema informatico dell’utente-vittima per mezzo di un dropper.

Nonostante l’apparente banalità della scoperta, i ricercatori non hanno esitato a manifestare apertamente le loro preoccupazioni, visto che il nuovo arrivato possiede di sicuro un grande potenziale nocivo. “La caratteristica più interessante di CoreBot è rappresentata dall’adozione di un particolare sistema di plug-in, che rende di fatto modulare l’architettura del malware, consentendo a quest’ultimo di poter estendere facilmente le proprie funzionalità, — ha rilevato Limor Kessem nel blog di IBM X-Force. — CoreBot esegue il download dei plug-in dal server di comando e controllo subito dopo essersi saldamente insediato nel sistema sottoposto ad attacco. In seguito, esso provvede a caricare i vari plug-in mediante l’apposita funzione “plugininit”, residente nella libreria DLL del plug-in stesso”. Gli esperti hanno ugualmente individuato la presenza di un algoritmo DGA disattivato, il quale consente di stabilire una connessione alternativa con il server C&C, in caso di blocco dei domini principali.

Giovedi scorso, il team di X-Force ha di nuovo lanciato l’allarme: gli autori di CoreBot hanno messo in circolazione nuovi moduli, ampliando ulteriormente le funzionalità del Trojan in causa, al punto da trasformare quest’ultimo in un vero e proprio banker. Il malware qui analizzato è ormai in grado di intercettare dinamicamente i dati presenti in Internet Explorer, Firefox e Google Chrome, così come nei moduli web; esso può inoltre garantire un accesso VNC ai suoi operatori, monitorare gli accessi della vittima ai sistemi di Internet banking, modificare le pagine web ed intercettare i dati nel corso delle sessioni bancarie effettuate.

Secondo i risultati di una nuova analisi, la versione aggiornata di CoreBot opera tramite un elenco di 55 URL; vengono in tal modo attaccati i clienti di istituti bancari americani, canadesi e britannici. Quando la vittima esegue la procedura di autenticazione nell’ambito di un servizio web che interessa al Trojan, il malware avverte immediatamente il proprio controller, ed utilizza poi la funzione di attesa nei confronti dell’utente-vittima, per dare all’hacker tutto il tempo necessario per realizzare la transazione fraudolenta.

“A questo punto, il malintenzionato può utilizzare i cookie della sessione per intercettare l’iniziativa ed avviare la transazione, oppure modificare i parametri relativi alla richiesta di trasferimento bancario, – chiariscono gli esperti. – Il risultato finale è che il denaro sottratto viene inviato su un conto direttamente controllato dall’operatore del Trojan”.

Secondo i ricercatori, il numero di esemplari di CoreBot attualmente in circolazione è per ora limitato; tuttavia, l’aumento di tale numero, così come una prevedibile, ulteriore evoluzione del malware, è solo “questione di tempo”. Il Trojan non ha ancora fatto la sua comparsa sul mercato nero, ma la situazione potrebbe cambiare in qualsiasi momento.

Fonte: ZDNet

Post correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *