Posts Tagged ‘Mitmo’

ZeuS Mitmo: Man-in-the-mobile (II)

settembre 29th, 2010, posted in S21sec, Traduzioni inglese>italiano

Il post seguente è stato tradotto per gentile concessione di S21sec.

Dopo aver spiegato la situazione, possiamo condividere maggiori dettagli. Rubare un nome utente o una password è relativamente facile e malware simili a Zeus lo fanno da anni (iniettare codice HTML o aggiungere un campo utilizzando JavaScript, funziona che è una meraviglia). Ma ora il trojan chiederà anche nuovi dettagli: il fornitore di telefonia mobile, modello e numero del telefono (il sito vi costringerà a inserire queste informazioni grazie alle sue nuove misure di sicurezza).


Una volta che le informazioni saranno state inserite, verrà inviato un SMS al dispositivo mobile con un link per scaricare il nuovo certificato di sicurezza (che, in realtà, sarà un’applicazione dannosa).


È importante sottolineare che a seconda del fornitore di telefonia mobile, il link punterà a un’applicazione Symbian (.sis) o BlackBerry (.jad). Perché proprio questi e non IPhone, ad esempio? Qualsiasi utente può installare qualsiasi applicazione utilizzando quei fornitori, semplicemente confermando con ‘OK’ quando il dispositivo lo richieda. IPhone può installare solo applicazioni tramite AppStore (a meno che non siano jailbroken, ma questa è un’altra storia.)

ZeuS Mitmo: Man-in-the-mobile (I)
ZeuS Mitmo: Man-in-the-mobile (II)
ZeuS Mitmo: Man-in-the-mobile (III)

David Barroso

S21sec e-crime

Fonte: ZeuS Mitmo: Man-in-the-mobile (II)

read more no comments

ZeuS Mitmo: Man-in-the-mobile (I)

settembre 28th, 2010, posted in S21sec, Traduzioni inglese>italiano

Il post seguente è stato tradotto per gentile concessione di S21sec

Chi di voi segue questo blog sa già che seguiamo Zeus da molti anni. Abbiamo visto molti miglioramenti nelle sue caratteristiche (injection, JavaScript, Jabber, VNC, ecc…). Ma recentemente ci sono state alcune novità che possono essere la prossima grande milestone: il mondo mobile.

Il motivo è decisamente ovvio. Molte aziende (non solo le istituzioni finanziarie) usano gli SMS come secondo vettore di autenticazione, di conseguenza sapere sia il nome utente che la password online non è sufficiente per il furto d’identità. Ci sono alcune tecniche di social engineering in the wild che cercano di gestire il problema ingannando l’utente, che pensa di effettuare una specifica operazione; ma in realtà sta facendo altro tramite il forging (man-in-the-browser, JabberZeus, ecc…)

In questo post parleremo di un’alternativa migliore progettata da una gang di Zeus: infettare il dispositivo mobile e effettuare lo sniffing di tutti i messaggi SMS in transito. Lo scenario ora è più facile:

  1. L’attacker ruba sia il nome utente che la password online utilizzando un malware (Zeus 2.x).
  2. Infetta il dispositivo mobile dell’utente costringendolo a installare un’applicazione dannosa (manda un SMS con un link all’applicazione mobile dannosa).
  3. Accede con le credenziali rubate utilizzando il computer dell’utente come sock/proxy ed esegue una specifica operazione che richiede l’autenticazione tramite SMS.
  4. Un SMS è inviato al dispositivo mobile dell’utente con il codice di autenticazione. Il software dannoso in esecuzione nel dispositivo inoltra l’SMS al terminale controllato dall’attacker.
  5. L’attacker inserisce il codice di autenticazione e completa l’operazione.

ZeuS Mitmo: Man-in-the-mobile (I)
ZeuS Mitmo: Man-in-the-mobile (II)
ZeuS Mitmo: Man-in-the-mobile (III)

David Barroso

S21sec e-crime

Fonte: ZeuS Mitmo: Man-in-the-mobile (I)

read more no comments