Variante di malware e botnet Zeus individuata 'crawling' Salesforce.com

Lo Zeus Trojan, malware noto da tempo per rubare le credenziali bancarie per sottrarre fondi alle vittime, è stato individuato e messo a un altro uso subdolo: lo scorrimento dei dati aziendali da Salesforce.com.

Il malware Zeus è stato rilevato come bersaglio di un computer basato su Windows per accedere a Saleforce.com quando la vittima ha effettuato l'accesso, quindi ha rapidamente raccolto una grande quantità di dati aziendali di Salesforce attraverso una sorta di azione di scansione del Web, secondo Adallom, il cui il servizio di monitoraggio della sicurezza basato su cloud ha individuato l'attacco in corso a uno dei suoi clienti.

"Ha catturato 2 gigabyte di dati in meno di 10 minuti", spiega il vicepresidente del marketing Tal Klein, rilevando che è la prima volta che l'azienda vede una variante di Zeus utilizzata per questo tipo di utilizzo.

A quanto pare un cyber-criminale aveva preso il codice Zeus prontamente disponibile e vi aveva attaccato un cingolato, secondo Adallom, che sta condividendo i suoi risultati con Salesforce. In teoria, Zeus potrebbe essere adattato per eseguire la scansione su altri tipi di applicazioni software-as-a-service.

+ Anche su Network World: gli hacker usano un trucco per distribuire malware bancario Zeus +

Zeus è il principale Trojan bancario, secondo Dell SecureWorks, che ha fatto importanti scoperte sulle botnet gestite da criminali basate sul malware che risale al 2007. Arbor Networks ha recentemente presentato un'analisi di una versione di botnet, Gameover Zeus, il cui toolkit risale a 2011. Zeus è spesso descritto come un sofisticato malware trojan bancario in grado di eseguire una serie di attacchi orientati finanziariamente, come acquisire credenziali online e sottrarre fondi nei sistemi di pagamento per arricchire gli aggressori che eseguono complesse operazioni botnet che spesso coinvolgono anche "muli di denaro".

Secondo il recente rapporto Dell SecureWorks, "Le migliori botnet bancarie del 2013", le varianti Trojan bancarie di Zeus rappresentavano circa la metà di tutto il malware bancario visto nel 2013. SecureWorks sottolinea che Zeus ora viene utilizzato non solo per attaccare gli istituti finanziari, ma anche per le scorte servizi commerciali, di social network e di posta elettronica, ad esempio portali per intrattenimento o incontri.

Gli aggressori ora sembrano anche utilizzare Zeus contro Salesforce.com e forse altre applicazioni SaaS in un tipo di attacco che Adallom chiama "land mining" e "rolladexing" per afferrare un sacco di dati aziendali e informazioni sui clienti.

Adallom, il cui servizio non si basa sul software agente ma esamina il traffico cloud, ha rilevato l'attività correlata a Zeus a causa della quantità insolita di traffico scaricato da Salesforce sul computer della vittima.

È stato un attacco altamente mirato al PC di casa di un individuo, e un campione della variante Zeus è stato sequestrato, secondo Adallom, secondo cui è in corso un'indagine al riguardo. La società di sicurezza non può offrire risposte su dove si trovano gli aggressori o cosa intendono fare con i dati di Salesforce che stanno acquisendo.

Ellen Messmer è senior editor di Network World, un sito Web IDG, in cui tratta le novità e le tendenze tecnologiche legate alla sicurezza delle informazioni. Twitter: MessmerE. E-mail: [email protected]

Unisciti alle community di Network World su Facebook e LinkedIn per commentare argomenti che sono importanti.