Un’ampia coalizione, formata da Europol, FBI ed altri partner internazionali, attacca la botnet Dorkbot

La scorsa settimana, gli specialisti della lotta nei confronti delle temibili reti-zombie hanno inflitto un colpo devastante all’infrastruttura di Dorkbot, uno dei malware attualmente più diffusi. Secondo le stime degli esperti, nell’arco di quattro anni il worm Windows in questione, provvisto di specifiche funzionalità di backdoor, è riuscito ad infettare oltre 1 milione di computer, ubicati in 190 paesi.

Alla vasta operazione internazionale hanno preso parte il Centro Europeo per la lotta contro la cybercriminalità (EC3), operante sotto l’egida di Europol, l’organizzazione europea J-CAT (Joint Cybercrime Action Taskforce), l’Interpol, l’FBI e le forze dell’ordine di Canada, Belgio, Francia, Lituania, Spagna, Paesi Bassi, Albania e Montenegro. In particolare, le forze di cyberpolizia canadesi hanno aiutato la specifica Autorità di Vigilanza di tale paese a mettere in pratica la prima disposizione del suo genere, applicata nel quadro della legge contro lo spam (Canada’s anti-spam legislation, CASL) attualmente in vigore nel paese nordamericano, ovvero lo smantellamento di un server C&C del malware Dorkbot, furtivamente all’opera nella città di Toronto.

Il supporto tecnico, nella circostanza, è stato fornito da Microsoft, ESET e dai CERT polacco e statunitense. Attualmente, le organizzazioni che hanno preso parte all’operazione congiunta sono impegnate nel conteggio delle vittime delle attività illecite condotte dagli operatori della suddetta botnet.

Microsoft ed ESET osservano il malware Dorkbot (conosciuto, sul mercato nero della cybercriminalità, con il nome di NgrBot) sin dall’anno 2011. Tale worm si diffonde attraverso i dispositivi di memoria USB, i canali di messaggistica istantanea, i social network, lo spam distribuito tramite la posta elettronica e i download di tipo “drive-by”, mediante un apposito exploit. Secondo gli esperti, alcuni degli operatori delle botnet basate su Dorkbot utilizzano ugualmente uno speciale modulo adibito al download del malware in causa.

Lo scopo principale che si prefigge il software nocivo qui esaminato, secondo i dati di cui dispone Microsoft, è rappresentato sia dal furto degli ID relativi agli account, sia dalla sottrazione dei dati personali. Dorkbot monitora le sessioni di comunicazione effettuate tramite browser e sorveglia, allo stesso tempo, l’accesso a determinati siti web. Il malware si interessa, in particolar modo, ai servizi e-mail (AOL, Gmail, Yahoo), ai social network (Facebook, Twitter), così come ad eBay, PayPal, Steam, YouTube, Netflix ed altro ancora.

Una volta eseguito sul computer-vittima, Dorkbot provvede ad aprire la backdoor di cui è provvisto, ed attende, quindi, i comandi che saranno poi impartiti dai propri “padroni”. In genere, il primo compito che viene assegnato a Dorkbot dai titolari della rete-zombie è quello di avviare il processo di auto-propagazione del worm, oppure di realizzare il download di ulteriori programmi nocivi. In quest’ultimo caso, la scelta è davvero ampia: può in effetti trattarsi di insidiosi downloader, quali Gamarue/Andromeda o Necurs, oppure di temibili cryptoblocker (Crowti/Cryptowall); la gamma dei software dannosi dispiegati, nell’occasione, dai malintenzionati, è infine completata da famigerati spam bot, ovvero Waledac, Kelihos e Lethic.

Dietro apposito comando, Dorkbot è ugualmente in grado di bloccare l’accesso dell’utente-vittima a siti web dedicati alla sicurezza informatica, con il preciso intento di impedire l’aggiornamento della protezione antivirus installata sul computer sottoposto ad attacco. Dorkbot registra ugualmente l’orario e la data in cui esso viene eseguito per la prima volta; quando poi riceve un update dal proprio centro di comando e controllo, il malware in questione provvede a verificare il timestamp iniziale: la differenza temporale non deve risultare inferiore alle 48 ore; in caso contrario, la richiesta inviata all’URL verrebbe scoperta, qualora l’esecuzione fosse realizzata tramite sandbox.

Il malware Dorkbot viene amministrato attraverso canali IRC; alcune varianti del worm, secondo Microsoft, utilizzano persino le connessioni protette (SSL). In genere, gli indirizzi relativi ai server C&C vengono programmati nel modulo IRC del malware. Al momento della prima connessione, Dorkbot comunica ai proprietari della botnet la propria ubicazione, la versione dell’OS Windows utilizzata dall’utente-vittima e l’identificativo personale. Una volta compiute tali operazioni, il bot è pronto ad eseguire i comandi di volta in volta impartiti dai malintenzionati.

Nel corso degli ultimi sei mesi le soluzioni di sicurezza di Microsoft hanno rilevato, in media, sino a 100.000 infezioni al mese, da parte di Dorkbot. Il maggior numero di bot è stato individuato in India (21% del volume complessivo di macchine infette), in Indonesia (17%), Russia e Argentina (rispettivamente 16% e 14%). Il 61% dei rilevamenti eseguiti in merito è risultato ascrivibile ai dieci paesi che compongono la TOP-10 della speciale classifica inerente a tale significativo indice.

Fonte: Europol

Post correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *