Utenti Home       Utenti Aziendali       Chi Siamo       Contratto EULA.

Dettaglio news

Il copia incolla? Può costarti molti soldi!! L'analisi di un trojan
- LUNEDÌ 23 LUGLIO 2018


Quanto spesso memorizzi i tuoi dati importanti nei file? E' pratica molto diffusa, vero? Questi dati possono essere URL oppure dati personali come contatti, identificativi email, nomi utente su differenti portali e, talvolta, perfino password (nonostante ciò sia sconsigliatissimo!!). Copiamo questi dati in alcuni file senza pensarci e li ripeschiamo e incolliamo nelle rispettive applicazioni: un sistema indubbiamente comodo, sopratutto quando si tratta di dover mettere mano a indirizzi o password molto lunghi e difficili da ricordarsi. Solo che questo sistema di copia-incolla non è sicuro: in passato, ad esempio, abbiamo studiato software spia che rubavano i dati copiati negli appunti. Dopo aver premuto Ctrl+C, i dati vengono infatti archiviati negli appunti ed è qui che questi software spia raccolgono i dati e li inviano all'attaccante. 

Cosa succede però se questi dati vengono alterati, modificati durante l'uso?
Ci possono essere perdite di dati di gravità variabile ovviamente: pensate alla sottrazione di dati sensibili come quelli bancari o degli indirizzi dei Wallet di cripto valute. Le cripto valute sopratutto sono al centro degli interessi degli autori di malware nell'ultimo anno, dato che portano a guadagni facili e veloci. Ogni account di cripto valuta (wallet o portafoglio appunto) è collegato ad un indirizzo unico: il problema è che questi indirizzi sono difficili da ricordare, in quanto sono combinazioni di lettere e numeri piuttosto lunghe. Ecco perchè è assai comune copincollare questi indirizzi su file di testo per poterli usare quando necessario. Gli autori di malware puntano proprio a questi dati copincollati per trarne profitto. 

Abbiamo analizzato, ad esempio, un nuovo malware pensato per rubare fondi dai Wallet: si chiama "Trojan.CBHAgent" e verifica gli appunti di Windows in cerca di indirizzi Wallet da attaccare. Una volta rilevato un qualsiasi indirizzo Bitcoin, il malware lo sostituisce con un altro prelevato da una lista contenuta nel malware stesso: data la lunghezza e complessità degli indirizzi Wallet, difficilmente l'utente noterà la sostituzione. 

Gli appunti di Windows
Prima di esaminare il funzionamento del trojan, è necessaria sapere come funziona il meccanismo degli appunti in Windows. Gli appunti sono un'area di memoria condivisa sulla quale e dalla quale è possibile copiare dati: tutte le applicazioni hanno accesso a questo "blocco note", così i dati possono essere facilmente trasferiti da un'applicazione all'altra. Gli appunti vengono usati da Windows ogni volta che vengono tagliati, copiati, incollati dati. Il blocco note è supportato da un set di funzioni che abilita che consentono alle applicazioni di trasferire o scambiare i dati. Windows fornisce API per la gestione degli appunti. 

GetClipboardData viene usato per recuperare i dati 8copiati) negli appunti correnti, mentre SetClipboardData è usato per il salvataggio dei dati negli appunti (generalmente quando si preme Ctrl+C).

Analisi del Trojan
Il Trojan "Trojan.CBHAgent" usa queste API di Windows per manipolare i dati nel blocco degli appunti. Il trojan altro non è che una libreria DLL sul sistema della vittima, che usa rundll32.exe  per l'esecuzione, con la linea di comando sottostante: 

$> C:\WINDOWS\system32\rundll32.exe
“C:\Documents and Settings\Administrator\Desktop\Sample\CBHAgent.dll”,includes_func_runnded

Notiamo che "includes_func_runnded" è una funzione di esportazione che esegue il monitoraggio del blocco appunti. Il malware esegue anche una scansione in cerca di eventuali Sandbox o Virtual Machine: in caso ne individuasse si auto terminerà per evitare di essere analizzato. Il file dannoso contiene anche un elenco di indirizzi bitcoin, contenuti in un file di testo: vi si trovano oltre 2,3 milioni di indirizzi. Ne risulta un file da oltre 80 MB


Una volta eseguito, il malware avvia immediatamente il monitoraggio continuo del blocco appunti e verifica la presenza di indirizzi bitcoin: se ne individua uno, lo sostituisce immediatamente con un altro proveniente dalla lista di indirizzi che il trojan porta con sé. Tutto ciò avviene in background, quindi l'utente difficilmente potrà accorgersi dell'infezione del sistema. Inoltre "Trojan.CBHAgent" si garantisce la persistenza nel sistema creando una copia nella cartella %TEMP% e aggiungendo la propria voce di esecuzione nel registro. 

Quick Heal individua questo trojan come ‘Trojan.CBHAgent.S3076164’.


Leggi tutte le news     |     Leggi tutti gli update
Ultime news

MARTEDÌ 23 LUGLIO 2019
Hacking della Webcam: come impedire la violazione della tua privacy?
Immagina, un giorno, di aprire la posta in arriva e trovare una email che contiene tue immagini private o intime. Sotto le immagini, lampeggia una richiesta di riscatto "...

leggi tutte le news

Premi e Certificazioni

La qualità dei prodotti Quick Heal vanta innumerevoli premi e certificazioni a testimonianza della sempre crescente importanza del marchi a livello mondiale nel settore Antivirus e sicurezza informatica

Continua a leggere »

Chi siamo
Panoramica
La nostra storia
Premi & Certificazioni
Scheda riepilogativa
Clienti
Dicono di noi
Trova un rivenditore
Manuali e schede tecniche
Chiedi aiuto
Contatti
Update
Rivenditori
Diventa rivenditore
Strumenti di supporto
Link rapidi
Rinnova ora
File di installazione
Supporto
Contratto EULA.
Download Upgrade

S-MART è un marchio di proprietà netWork Sas
P.IVA: 05345670482

© 2019 nwk - Privacy Policy - Cookie Policy - Login