Gmail attaccato da un malware che ruba informazioni
È stata scoperta una tecnica finora sconosciuta che permette agli hacker di rubare informazioni personali attraverso le Bozze di Gmail.
del 05/11/14 - di Alessandro Elia
È stata scoperta una tecnica finora sconosciuta che permette agli hacker di rubare informazioni personali attraverso le Bozze di Gmail. Una tecnica usata per la prima volta contro un generale statunitense reo di avere una relazione extra-coniugale.
Un nuovo trucco nelle mani degli hacker
Ovviamente i pirati non inviano lettere d'amore, come i due amanti, ma puntano a riempire le nostre caselle email con malware destinato a rubare informazioni personali.
Già durante il mese di agosto, gli investigatori dell'azienda antivirus G Gata scoprirono un virus che funzionava nell'ombra dal 2012.
Win32.Trojan.IcoScript.A
Così si chiama questo malware, un RAT (Remote Access Tool) capace di sfruttare i sistemi webmail per comunicare con il server di controllo C&C.
All'inizio le prime verifiche mostrarono un certo interesse negli account di Yahoo! Mail però il malware si estese velocemente su altre piattaforme come Facebook, LinkedIn o Gmail. Adesso si è scoperto che un'evoluzione di questo RAT permette che Internet Explorer apra numerose finestre invisibili (per le vittime) fungendo come basi di operazione per la raccolta dei nostri dati personali.
Il ricercatore William Shape afferma che la nuova versione del malware, chiamato anche IcoScript, sta infettando computer da circa due anni e mezzo preferendo di gran lunga attaccare gli account di Gmail.
Attacchi specifici, non di massa
Anche se per ora i dati raccolti non sono definitivi, è evidente che per la forma di agire del malware, si tratti non di un attacco massivo verso tutti e tutto ma di un protocollo diretto a colpire persone specifiche, per esempio personaggi famosi o di cui è noto un qualche dettaglio, importantissimo per gli hacker.
L'esperto afferma che non esiste un metodo semplice per verificare se siamo vittime dell'attacco: l'unico sistema sarebbe chiudere il nostro account di Gmail che si sta rivelando troppo poco efficace contro i pirati informatici. E ovviamente Google smentisce tutto.
Windows Component Object Model (COM)
È noto inoltre che l'alleato del pericoloso Win32.Trojan.IcoScript.A è, suo malgrado, l'interfaccia per componenti software di Microsoft. Parliamo della gestione eventi COM di Internet Explorer che permette l'apparizione di finestre secondarie che agiscono all'insaputa dell'utente: aprono l'account di posta, lanciano programmi, aprono file, si connettono a web specifiche e via dicendo.
Internet Explorer potrebbe spiare i nostri dati
Di seguito potete vedere come il malware è capace di sfruttare la tecnologia COM di Microsoft per controllare Internet Explorer, manipolando il navigatore dell'utente senza che possa accorgersene:
- La comunicazione HTTP è realizzata dal processo utente iexplore.exe (non chiamato dallo stesso malware).
- Se la rete o PC di destinazione usa un proxy (con autentificazione) il malware riutilizzerà il token salvando la sessione utente. Gli sviluppatori di malware non dovranno nemmeno intervenire nella configurazione del proxy.
- L'analisi di ingegneria inversa è complicata: il malware non lascia tracce a livello di attività di rete e nemmeno nell'uso di sockets.
- L'utente non riesce a vedere la sessione nascosta del navigatore web che agisce in secondo piano.
Comunicazione Web
Responsabile account:
Alessandro Elia (Redattore)
Contatti e maggiori informazioni
Vedi altre pubblicazioni di questo utente
Responsabile account:
Alessandro Elia (Redattore)
Contatti e maggiori informazioniVedi altre pubblicazioni di questo utente