G Data: il ritorno del malware ZeuS

Nuove ondata di mail di spam pronte per diffondere il pericoloso Trojan bancario. Questa volta con una duplice trappola.
ZeuS è stato sicuramente uno dei Trojan bancari più pericolosi degli ultimi anni. Lungi dall’essere stato completamente eliminato, il pericoloso malware si ripresenta ora grazie a una nuova ondata di mail di spam che rimanda a falsi siti di banche più o meno note in ogni nazione. Il trucco è sempre lo stesso: trarre in inganno l’utente e indurlo a cliccare su un link con tutte le conseguenze negative del caso.
Le mail in questione fanno di norma riferimento a false transazioni non andate a buon fine con la conseguenza richiesta all’ignaro destinatario di cliccare su un link per rivedere gli estremi dell’operazione bancaria.
Cliccando su questo link si accede a un falso sito web dove viene richiesto all’utente di scaricare un update per Adobe Flash Player necessario per visualizzare il file pdf della transazione.

Ovviamente si tratta di un falso aggiornamento che, come dimostrato dalle analisi condotte dai G Data Security Labs, contiene il malware Zeus identificato come Gen: Variant. Kazy.44360.
L’attacco, però, non si limita a questa trappola. Anche se l’utente si rende conto che l’update richiesto è un falso, lo stesso sito Internet di per sé rappresenta un pericolo. Gli autori del sito, infatti, hanno incluso un file php che nasconde un javascript non visibile in grado di lanciare un applet che funziona come un drive-by-downloader capace di penetrare nel computer nell’utente sfruttando una vulnerabilità descritta in CVE-2010-0840.
Se l’attacco funziona, l’applet scarica ulteriori dati nel Pc dell’utente che ora diventa, di fatto, la vittima designata. Il file scaricato, un .dll in questo caso, è il malware che infetta il computer con ZeuS.

Siamo dunque in presenza di un sito Internet ibrido che, da un lato, cerca di infettare i visitatori con tecniche di social engineering offrendo un aggiornamento software come necessario e che, dall’altro, cerca di sfruttare un’infezione di tipo drive-by.

Come sempre in questo caso i consigli da seguire sono chiari:

- Se ricevete una mail da banche di cui non siete clienti o con le quali non avete mai avuto rapporti cancellate immediatamente la mail e non cliccate mai su eventuali link o allegati
- Non fornite mai dati personali o bancari via mail né inseriti su siti Internet che vi sono stati indicati via mail
- Se dovete inserire indirizzi Internet nel browser inseriteli sempre manualmente e, se utilizzate l’online banking, accedetevi attraverso la cartella Preferiti del browser.