G DATA mette a nudo ZeuS Panda


Gli analisti G DATA hanno curiosato nella struttura di questo ospite fisso tra i trojan che mirano al mondo bancario. Ora disponibile l’analisi completa di un malware particolarmente articolato.

Bochum – Il banking trojan ZeuS e la sua variante chiamata “Panda” hanno rappresentato negli ultimi sei anni un esempio di malware “prezzemolino” nell’universo delle minacce ai sistemi bancari. L’analisi G DATA rivela un trojan assolutamente fuori dal comune.

Come sapere se i sistemi sono infetti

Partiamo con una cattiva notizia: una volta che una macchina non protetta è stata infettata, è quasi impossibile rilevare la presenza di ZeuS Panda guardando solo i contenuti sullo schermo. Quanto visualizzato sullo schermo è infatti frutto di una intelligente manipolazione che presenta all’utente un perfetto clone di un particolare sito bancario o di sito per i pagamenti online. Gli utenti vengono indotti ad eseguire una donazione a un ente caritatevole o ingannati con richieste di restituzione di un pagamento ricevuto erroneamente, altri aggressori addirittura alzano la posta adducendo indagini sul riciclaggio di denaro condotte dalla “polizia finanziaria tedesca” (non esiste una simile istituzione in Germania, almeno non sotto questo nome). Oltre ad appropriarsi dei dati immessi sul sito web e modificare ciò che l’utente può vedere, ZeuS Panda manipola anche alcune impostazioni di sicurezza e allarmi all’interno del browser, che altrimenti potrebbero rivelarne la presenza.

Ed ora la buona notizia: esistono tecnologie in grado di rilevare un’infezione anche in assenza di una firma per questo malware, come ad esempio G DATA BankGuard.

Perchè Panda è speciale

Sono numerosissime le applicazioni dannose che cercano di eludere la rilevazione e di precludere l’analisi. ZeuS Panda è dotato di meccanismi articolati per evitare che venga analizzato: ad esempio controlla se sono presenti indicatori tipici di macchine virtuali – tra cui VMWare, OpenBox, Wine o qualsiasi tipologia di ambiente HyperV. Molti analisti testano campioni di malware in ambienti virtuali, il malware tenta quindi di compromettere l’analisi. Inoltre, Panda verifica la presenza di molti strumenti utilizzati dagli analisti tra cui ProcMon, Regshot, Sandboxie, Wireshark, IDA e il debugger SoftICE. Se viene rilevata la presenza di uno di questi programmi, il malware non viene eseguito. Altre applicazioni malevole utilizzano controlli davvero superficiali per verificare la presenza di VMWare e OpenBox, funzioni spesso copiate e incollate da codice di terzi. Nel caso di Panda, non solo la verifica è approfondita ma sono stati utilizzati diversi “packer” per creare il file dannoso, cosa che obbliga gli analisti a spacchettizzare il file manualmente. Insomma i creatori di ZeuS Panda hanno creato un malware che dà parecchio filo da torcere agli analisti.

Online circolano anche altri tipi di malware che utilizzano tecniche simili, ma in molti casi l’implementazione è scadente o il trojan stesso contiene errori, limitandone l’efficacia. Tra i numerosi esempi figurano anche casi in cui, dopo aver condotto le attività di deoffuscamento del codice, è risultato che l’URL che doveva essere contattato dal malware conteneva un errore di battitura, azzoppando l’intero costrutto.

Non è questo il caso di ZeuS Panda il cui compito è di continuare a raccogliere dati fino a quando non gli viene ordinato il contrario. Anche qualora il server di comando e controllo di riferimento sia tolto dalla rete, il malware continua ad accumulare i dati sul sistema fino a quando non può scaricarli su un altro server.

