L'alternativa Zeus Trojan creata da zero colpisce il mercato sotterraneo

Un nuovo programma Trojan che può spiare le vittime, rubare le credenziali di accesso e interferire con le sessioni di navigazione viene venduto sul mercato sotterraneo e potrebbe presto vedere una distribuzione più ampia.

La nuova minaccia si chiama Pandemiya e le sue caratteristiche sono simili a quelle del famigerato programma Zeus Trojan che molte bande criminali informatiche hanno usato per anni per rubare informazioni finanziarie da aziende e consumatori.

Il codice sorgente di Zeus è stato diffuso nei forum sotterranei nel 2011, consentendo ad altri sviluppatori di malware di creare programmi Trojan basati su di esso, tra cui minacce come Citadel, Ice IX e Gameover Zeus, la cui attività è stata recentemente interrotta da uno sforzo internazionale delle forze dell'ordine.

"La qualità del codice di Pandemiya è piuttosto interessante e, contrariamente alle recenti tendenze nello sviluppo di malware, non si basa affatto sul codice sorgente Zeus, a differenza di Citadel / Ice IX, ecc.", Hanno detto martedì i ricercatori di RSA, la divisione di sicurezza di EMC in un post sul blog. "Attraverso la nostra ricerca, abbiamo scoperto che l'autore di Pandemiya ha trascorso quasi un anno a programmare l'applicazione e che consiste in oltre 25.000 righe di codice originale in C."

Il nuovo programma Trojan può iniettare codice canaglia in siti Web aperti in un browser locale, una tecnica nota come iniezione Web; raccogliere informazioni inserite in moduli Web; rubare file; e fare screenshot. Poiché ha un'architettura modulare, la sua funzionalità può essere estesa anche attraverso singoli file DLL (libreria a collegamento dinamico) che fungono da plug-in.

Alcuni dei plug-in esistenti di Pandemiya consentono ai criminali informatici di aprire proxy inversi su computer infetti, rubare credenziali FTP e infettare file eseguibili. I suoi creatori stanno anche lavorando ad altri per abilitare le connessioni inverse di Remote Desktop Protocol e per consentire al malware di diffondersi attraverso account Facebook dirottati, hanno detto i ricercatori di RSA.

"Come molti degli altri trojan che abbiamo visto di recente, Pandemiya include misure di protezione per crittografare la comunicazione con il pannello di controllo e impedire il rilevamento da parte di analizzatori di rete automatizzati", hanno detto i ricercatori.

La nuova minaccia viene pubblicizzata sui forum sotterranei per $ 1.500 per l'applicazione principale e $ 2.000 con plug-in aggiuntivi, un prezzo d'ingresso relativamente alto per i criminali informatici. Questo aspetto e il fatto che sia nuovo hanno impedito a Pandemiya di guadagnare popolarità finora, ma poiché possono essere facilmente espansi con i plug-in DLL "potrebbero renderlo più pervasivo nel prossimo futuro", hanno detto i ricercatori di RSA.

Unisciti alle community di Network World su Facebook e LinkedIn per commentare argomenti che sono importanti.