Gli analisti G DATA hanno curiosato nella struttura di un certo ospite fisso tra i trojan che mirano al mondo bancario. Stiamo parlando di Bochum, il banking trojan ZeuS e la sua variante chiamata “Panda“, che hanno rappresentato negli ultimi sei anni un esempio di malware “prezzemolino” nell’universo delle minacce ai sistemi bancari. Secondo l’analisi G DATA, si tratterebbe di un trojan assolutamente fuori dal comune.

Ma quindi come possiamo sapere se i sistemi sono infetti? Partiamo con una notizia non molto positiva: una volta che una macchina non protetta è stata infettata, è quasi impossibile rilevare la presenza di ZeuS Panda guardando solo i contenuti sullo schermo. Quello che viene visualizzato sullo schermo è infatti frutto di una intelligente manipolazione che presenta all’utente un perfetto clone di un sito bancario o per i pagamenti online. Gli utenti vengono quindi indotti a eseguire una donazione a un ente caritatevole o ingannati con richieste di restituzione di un pagamento ricevuto erroneamente.

Oltre ad appropriarsi dei dati immessi sul sito web e modificare ciò che l’utente può vedere, ZeuS Panda manipola anche alcune impostazioni di sicurezza e allarmi all’interno del browser, che potrebbero rivelarne la presenza. Ma ora arriviamo alle buone notizie: esistono tecnologie in grado di rilevare un’infezione anche in assenza di una firma per questo malware, come G DATA BankGuard.

ZeuS Panda è dotato di meccanismi articolati per evitare che venga analizzato: ad esempio controlla se sono presenti indicatori tipici di macchine virtuali, come VMWare, OpenBox, Wine o qualsiasi tipologia di ambiente HyperV. Se viene rilevata la presenza di uno di questi programmi, il malware non viene eseguito. Altre applicazioni malevole utilizzano controlli davvero superficiali per verificare la presenza di VMWare e OpenBox, mentre nel caso di Panda, la verifica è approfondita e sono stati utilizzati diversi “packer” per creare il file dannoso, dando filo da torcere agli analisti.

Il compito di ZeuS Panda è continuare a raccogliere dati fino a quando non gli viene ordinato il contrario. Anche qualora il server di comando e controllo di riferimento sia tolto dalla rete, il malware continua ad accumulare i dati sul sistema fino a quando non può scaricarli su un altro server. Ciò che differenzia Panda in termini di meccanismi di evasione e qualità della produzione, è la sua versatilità. Sebbene si tratti di un Trojan bancario, è anche in grado di rubare altri tipi di dati da un sistema, inclusi i contenuti degli appunti e screenshot.

Ma quale funzione di ZeuS Panda è effettivamente attiva sul sistema? Questo dipende dalla configurazione del malware stesso, che si aggiorna automaticamente a intervalli regolari. L’applicazione può quindi trasformarsi da trojan bancario a spyware e controllo remoto di un PC in pochi minuti, a discrezione esclusiva dell’aggressore. In merito all’origine di ZeuS Panda le indicazioni sono molto chiare: il malware non si attiva se rileva che il sistema aggredito si trova in Russia, Ucraina, Bielorussia o Kazakistan.

LASCIA UN COMMENTO

Please enter your comment!
Please enter your name here

15 + undici =