Un “coltellino svizzero” fabbricato nell’Europa orientale

Ciò che differenzia Panda in termini di meccanismi di evasione e qualità della produzione, è la sua versatilità. Sebbene ZeuS Panda sia innanzitutto un Trojan bancario, è anche in grado di rubare altri tipi di dati da un sistema, inclusi i contenuti degli appunti (ossia quello che viene copiato in un file per incollarlo altrove  – le applicazioni che gestiscono le password utilizzano spesso la clipboard per trasferire le credenziali dal gestore delle password ad un’altra applicazione o sito web) e eventuali screenshot. Inoltre può implementare una backdoor completa sul sistema infetto tramite VNC. Una situazione equiparabile all’avere qualcuno che siede alle nostre spalle e ci spia quotidianamente 24 ore su 24.

Quale funzione di ZeuS Panda è effettivamente attiva sul sistema dipende dalla configurazione del malware stesso, che si aggiorna automaticamente a intervalli regolari. L’applicazione può quindi trasformarsi da trojan bancario a spyware e controllo remoto di un PC in pochi minuti, a discrezione esclusiva dell’aggressore.

In merito all’origine di ZeuS Panda le indicazioni sono molto chiare: il malware non si attiva se rileva che il sistema aggredito si trova in Russia, Ucraina, Bielorussia o Kazakistan.

Analisi dettagliata

Il rapporto contenente l’analisi tecnica dettagliata di ZeuS Panda è scaricabile dal sito G DATA Advanced Analytics ed è integrato in due articoli postati dal team sul sito (Parte 1 e Parte 2 ).

Continua a leggere

G DATA PRIVACY EDITION per proteggere al meglio il tuo mondo virtuale


Logo-Claim-2015-3c-highresL’edizione speciale assicura protezione totale e massima privacy in reti wifi, cablate e mobili a tutto beneficio della sicurezza della navigazione e delle transazioni online.

La nuova G DATA INTERNET SECURITY PRIVACY EDITION offre protezione senza confini. L’edizione speciale coniuga il pluripremiato antivirus per PC e Android G DATA e la protezione dell’anonimato, tutela quindi la privacy digitale degli utenti e garantisce la massima sicurezza in Internet. A casa come in viaggio, che si effettuino transazioni bancarie o acquisti online: una VPN (rete privata virtuale) preserva password, recapiti per la fornitura degli articoli acquistati e dati di accesso al proprio conto in banca contro lo spionaggio e il furto, specie qualora l’utente sia connesso ad Internet tramite reti pubbliche. Peraltro la VPN non protegge solo l‘identità digitale degli utenti, ma cela anche il computer ai cybercriminali. La soluzione G DATA INTERNET SECURITY PRIVACY EDITION è disponibile in Italia a partire dal 23 novembre al prezzo di listino raccomandato di € 34,95, IVA inclusa, presso i rivenditori autorizzati o lo shop online.

Questo pacchetto di sicurezza esclusivo contiene una licenza per le soluzioni G DATA INTERNET SECURITY e G DATA INTERNET SECURITY PER ANDROID per i dispositivi mobili così come una licenza per la Steganos Online Shield VPN, valida per entrambe le soluzioni G DATA. L’edizione speciale “tre in uno” assicura quindi la miglior protezione del proprio universo virtuale, che si effettuino transazioni o acquisti online.

Come funziona la VPN

La VPN è un‘interfaccia tra due reti. La Steganos Online Shield VPN cifra l‘intero traffico Internet, indipendentemente dalla rete wifi a cui ci si appoggia. Schermati dai server ad alta sicurezza di Steganos i dati personali sono protetti contro eventuali attacchi.

Sicurezza „Made in Germany“

La G DATA Software AG con sede a Bochum e la Steganos Software di Berlino offrono ai propri clienti soluzioni di sicurezza IT prive di back-door e garantiscono su scala globale la conformità alle severe normative tedesche in tema di protezione dei dati. G DATA stessa ha sottoscritto volontariamente già nel 2011 tale impegno presso l’associazione tedesca per la sicurezza IT (TeleTrust).

GDRIS25.2 INT EN 1PC S+A KM37 3D RGBProtezione completa di computer, device mobili e accesso a Internet

G DATA INTERNET SECURITY

G DATA INTERNET SECURITY salvaguarda in modo affidabile pc e dati personali con la migliore protezione contro virus e trojan ed un potente firewall. Gli utenti sono protetti in modo ottimale, che scrivano e-mail o navighino in Internet.

