News

Il banker ZeuS rinasce come Atmos

Le minacce IT di lunga data, che hanno dimostrato a più riprese la loro indubbia efficacia, possono effettivamente rivelarsi molto dure a “morire”, come nel caso del banker ZeuS, comparso sulla scena del malware ben 9 anni fa. I ricercatori di Heimdal Security, società danese specializzata in sicurezza IT, lanciano un segnale d’allarme riguardo alla recente comparsa di una nuova “reincarnazione” del temibile Trojan, la quale appare già particolarmente “promettente”: si tratta di Atmos, software nocivo che, per il momento, prende di mira soltanto le banche situate in territorio francese.

L’analisi dei codici di cui si compone Atmos ha evidenziato che ci troviamo di fronte, a tutti gli effetti, all’erede polimorfico di Citadel, la famigerata variante SaaS di ZeuS. “Speravamo di esserci già liberati, ormai da tempo, di Citadel e ZeuS,– afferma Morten Kjaersgaard, CEO di Heimdal. – Questo ceppo di malware dimostra, tuttavia, una sorprendente vitalità, in quanto i suoi autori aggiornano costantemente i codici e gli elementi principali, adattando gli stessi alle condizioni mutevoli”.

Atmos è stato individuato alla fine dello scorso anno; la società danese ne sta osservando la presenza, “in-the-wild”, all’incirca da un mese a questa parte. Secondo i dati di cui dispone Heimdal, il nuovo banker ricorre all’utilizzo delle stesse web injection di ZeuS. I server di comando e controllo del malware in questione risultano ubicati in Vietnam, Canada, Ucraina, Russia, Stati Uniti e Turchia. Sono state rilevate, sinora, circa 1.000 infezioni provocate da Atmos; gli esperti si attendono, tuttavia, che il numero delle stesse possa aumentare, a causa dell’attivazione dei proprietari delle botnet.

Forse, è ancora troppo presto per poter giudicare in merito ai vettori di attacco previsti dai malintenzionati, ed ai possibili scenari in cui si può manifestare l’infezione generata dal nuovo banker, sostiene Morten Kjaersgaard. Le attuali varianti di Atmos trovano diffusione attraverso banner pubblicitari malevoli, siti web compromessi e messaggi di phishing. Una volta realizzata l’infezione, il malware provvede subito a raccogliere i dati sensibili, oppure, semplicemente, si nasconde all’interno del sistema preso di mira, in attesa del momento più propizio per poter intercettare le credenziali di login.

Si sono ugualmente registrati dei casi in cui il Trojan in causa è stato recapitato assieme ad un cryptoblocker. “Dopo aver sottratto dal sistema tutto quel che è possibile carpire, i malintenzionati che si celano dietro Atmos effettuano l’upload del software estorsore (TeslaCrypt) sul computer-vittima, nel tentativo di arricchire ulteriormente il proprio bottino”, ha dichiarato l’esperto a Threatpost.

Secondo i ricercatori, Atmos rappresenta perfettamente una nuova generazione di programmi malware; gli autori degli stessi cercano, in ogni modo, di realizzare tutto quanto con grande cura ed attenzione. “Questi “ragazzi” ne hanno ormai abbastanza di scrivere codici “spaghetti”, ed attendere poi che qualcosa possa portare loro profitto, – spiega Kjaersgaard. – Essi, attualmente, si prendono tutto il tempo “necessario”: eseguono controlli di qualità, incrementano progressivamente la loro”produzione”, e soltanto in seguito passano alla conduzione di attacchi informatici accuratamente calcolati ed organizzati”.

Secondo l’esperto, Atmos si trova, adesso, nella sua fase iniziale di sviluppo; è tuttavia possibile prevedere già, per tale malware, un’espansione più ampia ed aggressiva, ben oltre i confini della Francia e dell’industria bancaria.

Fonte: Threatpost

Il banker ZeuS rinasce come Atmos

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

 

Report

Evoluzione dei malware mobile – 2016

Ha continuato a crescere in maniera davvero sensibile, nel corso del 2016, il numero dei Trojan pubblicitari in grado di utilizzare i diritti di superutente. Si è trattato, lungo tutto l’arco dell’anno, della minaccia informatica numero 1; al momento attuale non scorgiamo, peraltro, validi motivi ed argomenti che lascino intravedere qualche cambiamento riguardo a tale specifica tendenza.

Lo spam nell’anno 2016

Nel 2016, all’interno dei flussi di spam, si sono verificati diversi cambiamenti; tra di essi, quello più significativo riguarda il sensibile aumento del numero di mailing di massa preposte alla distribuzione dei temibili programmi ransomware. Considerando l’effettiva disponibilità, sul mercato nero, di simili software nocivi, è presumibile che tale tendenza continui a manifestarsi anche nell’anno in corso.

Kaspersky Security Bulletin 2016. Rassegna annuale. Le statistiche dell’anno 2016

Il 2016 è stato, nell’ambito della cyber sicurezza, un anno davvero intenso e turbolento, caratterizzato da imponenti botnet IoT, ransomware, attacchi mirati di cyber spionaggio, ingenti furti nella sfera finanziaria, “hacktivismo” e molto altro ancora. Il Kaspersky Security Bulletin 2016 e il report Statistics di Kaspersky Lab forniscono un quadro dettagliato della situazione; qui, invece, si può leggere l’Executive Summary.

Kaspersky Security Bulletin 2016. La rivoluzione del ransomware

Tra gennaio e settembre 2016 gli attacchi ransomware diretti alle imprese sono aumentati di tre volte, fino all’equivalente di un attacco ogni 40 secondi. Con il boom del ransomware-as-a-service, ed il lancio del progetto NoMoreRansom, Kaspersky Lab ha definito il ransomware come il proprio “tema chiave” per il 2016.

Iscriviti alle nostre e-mail settimanali

La ricerca più all'avanguardia, direttamente nella tua inbox