00 07/07/2006 18:39
SECURITY

Rebery, il trojan-phisher

Un malware che ruba i dati dell'utente,
cattura screenshot dal suo Pc e raccoglie
le sue password,inviandole a un sito FTP.

News - 19-05-2006



Individuato una nuova tipologia di trojan horse, il Trojan-Phisher Rebery. Scoperto in data 25 aprile, il file è stato distribuito via malicious exploit attraverso il sito teens7.com. Questo trojan contiene funzionalità che permettono il furto di dati inseriti in moduli online da utenti sprovveduti oltre a essere in grado di catturare screenshot che consentono all'autore di raccogliere password di siti dotati di tecnologia anti-phishing.

Il sito FTP

Una volte raccolte, queste informazioni vengono trasmesse a un server FTP ospitato da nLayer Communications e situato a New York. Il trojan scrive un file di log al server che contiene le informazioni catturate e ogni volta che l'utente inserisce informazioni online, il trojan va ad aggiungere i nuovi dati.

Dopo aver installato il file maligno, le informazioni di login FTP sono state inserite nel registro e ne hanno consentito l'individuazione. Il server FTP contiene le più recenti versioni di software maligni, tool di gestione, una liberatoria (che significa che il software è stato venduto a fini di lucro) e log file di informazioni catturate.

Il risultato

La quantità di informazioni trovate è assolutamente incredibile: nominativi, numeri di telefono, indirizzi, numero di carte di credito e di sicurezza sociale, numeri di conto, per non parlare di migliaia di password/login di decine di migliaia di siti web. E' difficile dare numeri esatti perché il trojan è ancora operativo e i dati continuano ad aumentare.

L'azienda specializzata in sicurezza Webroot, che ha segnalato la nuova minaccia, afferma di essere entrata nel server giovedì scorso per la prima volta e di aver trovato un numero di computer infetti di 4.500 (oggi sarebbero oltre 8.500), mentre il numero di infezioni "country-specific" sarebbero passate da 109 a 125. Il numero di log file sarebbe salito a più di 12.000. Webroot afferma altresì di avere subito informato l'FBI, fornendo loro ulteriori dettagli e supportandoli nella rimozione e nell'individuazione del suo creatore.

Scheda del Trojan-phisher Rebery

- Categoria: trojan horse
- Descrizione: si tratta di un trojan che opera in background e raccoglie informazioni sul PC e sul DNS. Una volta ottenute, le invia a una destinazione definita dall'autore.
- Caratteristiche: Il trojan-phisher Rebery può tentare di rubare user name e password oltre ad altri dati personali e confidenziali.
- Metodo di installazione: può essere distribuito utilizzando diversi metodi: può essere travestito da software innocuo e distribuito per posta elettronica. Aprire l'allegato fa partire un processo di auto-installazione che carica il trojan sul computer dell'utente senza che quest'ultimo lo sappia o abbia dato il proprio consenso. In alternativa, il trojan potrebbe venire installato sul PC tramite un sito Web maligno utilizzando le vulnerabilità del browser. Le infezioni che avvengono in questo modo sono generalmente silenziose e avvengono senza che ce ne si accorga.
- Conseguenze: il trojan controlla le informazioni e raccoglie user name e password dei siti visitati, catturando login di account email così come di istituzioni finanziarie.