27 luglio 2021
Aggiornato 01:30
Sicurezza informatica

Botnet ZeuS sempre più attiva

Trend Micro ha bloccato 9 milioni di attacchi ZeuS nell’ultimo semestre

MILANO - Negli ultimi sei mesi Trend Micro ha bloccato circa 9 milioni di attacchi ZeuS e la battaglia prosegue. Il leader nella sicurezza dei contenuti Internet, ha infatti registrato un incremento delle attività legate a questo malware utilizzato per creare una delle più estese e longeve botnet (reti di computer zombie) con l’obiettivo principale di sottrarre credenziali bancarie e altri dati sensibili. Di recente ZeuS è arrivato ad una media di circa 300 campioni unici al giorno e, nel solo mese di gennaio 2010, Trend Micro ne ha registrato oltre 13.000. È ciò che emerge da un recente report che ha analizzato le attività delle organizzazioni criminali dell'Europa orientale responsabili di uno dei più prolifici kit utilizzati dai cyber-criminali per il furto di denaro su vasta scala. ZeuS, è infatti il «braccio armato» della criminalità organizzata russa e ucraina che è la principale responsabile della creazione della botnet, tuttavia la disponibilità sul «mercato underground» del tool kit per creare il malware e archiviare su un server i dati sottratti (ZeuS Builder e Zeus Server) ne permette l’utilizzo da parte di più gruppi o singoli malintenzionati.

Questo tool kit, estremamente semplice, è diventato lo standard «de facto» per il cyber-crime perché consente anche a chi ha conoscenze minime di attivare una botnet altamente professionale e completa di ogni funzione in meno di cinque minuti. ZeuS, inoltre, deve gran parte della sua pericolosità alla capacità di aggiungere ulteriori campi nelle maschere che appaiono durante le sessioni online legittime (di collegamento ad esempio al sito di banche), inducendo così le vittime a inserire informazioni che normalmente la banca non richiederebbe.

«Il malware ZeuS non rappresenta certo una novità, essendo in circolazione da anni. Il dato allarmante è costituito dal recente intensificarsi degli attacchi», ha affermato Raimund Genes, Chief Technology Officer di Trend Micro. «Si tratta di una delle più note minacce per la sicurezza degli utenti Internet con cui Trend Micro è impegnata a lottare».

La crisi economica dà linfa a ZeuS
Il successo di ZeuS è da addebitare in parte alla possibilità per i cyber-criminali di reclutare online i cosiddetti money mule, complici «somari» che, adescati attraverso finte offerte di lavoro a domicilio, riciclano il denaro sporco a loro insaputa. Alla luce della difficile situazione economica mondiale, con milioni e milioni di disoccupati, i cybercriminali sanno di poter avere facilmente successo nel reclutare nuovi complici.
A tali complici viene richiesto di fornire le informazioni relative ai loro conti correnti, sui quali i cybercriminali trasferiscono somme di denaro inferiori a 10.000 dollari (un elemento che indica la conoscenza dei limiti vigenti per i trasferimenti di denaro sul circuito bancario) sottratte dai conti delle loro vittime e i complici, a loro volta, provvedono a trasferire il denaro in Europa orientale attraverso servizi di money transfer.

Gli sviluppi più recenti di ZeuS
Nella gran parte dell'anno passato Trend Micro ha rilevato varianti di ZeuS che sono state distribuite anche attraverso la rete bot Avalanche, una botnet fast-flux per l'invio di massa di messaggi spam. Gli attacchi di spam simulavano mail provenienti da noti siti di social networking come Facebook e My Space. I cybercriminali responsabili di questi attacchi hanno tentato persino di replicare messaggi e-mail e siti Web di istituzioni federali statunitensi quali la Federal Deposit Insurance Corporation (FDIC), il Centers for Disease Control and Prevention (CDC), la Social Security Administration (SSA) e l'Internal Revenue Service (IRS).
Un'altra particolarità riscontrata recentemente nelle versioni correnti di ZeuS è la funzione «Jabber». Jabber è un protocollo di instant messaging open source utilizzato da Google Talk, ma anche da JabberZeuS, una variante di ZeuS che invia in tempo reale al botmaster ZeuS, tramite instant message, le credenziali sottratte durante una sessione di online banking, in modo tale da permettere l'immediato accesso all'account dell'ignara vittima utilizzandone le stesse credenziali per rubare denaro dal conto, appoggiandosi «sulle spalle» della vittima durante la stessa sessione di online banking.

Le «alleanze» con altri malware: ZeuS-BREDOLAB
Lo studio Trend Micro evidenzia come BREDOLAB e ZeuS, pur essendo tool distinti e a disposizione gratuitamente dei cybercriminali, si completano a vicenda e ciò spiega perché vengano rilevati spesso insieme. Mentre ZeuS è specializzato nel sottrarre informazioni dai sistemi infettati, BREDOLAB permette alle organizzazioni cybercriminali di distribuire ogni sorta di software alle loro vittime. Una volta che un computer è infettato da BREDOLAB riceverà regolari aggiornamenti del malware esattamente come avviene con gli aggiornamenti software distribuiti dai vendor di programmi per la sicurezza. Per massimizzare i loro profitti i cyber criminali insieme a Bredolab e ZeuS utilizzano anche il malware FAKEAV, che si presenta come software antivirus. Questi tre malware sono i personaggi del «film del malaffare» sceneggiato e diretto dai cyber-criminali: FAKEAV recita la parte di un truffatore che si spaccia per un poliziotto, ZeuS è una spia che consentirà al truffatore di usare le informazioni rubate e Bredolab è l’autista che li accompagna nelle case delle vittime e li porta via con la refurtiva.

Come possono proteggersi le aziende?
Progettata per sottrarre informazioni bancarie e altri dati sensibili, la rete bot ZeuS è in grado di disattivarsi per celare la propria presenza. Trend Micro fornisce le competenze e le tecnologie più avanzate per eliminare immediatamente questo tipo di attacchi. Trend Micro Smart Protection Network è l'infrastruttura posta alla base dei prodotti Trend Micro per fornire protezione immediata in tempo reale. Smart Protection Network esamina ogni giorno oltre 20 miliardi di messaggi e-mail, siti Web e file utilizzando le informazioni raccolte per identificare ed eliminare tempestivamente le minacce emergenti.