Il successo e l’efficacia del cloud non passati inosservati ai cybercriminali.
In un recente post, gli esperti di G Data SecurityLabs segnalano l’emergere della nuova classe di malware Stealth Cloud che utilizzano le tecnologie del cloud per aggiornare gli obiettivi e le minacce in tempo reale, oltre che per nascondersi meglio.
Questi malware non colpiscono software o utenti che usano sistemi cloud, ma sfruttano le tecniche del cloud per nascondersi dai sistemi di difesa di tipo tradizionale, in particolare i sistemi antivirus sui client, per essere più terribilmente efficienti. Nei casi identificati da G Data, per sottrarre credenziali d’accesso agli utenti dei siti bancari e di pagamento.
Come funzionano
I troyan bancari di tipo tradizionale memorizzano sui computer attaccati dei file di configurazione contenenti l’indirizzo degli host compromessi e il codice chiamato Webinject per raggiungerli con i dati sottratti. Questo sistema, ben noto agli esperti di sicurezza rende possibile una volta trovato il codice, sapere quali siti sono stati usati per l’attacco e quindi avviare adeguate contromisure.
Il troian ZeuS, scoperto poche settimane fa dagli analisti di G Data, si camuffa sul sistema utilizzando un codice parziale che viene integrato dinamicamente con altro codice Javascript scaricato da un sito web che è controllato dai cybercriminali.
Lo scaricamento dal cloud consente al cybercriminale di non dover trasmettere nuovi file di configurazione a centinaia di computer infetti ogni volta che viene perso un sito compromesso. Il malware, insomma, può essere aggiornato in tempo reale e riadattato in funzione delle necessità. Permette inoltre di creare “bombe logiche” fissando tempi e luoghi dell’attivazione, per esempio per renderlo inattivo nei siti delle società di security, rendendo più difficili le contromisure.
Un altro troyan, di nome Ciavax, attivo dallo scorso mese di agosto, perfeziona il sistema usato da ZeuS mantenendo segreta, attraverso lo scaricamento dinamico, anche la lista degli host su cui si appoggia l’attacco.
Questo espediente non permette agli analisti di security di sapere quali sono i siti violati che vengono usati dal cybercriminale. Il sistema dà al criminale maggiore visibilità sui siti acceduti dalle sue vittime e quindi gli permette di decidere attacchi mirati con malware aggiuntivi.
