Il post seguente è stato tradotto per gentile concessione di S21sec
Chi di voi segue questo blog sa già che seguiamo Zeus da molti anni. Abbiamo visto molti miglioramenti nelle sue caratteristiche (injection, JavaScript, Jabber, VNC, ecc…). Ma recentemente ci sono state alcune novità che possono essere la prossima grande milestone: il mondo mobile.
Il motivo è decisamente ovvio. Molte aziende (non solo le istituzioni finanziarie) usano gli SMS come secondo vettore di autenticazione, di conseguenza sapere sia il nome utente che la password online non è sufficiente per il furto d’identità. Ci sono alcune tecniche di social engineering in the wild che cercano di gestire il problema ingannando l’utente, che pensa di effettuare una specifica operazione; ma in realtà sta facendo altro tramite il forging (man-in-the-browser, JabberZeus, ecc…)
In questo post parleremo di un’alternativa migliore progettata da una gang di Zeus: infettare il dispositivo mobile e effettuare lo sniffing di tutti i messaggi SMS in transito. Lo scenario ora è più facile:
- L’attacker ruba sia il nome utente che la password online utilizzando un malware (Zeus 2.x).
- Infetta il dispositivo mobile dell’utente costringendolo a installare un’applicazione dannosa (manda un SMS con un link all’applicazione mobile dannosa).
- Accede con le credenziali rubate utilizzando il computer dell’utente come sock/proxy ed esegue una specifica operazione che richiede l’autenticazione tramite SMS.
- Un SMS è inviato al dispositivo mobile dell’utente con il codice di autenticazione. Il software dannoso in esecuzione nel dispositivo inoltra l’SMS al terminale controllato dall’attacker.
- L’attacker inserisce il codice di autenticazione e completa l’operazione.
ZeuS Mitmo: Man-in-the-mobile (I)
ZeuS Mitmo: Man-in-the-mobile (II)
ZeuS Mitmo: Man-in-the-mobile (III)
David Barroso
S21sec e-crime
Fonte: ZeuS Mitmo: Man-in-the-mobile (I)
All of you who follow this blog already know that we’ve been tracking ZeuS for many years. We have seen many improvements in its features (injection, JavaScript, Jabber, VNC, etc.), but recently there have been some new additions that can be the next big milestone: the mobile world.
The reason is pretty obvious; many companies (not only financial institutions) are using SMS as a second authentication vector, so having both the online username and password is not enough in the identity theft process. There are some social engineering techniques in the wild that try to handle this issue by luring the user; the user thinks that is doing a specific operation, but in fact he is doing other forged one (man-in-the-browser, JabberZeus, etc.)
In this post, we are going to talk about a better alternative planned by a ZeuS gang: infect the mobile device and sniff all the SMS messages that are being delivered. The scenario is now easier:
- The attacker steals both the online username and password using a malware (ZeuS 2.x)
- The attacker infects the user’s mobile device by forcing him to install a malicious application (he sends a SMS with a link to the malicious mobile application)
- The attacker logs in with the stolen credentials using the user’s computer as a socks/proxy and performs a specific operation that needs SMS authentication
- An SMS is sent to the user’s mobile device with the authentication code. The malicious software running in the device forwards the SMS to other terminal controlled by the attacker
- The attacker fills in the authentication code and completes the operation.
ZeuS Mitmo: Man-in-the-mobile (I)
ZeuS Mitmo: Man-in-the-mobile (II)
ZeuS Mitmo: Man-in-the-mobile (III)
David Barroso
S21sec e-crime
Source: ZeuS Mitmo: Man-in-the-mobile (I)