pc - News, alert e approfondimenti dal mondo dell'informatica - Studio Nassisi Udine, cell. 347.4795351

Vai ai contenuti

Menu principale:

Il malware Zeus torna a bersagliare gli italiani via mail

Pubblicato da in News ·
Tags: viruszeussicurezzapc

Il malware Zeus torna ancora ad affacciarsi sul panorama italiano confermandosi come una delle minacce più pericolose e longeve degli ultimi anni. Scoperto per la prima volta nel luglio 2007, quando fu utilizzato per sottrarre informazioni sensibili presso il Dipartimento dei Trasporti degli Stati Uniti, iniziò a diffondersi su più vasta scala nel marzo 2009. Zeus è stato appositamente studiato per sottrarre informazioni personali (dati per l'accesso a servizi di online banking, numeri di carte di credito e relativi codici di autorizzazione, nomi utente e password, certificati digitali,...) e rubare denaro ai malcapitati il cui sistema venisse infettato con successo.
Zeus si diffonde utilizzando schemi drive-by download (sono più esposti, in questo caso, gli utenti che non usano aggiornare tempestivamente il browser e tutti i plugin utilizzati) oppure attacchi phishing.
Proprio negli ultimi giorni è stata rilevata una nuova ondata di attacchi che sembrano ricollegabili all'azione di Zeus. Le aggressioni, come già accaduto in passato sono appositamente studiate per bersagliare gli italiani ed indurli all'installazione di Zeus sul sistema.
Tutto inizia con l'arrivo di un'e-mail con soggetto e testo in italiano (anche se un pò stentato) del tipo: "La nostra azienda ha scoperto una discrepanza nei calcoli probabilmente con voi. Scusa se ti disturbo, ma noi non convergono rapporto fiscale. Vi chiediamo di essere messo fuori per controllare l'importo dei pagamenti".
Attualmente ci sono in circolazione diverse varianti dei messaggi di posta collegati all'azione di Zeus: ciascuno di essi cerca di tendere una trappola agli utenti citando documenti, ordini, richieste di conferma o spedizioni assolutamente fasulle. In ogni messaggio è, infatti, sempre presente un link facente riferimento ad un file Zip o ad un eseguibile contenente il codice dannoso. Eseguendo il file exe od aprendo il contenuto dell'archivio compresso, il malware entrerà immediatamente in esecuzione inserendo il personal computer in una botnet (un insieme di macchine controllabili da remoto dai malintenzionati) ed iniziando a monitorare i tasti premuti dall'utente e le informazioni inserite nei moduli online, alla ricerca di dati personali da sottrarre (funzionalità di keylogging).
I siti web che ospitano il malware Zeus (presenti negli URL contenuti nelle e-mail di phishing) sono stati precedentemente compromessi: è facile verificarlo servendosi di urlQuery un utilissimo strumento che, ricevuto in ingresso il link di una qualunque pagina web, provvede a visitarla come farebbe un normale utente, alla ricerca di codice dannoso per il sistema in uso. Per analizzare con questo strumento un qualunque sito web è sufficiente, quindi, inserirne l'URL nella casella "Profile URL". Se si hanno dubbi sul comportamento di una specifica pagina web, è bene specificarne l'URL completo e non limitarsi ad introdurre solamente il dominio del sito.
Dopo aver cliccato su "Go", urlQuery inizierà ad analizzare l'indirizzo indicato riportando messaggi d'allerta nel caso in cui dovesse essere rilevata la presenza di codice dannoso. Appoggiandosi anche ad un paio di software IDS (Intrusion Detection Systems) quali Snort e Suricata, urlQuery può riconoscere codici potenzialmente sospetti ed elementi dannosi sfruttati per provocare il caricamento di altri codici nocivi (sezione Intrusion Detection Systems).
Nel caso di Zeus, ciò che è preoccupante è che i motori di scansione di diversi antivirus (basati sull'utilizzo delle firme virali) non sono tutt'oggi in grado di rilevare correttamente i nuovi campioni di questa minaccia.
Il mio suggerimento è quello di usare sempre la massima cautela nell'aprile email e allegati provenienti da mittenti sconosciuti e di evitare di seguire link sospetti, inseriti in messaggi di posta elettronica dubbi. Eventualmente, verificate prima i link riportati nei messaggi sospetti attraverso lo strumento web menzionato sopra.

Se hai trovato utile o interessante questo articolo clicca su "Mi piace" e condividilo sulla tua bacheca. Grazie!




Un nuovo ransomware all'orizzonte: dopo CriptoLocker arriva PowerLocker

Pubblicato da in News ·
Tags: ransomwareviruscriptolockerpowerlockerprotezionepc
Studio Nassisi Srl - Copyright 2020. All rights reserved.
Torna ai contenuti | Torna al menu