Un Trojan-Banker molto previdente

Come ha fatto notare un reporter di Softpedia, all’imminente ed inevitabile revoca dei certificati SHA-1 si stanno preparando non solo i proprietari dei siti web e le aziende produttrici di software, ma anche i cybercriminali. I ricercatori di Symantec, in effetti, hanno scoperto un Trojan bancario provvisto di ben due firme digitali; la prima generata tramite l’algoritmo digest SHA-1, la seconda attraverso l’algoritmo “di riserva” SHA-256.

Il banker in questione è stato identificato come una variante di Carberp; esso è emerso nell’ambito di campagne di spam malevolo a “tiratura” limitata, condotte sul territorio di Stati Uniti, Danimarca, Svezia, Israele ed Etiopia. Secondo gli esperti, si tratta di uno dei primi casi, in base all’esperienza da essi acquisita, in cui, per firmare del codice dannoso si è fatto contemporaneamente ricorso a due certificati digitali.

I messaggi di spam mirato, individuati da Symantec, sono risultati diretti al personale operante nel settore della contabilità; le e-mail nocive contenevano, in allegato, un documento Word provvisto di apposita macro dannosa. Al momento dell’attivazione di quest’ultima, sul computer dell’utente-vittima sarebbe stato caricato il malware in causa (attraverso un indirizzo IP di Mauritius).

Come ha dimostrato l’analisi svolta, il relativo file eseguibile risulta firmato per mezzo di due certificati digitali illecitamente sottratti, emessi di recente; tali certificati, di fatto, aiutano il Trojan-Banker ad evitare il rilevamento da parte delle soluzioni di sicurezza IT e, al tempo stesso, a mantenere lo status di applicazione dotata di firma, nel caso in cui uno dei due certificati venisse revocato. Questa particolare “doppietta”, inoltre, permette di attaccare qualsiasi sistema operativo Windows, tra cui gli OS inferiori ad XP SP3, che non supportano lo standard crittografico SHA-2, e magari presentano un elevato numero di vulnerabilità non ancora chiuse tramite le apposite patch.

L’algoritmo di crittografia SHA-1 è stato dichiarato non più sicuro proprio lo scorso autunno, quando alcuni ricercatori universitari hanno dimostrato che eventuali attacchi portati nei suoi confronti, ormai, erano dietro l’angolo. Le nuove esigenze emerse riguardo alle authority di certificazione ed ai browser hanno determinato vari annunci di piani specifici per l’interruzione del supporto nei confronti dei nuovi certificati SHA-1 a partire dal 1° gennaio 2016. Tali iniziative sono state condotte da varie Certificate Authority (CA) e numerosi vendor, tra cui Microsoft; al momento attuale, ad ogni caso, continuano ad essere rilasciati nuovi certificati digitali SHA-1: il passaggio definitivo all’algoritmo SHA-2, di per se stesso, potrebbe comportare, per molti utenti, la privazione dell’accesso alle risorse Internet. Appare evidente che una simile situazione non fa altro che favorire i malintenzionati; l’esempio di Carberp ha inoltre dimostrato come i cybercriminali siano spesso in grado di “appropriarsi” dei nuovi standard con maggiore rapidità rispetto ad alcuni operatori di siti web.

Fonte: Softpedia

Post correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *