Funzionalità ransomware di ZeuS: win_unlock

Il post seguente è stato tradotto per gentile concessione di F-Secure

Stamattina presto, mentre eseguivamo il nostro quotidiano data mining, ci siamo imbattuti in una nuova variante di ZeuS 2.x. Comprendeva un nuovo comando backdoor chiamato: win_unlock. Molto interessante. Pare che questo ZeuS 2.x leggermente modificato includa una funzione ransomware.

Quando questa particolare variante viene eseguita, apre Internet Explorer ad una pagina specifica (lex.creativesandboxs.com/locker/lock.php) e impedisce all’utente di fare qualsiasi altra cosa con il sistema infetto. La pagina web aperta, presumibilmente, mostra un qualche tipo di messaggio di estorsione; ma, al momento, non è disponibile perché il sito è offline.

Il modo più semplice per sbloccare il sistema è quello di eliminare semplicemente il trojan. Ma potrebbe essere un po’ complicato, in quanto il trojan impedisce di fare qualsiasi cosa con il sistema infetto, per fortuna il blocco può essere facilmente disattivato.

Guardando il codice che corrisponde a un comando win_unlock, è chiaro che l’informazione di sblocco è memorizzata nel registro.

ZeuS, funzionalità ransomware

Lo sblocco può, quindi, essere eseguito facilmente tramite un editor per il registro:

1. Avviare il sistema in modalità provvisoria
2. Aggiungere una nuova chiave denominata syscheck in HKEY_CURRENT_USER
3. Creare un nuovo valore DWORD sotto la chiave syscheck
4. Impostare il nome del nuovo valore DWORD a Checked
5. Impostare i dati per il valore Checked a 1
6. Riavviare

SHA1: 03f0c26c6ba77c05152a1e0cc8bc5657f0c83119
Analisi di Mikko S. e Marko

Fonte: ZeuS Ransomware Feature: win_unlock


Posted in F-Secure, Traduzioni inglese-italiano and tagged , , by with no comments yet.

Malware di Android spia i vostri messaggi sms. Ma fa parte della famiglia di Zeus?

Il post seguente è stato tradotto per gentile concessione di Naked Security

Malware di Android I moduli Symbian , Windows Mobile e Blackberry del famigerato toolkit di malware Zeus (noto anche come ZBot), sono noti da mesi ed era chiaro che la gang di Zeus fosse interessata allo sviluppo di malware per piattaforme mobili.

Tuttavia, finora, non abbiamo visto alcuna prova che Zeus prenda di mira gli utenti che possiedono dispositivi Android o IOS (iPhone/iPad).

Questo fatto ci ha abbastanza sorpreso, considerando la popolarità delle piattaforme Android e IOS e la crescente diffusione di malware scritti in particolare per il sistema operativo Android di Google.

Negli ultimi due giorni, però, ci sono state parecchie discussioni sulle mailing list dedicate all’analisi del malware mobile in merito a una versione Android di Zeus.

Alla fine siamo giunti alla conclusione che si trattasse di un’applicazione nociva che i prodotti Sophos rilevano, già dal 31 maggio 2011, come Andr/SMSRep-B .

L’applicazione nociva finge di essere una versione Android del software di sicurezza bancaria Trusteer Rapport ed è stata inviata ai dispositivi con l’SO Android di Google da un web server creato per distribuire il malware Zbot a diverse piattaforme.

Dopo il fatto, non è stato difficile connettere l’applicazione Android allo Zeus toolkit, anche se non siamo certi al 100% che ci fosse una connessione.

L’applicazione installata utilizza un’icona rubata a Rapport e mostra una semplice schermata quando viene lanciata sul dispositivo colpito.

Zeus Rapport

La falsa applicazione Rapport si registra come Broadcast receiver, intercetta tutti gli SMS ricevuti e inoltra i messaggi a un server web nocivo mediante richieste HTTP POST. I messaggi SMS rubati sono codificati utilizzando uno schema di codifica JSON, spesso utilizzato da vari servizi web.

Anche se l’applicazione è chiaramente progettata per sottrarre il contenuto dei messaggi SMS, non è molto elaborata.

Per questo non possiamo essere sicuri al 100% che sia realmente parte del kit Zeus. L’URL del server command and control è hardcoded nel codice sorgente, ad esempio, e ciò non rende l’applicazione molto versatile per essere installata su un server alternativo.

Tuttavia, questa applicazione nociva per Android è interessante, in quanto combina le funzionalità spyware con il concetto di software di sicurezza fasullo. Come abbiamo visto di recente nel mondo di Mac OS X, il falso software antivirus è uno dei temi più comuni adottato dagli hacker malintenzionati durante i loro attacchi.

Alla fine il dubbio se questo faccia realmente parte della famiglia Zeus o meno, rimane.

Suppongo che solo gli sviluppatori dello Zeus kit lo sappiano per certo. Purtroppo non ho modo di contattarli e anche se l’avessi, dubito che sarebbero disposti a confermare o smentire questa teoria.

Fonte: Android malware spies on your SMS messages – but is it part of the Zeus family?


Posted in Naked Security, Traduzioni inglese-italiano and tagged , , , , by with no comments yet.

ZeuS Mitmo: Man-in-the-mobile (II)

Il post seguente è stato tradotto per gentile concessione di S21sec.

Dopo aver spiegato la situazione, possiamo condividere maggiori dettagli. Rubare un nome utente o una password è relativamente facile e malware simili a Zeus lo fanno da anni (iniettare codice HTML o aggiungere un campo utilizzando JavaScript, funziona che è una meraviglia). Ma ora il trojan chiederà anche nuovi dettagli: il fornitore di telefonia mobile, modello e numero del telefono (il sito vi costringerà a inserire queste informazioni grazie alle sue nuove misure di sicurezza).


Una volta che le informazioni saranno state inserite, verrà inviato un SMS al dispositivo mobile con un link per scaricare il nuovo certificato di sicurezza (che, in realtà, sarà un’applicazione dannosa).


È importante sottolineare che a seconda del fornitore di telefonia mobile, il link punterà a un’applicazione Symbian (.sis) o BlackBerry (.jad). Perché proprio questi e non IPhone, ad esempio? Qualsiasi utente può installare qualsiasi applicazione utilizzando quei fornitori, semplicemente confermando con ‘OK’ quando il dispositivo lo richieda. IPhone può installare solo applicazioni tramite AppStore (a meno che non siano jailbroken, ma questa è un’altra storia.)

ZeuS Mitmo: Man-in-the-mobile (I)
ZeuS Mitmo: Man-in-the-mobile (II)
ZeuS Mitmo: Man-in-the-mobile (III)

David Barroso

S21sec e-crime

Fonte: ZeuS Mitmo: Man-in-the-mobile (II)


Posted in S21sec, Traduzioni inglese-italiano and tagged , , by with no comments yet.

ZeuS Mitmo: Man-in-the-mobile (I)

Il post seguente è stato tradotto per gentile concessione di S21sec

Chi di voi segue questo blog sa già che seguiamo Zeus da molti anni. Abbiamo visto molti miglioramenti nelle sue caratteristiche (injection, JavaScript, Jabber, VNC, ecc…). Ma recentemente ci sono state alcune novità che possono essere la prossima grande milestone: il mondo mobile.

Il motivo è decisamente ovvio. Molte aziende (non solo le istituzioni finanziarie) usano gli SMS come secondo vettore di autenticazione, di conseguenza sapere sia il nome utente che la password online non è sufficiente per il furto d’identità. Ci sono alcune tecniche di social engineering in the wild che cercano di gestire il problema ingannando l’utente, che pensa di effettuare una specifica operazione; ma in realtà sta facendo altro tramite il forging (man-in-the-browser, JabberZeus, ecc…)

In questo post parleremo di un’alternativa migliore progettata da una gang di Zeus: infettare il dispositivo mobile e effettuare lo sniffing di tutti i messaggi SMS in transito. Lo scenario ora è più facile:

  1. L’attacker ruba sia il nome utente che la password online utilizzando un malware (Zeus 2.x).
  2. Infetta il dispositivo mobile dell’utente costringendolo a installare un’applicazione dannosa (manda un SMS con un link all’applicazione mobile dannosa).
  3. Accede con le credenziali rubate utilizzando il computer dell’utente come sock/proxy ed esegue una specifica operazione che richiede l’autenticazione tramite SMS.
  4. Un SMS è inviato al dispositivo mobile dell’utente con il codice di autenticazione. Il software dannoso in esecuzione nel dispositivo inoltra l’SMS al terminale controllato dall’attacker.
  5. L’attacker inserisce il codice di autenticazione e completa l’operazione.

ZeuS Mitmo: Man-in-the-mobile (I)
ZeuS Mitmo: Man-in-the-mobile (II)
ZeuS Mitmo: Man-in-the-mobile (III)

David Barroso

S21sec e-crime

Fonte: ZeuS Mitmo: Man-in-the-mobile (I)


Posted in S21sec, Traduzioni inglese-italiano and tagged , , by with no comments yet.