Il banker ZeuS rinasce come Atmos

Le minacce IT di lunga data, che hanno dimostrato a più riprese la loro indubbia efficacia, possono effettivamente rivelarsi molto dure a “morire”, come nel caso del banker ZeuS, comparso sulla scena del malware ben 9 anni fa. I ricercatori di Heimdal Security, società danese specializzata in sicurezza IT, lanciano un segnale d’allarme riguardo alla recente comparsa di una nuova “reincarnazione” del temibile Trojan, la quale appare già particolarmente “promettente”: si tratta di Atmos, software nocivo che, per il momento, prende di mira soltanto le banche situate in territorio francese.

L’analisi dei codici di cui si compone Atmos ha evidenziato che ci troviamo di fronte, a tutti gli effetti, all’erede polimorfico di Citadel, la famigerata variante SaaS di ZeuS. “Speravamo di esserci già liberati, ormai da tempo, di Citadel e ZeuS,– afferma Morten Kjaersgaard, CEO di Heimdal. – Questo ceppo di malware dimostra, tuttavia, una sorprendente vitalità, in quanto i suoi autori aggiornano costantemente i codici e gli elementi principali, adattando gli stessi alle condizioni mutevoli”.

Atmos è stato individuato alla fine dello scorso anno; la società danese ne sta osservando la presenza, “in-the-wild”, all’incirca da un mese a questa parte. Secondo i dati di cui dispone Heimdal, il nuovo banker ricorre all’utilizzo delle stesse web injection di ZeuS. I server di comando e controllo del malware in questione risultano ubicati in Vietnam, Canada, Ucraina, Russia, Stati Uniti e Turchia. Sono state rilevate, sinora, circa 1.000 infezioni provocate da Atmos; gli esperti si attendono, tuttavia, che il numero delle stesse possa aumentare, a causa dell’attivazione dei proprietari delle botnet.

Forse, è ancora troppo presto per poter giudicare in merito ai vettori di attacco previsti dai malintenzionati, ed ai possibili scenari in cui si può manifestare l’infezione generata dal nuovo banker, sostiene Morten Kjaersgaard. Le attuali varianti di Atmos trovano diffusione attraverso banner pubblicitari malevoli, siti web compromessi e messaggi di phishing. Una volta realizzata l’infezione, il malware provvede subito a raccogliere i dati sensibili, oppure, semplicemente, si nasconde all’interno del sistema preso di mira, in attesa del momento più propizio per poter intercettare le credenziali di login.

Si sono ugualmente registrati dei casi in cui il Trojan in causa è stato recapitato assieme ad un cryptoblocker. “Dopo aver sottratto dal sistema tutto quel che è possibile carpire, i malintenzionati che si celano dietro Atmos effettuano l’upload del software estorsore (TeslaCrypt) sul computer-vittima, nel tentativo di arricchire ulteriormente il proprio bottino”, ha dichiarato l’esperto a Threatpost.

Secondo i ricercatori, Atmos rappresenta perfettamente una nuova generazione di programmi malware; gli autori degli stessi cercano, in ogni modo, di realizzare tutto quanto con grande cura ed attenzione. “Questi “ragazzi” ne hanno ormai abbastanza di scrivere codici “spaghetti”, ed attendere poi che qualcosa possa portare loro profitto, – spiega Kjaersgaard. – Essi, attualmente, si prendono tutto il tempo “necessario”: eseguono controlli di qualità, incrementano progressivamente la loro”produzione”, e soltanto in seguito passano alla conduzione di attacchi informatici accuratamente calcolati ed organizzati”.

Secondo l’esperto, Atmos si trova, adesso, nella sua fase iniziale di sviluppo; è tuttavia possibile prevedere già, per tale malware, un’espansione più ampia ed aggressiva, ben oltre i confini della Francia e dell’industria bancaria.

Fonte: Threatpost

Post correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *