La scorsa settimana aveva destato interesse la notizia del maxi attacco portato da alcuni cracker a 2.500 aziende di ben 196 paesi diversi, un attacco su scala mondiale che aveva coinvolto decine di migliaia di computer.
Un evento che non poteva quindi passare inosservato agli occhi degli esperti, tanto che sono stati in molti a studiare nel dettaglio l’attacco, come il sito ZDNet che ha offerto una panoramica della botnet Kneber, mettendo in luce diversi aspetti di quanto accaduto alcuni giorni addietro.
Vi siete mai chiesti quanti soldi dei navigatori finiscono nelle tasche dei produttori di scareware?
Questa domanda trova in parte risposta nella nota rilasciata dall’Internet Crime Complaint Center (IC3): sembra che l’FBI abbia stimata questa cifra nell’ordine di oltre 150 milioni di dollari.
Si tratta di una stima puramente indicativa di una situazione reale che è ancora peggiore, e che ha visto vittime dei raggiri di “rogue antivirus” e “scam software” di vario genere, più di 40 milioni di persone in tutto il mondo.
A quanto pare il gruppo che sta dietro al famoso trojan Zbot o Zeus, ha pensato bene di evolvere la propria “creatura”.
Alcuni ricercatori di sicurezza hanno infatti individuato una nuova variante che sembra utilizzi la piattaforma Amazon EC2 per controllare e dirigere la botnet formata dai PC zombie infetti.
Il servizio di hosting Amazon RDS verrebbe usato invece per mantenere traccia di tutte le informazioni sottratte dai computer infetti, questo nel caso l’eventuale dominio originale venisse rimosso o oscurato.
Stando alle segnalazioni questo sembra sia il primo tentativo di utilizzare i servizi di cloud-computing di Amazon per scopi illeciti da parte della cosiddetta “Zeus gang”.
Koobface continua a mietere vittime ed evolve adeguandosi allo spirito del Natale. Sembra infatti che il virus, diffusissimo su Facebook, abbia iniziato una nuova strategia per infettare gli utenti, diffondendo un finto video a tema natalizio. Il veicolo dell’infezione sono come al solito delle pagine Facebook che contengono un link verso un sito appartenente agli host della botnet creata da Koobface.
Sui siti infetti, all’utente viene richiesta l’installazione di un finto aggiornamento di Adobe Flash per poter visualizzare un video natalizio pubblicato da “SantA”. Il veicolo dell’infezione è il file “setup.exe” che se eseguito installa Koobface sulla macchina vittima.
I ricercatori di Symantechanno pubblicato un interessante, ma al tempo stesso preoccupante, post riguardo l’uso di Google Groups come meccanismo per inviare comandi remoti a “PC zombie”.
Il trojan incriminato, nello specifico identificato come Trojan.Grups, infetta sistemi Windows installando una backdoor. Una volta attivato è in grado di collegarsi ad un newsgroup privato su Google Groups e ricevere i comandi da eseguire semplicemente leggendo i messaggi presenti.
Per contro l’esito delle operazioni effettuate dai client viene postato sempre sotto forma di messaggio, costituendo così un vero e proprio log delle attività della botnet.
Zulfikar Ramzan, direttore tecnico di Symantec Security Response, ha dichiarato ad eWeek descrive questa tecnica paragonandola a quella classica da “spy story” di nascondere i messaggi in codice in annunci di giornale.
Alcuni server Web equipaggiati con Linuxsono stati infettati e riprogrammati per diventare parte di una botnet progettata per diffondere malware agli ignari navigatori. Si tratta del primo caso conosciuto di botnet che si appoggia su dei server Linux.
L’infezione, scoperta dal ricercatore russo Denis Sinegubko, affianca al classico Apache, un processo secondario, basato sul server Web nginx che veicola del traffico sulla porta 8080, utilizzato per gestire la botnet in maniera centralizzata (il tutto si concentra su alcuni siti di DNS dinamico) e per connettere la botnet dei server ad una rete gemella che invece si appoggia su alcuni client (leggi: desktop e notebook).
Secondo quanto affermato da uno studio condotto da MessageLabs, una società controllata da Symantec, nel mese di giugno 2009 si è registrato in tutto il mondo un aumento dello spam inviato tramite botnet. In base a quanto è dimostrato dalla relazione mensile di MessageLabs, l’83,2% di tutte le email di spam del mese di giugno sono state inviate tramite computer zombie controllati da botnet.
L’aumento del fenomeno sarebbe dovuto alla rapida crescita delle botnet come Cutwail, un rete di computer infetti che ormai coinvolge 1,5 – 2 milioni di PC nel mondo, soprattutto negli Stati Uniti, in Brasile e in Corea. Cutwail può essere considerata la botnet più attiva in questo momento, con i suoi 74 milioni di messaggi al giorno.
Finjan ha comunicato di aver scoperto una vastissima rete botnet composta da 1,9 milioni di computer sparsi in tutto il mondo, che comprende anche diverse macchine facenti parte delle reti del governo del Regno Unito e degli Stati Uniti.
L’introduzione all’interno di questa rete di computer avviene in modo del tutto simile a ciò che avviene sempre in questi casi. Si scarica un malware attraverso la visita ad alcuni siti Web. Il malware poi costringe l’utente a visitare una pagina infetta che permetterà il download e l’installazione del malware vero e proprio, che sarà la porta d’accesso alla botnet.
Chi pensa che i Mac siano immuni da virus, trojan o altro starà forse iniziando a ricredersi: dopo la notizia del primo malware su Mac, ora Symantec annuncia la scoperta della prima botnet di Mac.
Una botnet è una rete di computer infetti e comandati da remoto da un unico “padrone” (botmaster) solitamente per compiere attacchi distribuiti del tipo Denial of Service (DDos).
Continua ad essere il worm più pericoloso in circolazione, ma pochi sanno il reale funzionamento di Conficker. Si sono susseguite diverse varianti del worm, tutte ugualmente pericolose e in grado di prendere il controllo di un sistema Windows non aggiornato con le ultime patch.
Nel video vengono spiegate le funzioni di questo malicious code che sta creando più di un problema agli utenti e agli amministratori di rete.
