• Allarme da Symantec: Google Groups per comandare le botnet

    botnet1.jpg

    I ricercatori di Symantec hanno pubblicato un interessante, ma al tempo stesso preoccupante, post riguardo l’uso di Google Groups come meccanismo per inviare comandi remoti a “PC zombie”.

    Il trojan incriminato, nello specifico identificato come Trojan.Grups, infetta sistemi Windows installando una backdoor. Una volta attivato è in grado di collegarsi ad un newsgroup privato su Google Groups e ricevere i comandi da eseguire semplicemente leggendo i messaggi presenti.

    Per contro l’esito delle operazioni effettuate dai client viene postato sempre sotto forma di messaggio, costituendo così un vero e proprio log delle attività della botnet.

    Zulfikar Ramzan, direttore tecnico di Symantec Security Response, ha dichiarato ad eWeek descrive questa tecnica paragonandola a quella classica da “spy story” di nascondere i messaggi in codice in annunci di giornale.

    Sempre a detta dello stesso Ramzan il metodo adottato dai cracker è sicuramente molto veloce e piuttosto semplice da attuare, visto che basta un semplice post su un newsgroup per comandare un’intera botnet.

    Da sottolineare l’uso della cifratura, in particolare del protocollo RC4, per proteggere i messaggi scambiati.

    Come accennato prima l’uso di messaggi in un newsgroup consente di tracciare nel dettaglio le attività del trojan.

    Grazie a questo Gavin O. Gorman, ricercatore Symantec, ha ipotizzato che quello scoperto sia con molta probabilità un prototipo atto a testare l’efficacia dei newsgroup come sostituti di un vero e proprio ““Command and Control Server”“.

    Lo fanno pensare il fatto di avere contato appena 3000 messaggi da novembre 2008 e l’analisi del codice del malware.

    Si tratterebbe di un trojan di origine taiwanese, data la lingua del newsgroup (cinese semplificato) e il riferimento nei comandi a domini.tw.

    Il codice decompilato rivela inoltre un atteggiamento “non invasivo” del virus nei confronti del sistema infettato: questo a sottolineare la volontà di mantenere un profilo basso e rimanere il più nascosto possibile.

    È plausibile che malware di questo tipo possa essere utilizzato a scopo di spionaggio industriale.

    Un caso analogo a questo ha interessato il noto sito di social networking Twitter che ad agosto ha dovuto affrontare un’emergenza simile: messaggi di status usati come comandi per i PC infettati.

    Tags:

    Se vuoi aggiornamenti su Allarme da Symantec: Google Groups per comandare le botnet inserisci la tua e-mail nel box qui sotto:


    Ho letto e acconsento l'informativa sulla privacy

    Si No

    Acconsento al trattamento dei dati personali di cui al punto 3 dell'informativa sulla privacy

    Si No

    Commenta

    Your email address will not be published. Required fields are marked *