G DATA mette a nudo ZeuS Panda


Gli analisti G DATA hanno curiosato nella struttura di questo ospite fisso tra i trojan che mirano al mondo bancario. Ora disponibile l’analisi completa di un malware particolarmente articolato.

Bochum – Il banking trojan ZeuS e la sua variante chiamata “Panda” hanno rappresentato negli ultimi sei anni un esempio di malware “prezzemolino” nell’universo delle minacce ai sistemi bancari. L’analisi G DATA rivela un trojan assolutamente fuori dal comune.

Come sapere se i sistemi sono infetti

Partiamo con una cattiva notizia: una volta che una macchina non protetta è stata infettata, è quasi impossibile rilevare la presenza di ZeuS Panda guardando solo i contenuti sullo schermo. Quanto visualizzato sullo schermo è infatti frutto di una intelligente manipolazione che presenta all’utente un perfetto clone di un particolare sito bancario o di sito per i pagamenti online. Gli utenti vengono indotti ad eseguire una donazione a un ente caritatevole o ingannati con richieste di restituzione di un pagamento ricevuto erroneamente, altri aggressori addirittura alzano la posta adducendo indagini sul riciclaggio di denaro condotte dalla “polizia finanziaria tedesca” (non esiste una simile istituzione in Germania, almeno non sotto questo nome). Oltre ad appropriarsi dei dati immessi sul sito web e modificare ciò che l’utente può vedere, ZeuS Panda manipola anche alcune impostazioni di sicurezza e allarmi all’interno del browser, che altrimenti potrebbero rivelarne la presenza.

Ed ora la buona notizia: esistono tecnologie in grado di rilevare un’infezione anche in assenza di una firma per questo malware, come ad esempio G DATA BankGuard.

Perchè Panda è speciale

Sono numerosissime le applicazioni dannose che cercano di eludere la rilevazione e di precludere l’analisi. ZeuS Panda è dotato di meccanismi articolati per evitare che venga analizzato: ad esempio controlla se sono presenti indicatori tipici di macchine virtuali – tra cui VMWare, OpenBox, Wine o qualsiasi tipologia di ambiente HyperV. Molti analisti testano campioni di malware in ambienti virtuali, il malware tenta quindi di compromettere l’analisi. Inoltre, Panda verifica la presenza di molti strumenti utilizzati dagli analisti tra cui ProcMon, Regshot, Sandboxie, Wireshark, IDA e il debugger SoftICE. Se viene rilevata la presenza di uno di questi programmi, il malware non viene eseguito. Altre applicazioni malevole utilizzano controlli davvero superficiali per verificare la presenza di VMWare e OpenBox, funzioni spesso copiate e incollate da codice di terzi. Nel caso di Panda, non solo la verifica è approfondita ma sono stati utilizzati diversi “packer” per creare il file dannoso, cosa che obbliga gli analisti a spacchettizzare il file manualmente. Insomma i creatori di ZeuS Panda hanno creato un malware che dà parecchio filo da torcere agli analisti.

Online circolano anche altri tipi di malware che utilizzano tecniche simili, ma in molti casi l’implementazione è scadente o il trojan stesso contiene errori, limitandone l’efficacia. Tra i numerosi esempi figurano anche casi in cui, dopo aver condotto le attività di deoffuscamento del codice, è risultato che l’URL che doveva essere contattato dal malware conteneva un errore di battitura, azzoppando l’intero costrutto.

Non è questo il caso di ZeuS Panda il cui compito è di continuare a raccogliere dati fino a quando non gli viene ordinato il contrario. Anche qualora il server di comando e controllo di riferimento sia tolto dalla rete, il malware continua ad accumulare i dati sul sistema fino a quando non può scaricarli su un altro server.

Un “coltellino svizzero” fabbricato nell’Europa orientale

Ciò che differenzia Panda in termini di meccanismi di evasione e qualità della produzione, è la sua versatilità. Sebbene ZeuS Panda sia innanzitutto un Trojan bancario, è anche in grado di rubare altri tipi di dati da un sistema, inclusi i contenuti degli appunti (ossia quello che viene copiato in un file per incollarlo altrove  – le applicazioni che gestiscono le password utilizzano spesso la clipboard per trasferire le credenziali dal gestore delle password ad un’altra applicazione o sito web) e eventuali screenshot. Inoltre può implementare una backdoor completa sul sistema infetto tramite VNC. Una situazione equiparabile all’avere qualcuno che siede alle nostre spalle e ci spia quotidianamente 24 ore su 24.

Quale funzione di ZeuS Panda è effettivamente attiva sul sistema dipende dalla configurazione del malware stesso, che si aggiorna automaticamente a intervalli regolari. L’applicazione può quindi trasformarsi da trojan bancario a spyware e controllo remoto di un PC in pochi minuti, a discrezione esclusiva dell’aggressore.

In merito all’origine di ZeuS Panda le indicazioni sono molto chiare: il malware non si attiva se rileva che il sistema aggredito si trova in Russia, Ucraina, Bielorussia o Kazakistan.