G DATA INTERNET SECURITY PER ANDROID

La soluzione di sicurezza per device mobili offre una protezione completa ed affidabile per smartphone e tablet. Oltre alla tutela contro i malware, all‘identificazione di App rischiose e alla protezione contro i pericoli della navigazione tramite reti pubbliche, questa App particolarmente smart per la sicurezza salvaguarda gli utenti dalle fatali conseguenze del furto o dello smarrimento del proprio dispositivo: essa consente infatti di localizzare lo smartphone e rimuovere da remoto tutti i dati salvati sullo stesso per evitare che terzi vi abbiano accesso.

STEGANOS ONLINE SHIELD VPN

Il software di sicurezza riduce al minimo i pericoli della Rete, filtra le pubblicità indesiderate e rimuove le barriere territoriali alla fruizione di contenuti digitali. Gli utenti possono altresì prevenire lo spionaggio delle proprie attività e la corrispondente profilazione via Social Tracking, utilizzata ad esempio dai social network come Facebook e Twitter per adattare l’offerta pubblicitaria alle esigenze personali dell’utente.

VPN per i clienti G DATA

I clienti G DATA in possesso di licenze attive per Internet Security e Internet Security per Android possono acquistare la soluzione Steganos Online Shield VPN come modulo aggiuntivo al prezzo di €14,95 (una licenza). Ogni ulteriore licenza costerà € 10. G DATA erogherà ai propri clienti servizi di assistenza tecnica anche su questa soluzione.

Prezzo e disponibilità

G DATA INTERNET SECURITY PRIVACY EDITION sarà disponibile in Italia presso i rivenditori autorizzati o tramite shop online a partire dal 23 novembre al prezzo di listino raccomandato, IVA inclusa, di € 34,95.

Le caratteristiche principali

G DATA INTERNET SECURITY

  • Tecnologia G DATA CloseGap „Made in Germany“ di ultima generazione per una perfetta rilevazione dei virus
  • Transazioni o acquisti online sicuri grazie a G DATA BankGuard
  • Protezione contro gli exploit: previene lo sfruttamento di vulnerabilità
  • Protezione anti keylogger: protezione in tempo reale automatizzata e signature-based, senza alcun impatto sulle performance del sistema
  • Anti-Spam contro e-mail pubblicitarie e tentativi di phishing

G DATA INTERNET SECURITY PER ANDROID

  • Protezione contro le App pericolose: il controllo delle App verifica quali diritti sono loro assegnati e notifica all’utente la presenza di app spia
  • Protezione contro i malware per Android: la nuova scansione avanzata collegata al cloud riconosce i programmi dannosi senza alcun impatto sulle prestazioni del device mobile ed è sempre aggiornata
  • Filtro chiamate e SMS personalizzabile per bloccare chiamate o messaggi pubblicitari e simili
  • Protezione in caso di smarrimento o furto: qualora lo smartphone e tablet andassero persi è possibile cancellare tutti i dati ivi salvati, bloccare il dispositivo e/o localizzarlo
  • Ampia protezione della navigazione dei minori liberamente configurabile, per consentire anche ai propri figli di utilizzare il dispositivo mobile

STEGANOS ONLINE SHIELD VPN

  • Protezione della connessione Internet attraverso una forte cifratura
  • Protezione estesa della privacy anche in presenza di connessioni a reti pubbliche (ad esempio il wifi dei locali o negli aeroporti)
  • Accesso a contenuti digitali non fruibili per vincoli territoriali
  • Impedisce tracking e profilazione condotti dai social network

Requisiti di sistema

PC un Windows 10/8.x/7 e almeno 1 GB di RAM (sistemi a 32 Bit), o 2 GB di RAM (sistemi 64 Bit); Windows Vista (SP2, 32/64 Bit) con almeno 1 GB di RAM o Windows XP (SP3, 32Bit), con almeno di 1 GB di RAM; opzionale CD-/DVD-ROM; device mobile (smartphone o tablet) a partire dalla release 4 di Android.

Continua a leggere