Analisi dettagliata

Il rapporto contenente l’analisi tecnica dettagliata di ZeuS Panda è scaricabile dal sito G DATA Advanced Analytics ed è integrato in due articoli postati dal team sul sito (Parte 1 e Parte 2 ).

Continua a leggere

G DATA: nel 2015 focus sul malware multi-target e sullo spyware. Ecco 6 previsioni


Gli esperti di sicurezza di G DATA si aspettano un rinnovato aumento dei Trojan bancari e dell’adware per il 2015.G Data-Logo -Glas- RGB

Bologna – Pericolosi malware per computer come Uroburos, spyware su smartphone Android e un numero costantemente in crescita di casi di malware con attacchi a dispositivi mobili: il 2014 è stato segnato da fenomeni di cyber spionaggio, attacchi hacker e campagne di eCrime. Il record di 3.5 milioni di ceppi di nuovi malware per computer è stato per la prima volta superato.

Questo trend continuerà anche nel 2015 secondo gli esperti di sicurezza di G DATA che si aspettano anche di vedere un incremento nel malware multi-target, diretto sia contro dispositivi mobili e PC desktop.

I Trojan bancari, su cui i cyber criminali continuano a fare affidamento per le frodi bancarie online raggiungeranno un livello molto alto. Per quanto riguarda la protezione di dati G DATA guarda con sospetto i gadget che consentono alle persone di tracciare e quantificare diversi aspetti della propria vita quotidiana (i cosiddetti Quantified Self Data).

Ecco le sei previsioni per il prossimo anno

“Truffe comprovate come email manipolate o lo sfruttamento di vulnerabilità continueranno a godere di grande popolarità tra i cyber criminali nel 2015. I Trojan bancari che hanno raggiunto il loro più alto livello nel 2014 continueranno ad aumentare anche nel prossimo anno”, spiega Ralf Benzmüller, Head of G DATA SecurityLabs. “Il malware che attacca sia i dispositivi monili, sia i PC diventerà significativamente ancora più diffuso”

Quasi un miliardo di smartphone Android sono stati venduti nel 2014 secondo una ricerca di marketing condotta da IDC. L’84,7% degli smartphone venduti in tutto il mondo nel secondo quarto è equipaggiato con sistema operativo Android. Anche gli sviluppatori di malware ne sono a conoscenza e per questo continuano a lavorare a nuove tipologie di malware per questo settore.

Gli esperti di sicurezza di G DATA hanno contato ben 751.136 nuove specie di malware per Android solo nei primi sei mesi dell’anno. Gli analisti si aspettano che in tutto il 2014 il numero di malware per Android superi quota 1.2 milioni. Il G DATA Mobile Malware Report per la prima metà del 2014 può essere scaricato da questo link: http://we.tl/GQEVCOuwHc

6 previsioni per la sicurezza IT nel 2015

I “Quantified Self Data” sono protetti in modo inadeguato
La misurazione dei dati personali, la loro analisi e valutazione è in costante crescita. Le compagnie di assicurazione sono interessate a questo trend al fine di calcolare il premio assicurativo utilizzando i dati di salute degli utenti. La preoccupazione per il furto di questo tipo di dati aumenterà.

Multi-target malware: door-openers nei computer aziendali
Nel prossimo anno il cosiddetto malware multi-target – ossia il malware che può attaccare sia PC, sia smartphone – sarà utilizzato con maggior frequenza dai cyber criminali come porta di accesso ai network aziendali. Le infezioni cross-platform tra dispositivi mobili e PC aumenteranno in modo significativo nel prossimo anno.

Più dispositivi mobili con malware pre-installato
Nel 2014 G DATA ha analizzato lo Star N9500, uno smartphone equipaggiato con uno spyware “di fabbrica”. Secondo gli esperti di G DATA nel 2015 ci saranno altri tentativi in questo senso. Anche se un dispositivo di questo tipo non costasse molto, gli utenti pagherebbero comunque senza volerlo con i loro dati personali.

Nuovo record per i Trojan bancari
I Trojan bancari sono un business molto lucrativo per i cyber criminali. L’autenticazione con fattori multipli e le tecnologie più moderne per i chip sono ancora una rarità tra le banche che sono quindi un obbiettivo privile-giato per i criminali.

Adaware sempre sulla breccia
Massimo risultato col minimo sforzo: i cyber criminali fanno business mo-strando pubblicità non richieste. Quest’area è ormai diventato qualcosa di assodato tra i criminali. Per il 2015 i G DATA SecurityLabs si aspettano un ulteriore aumento in questo settore.

Spyware in aumento
Regin, un nuovo attacco spyware, è stato scoperto recentemente. Regin è stato utilizzato per attacchi mirati contro network ad alto potenziale quali quelli di istituzioni nazionali o grandi aziende. Ci si aspetta che altri pro-grammi malware altamente sofisticati siano scoperti in futuro.

Continua a leggere