malware_red
adv

Un malware capace di fungere da condotto per altri malware, una porta verso il computer. Queste le ultime novità.

 

Come noto, i malware sono software malevoli che possono essere installati per errore, inducendo l’utente ad eseguire una serie di azioni, oppure sfruttando debolezze del sistema operativo o dei programmi che su esso girano.

Le operazioni condotte da un malware sono varie e spesso lo classificano, dal criptare i dati presenti sul computer della vittima e pretendere un riscatto per renderli nuovamente accessibili, al furto di dati, al danneggiamento, all’utilizzo del pc altrui da usare come ponte per commettere illeciti o al fine di usarne la potenza di calcolo per generare bitcoin. A seconda dello scopo si può trovare un malware adatto.

Peculiarità di SystemBC

SystemBC è particolare perché il suo scopo non è danneggiare ma fungere da proxy on-demand, creare all’occorrenza un tunnel per mascherare il traffico illecito di altri malware cui esso si abbina.

La cattiva notizia è, quindi, che SystemBC non è mai da solo, la sua presenza indica che il sistema è vittima di uno o più virus difficilmente individuabili.

La capacità di fungere da proxy SOCK5, di collegare, quindi, direttamente computer presenti su subnet (leggasi segmenti di rete) differenti, e bypassare in tal modo i firewall, fa sì che, tramite interfaccia di backend di SystemBC, operatori remoti possano aggiornare, comandare ed installare malware, senza rivelare il loro reale indirizzo di rete.

Diffusione e contagio

I ricercatori di Proofpoint, azienda californiana specializzata in sicurezza informatica, datano il primo avvistamento di SystemBC nel mese di Maggio. Già in Aprile, tuttavia, hanno trovato su forum di hacking indicazioni e screenshot di un ad da integrare alle proprie applicazioni, simile al malware in questione.

Dai primi attacchi isolati, SystemBC ha avuto un boom di diffusione grazie ad exploit kit come RIG e Fallout. Gli exploit kit sono sistemi basati sul web che sfruttano le debolezze dei browser per installare malware sui computer oppure che ridirigono l’utente su pagine che lo inducano a scaricare ed eseguire il malware tramite tecniche di social engineering.

SystemBC potrebbe, dunque, essere “contratto” in tal modo e poi fungere da portale per una pletora di altri virus.

Dal momento che è stato usato in “campagne” di contagio differenti, i ricercatori credono che sia stato venduto in qualche mercato “sommerso”.

La scoperta

I ricercatori di Proofpoint hanno scoperto il malware analizzando un attacco di Fallout, l’exploit kit. Essi hanno notato che assieme a DanaBot, un trojan che si connette a C&C (server remoti di comando e controllo tramite i quali i malintenzionati possono comandare il pc), veniva scaricato anche il nuovo malware proxy.

Le informazioni importanti come i server C&C, DNS e porte erano criptati con uno XOR a 40byte mantenuto in memoria ma decifrabile grazie ad uno script python presente su GitHub. Da qui l’analisi.

Cosa fare

La capacità di mascherare il traffico di rete illecito contribuisce a rendere SystemBC sempre più popolare ed a costituire una nuova sfida per i sistemi antivirus. Se anche si riuscisse ad individuare SystemBC, tuttavia, i problemi non sarebbero risolti perché si dovrebbero eliminare i malware cui esso si accompagna.

I ricercatori consigliano di evitare l’utilizzo di sistemi obsoleti e vulnerabili come vecchie versioni di Windows, Adobe Flash, etc. Aggiornare costantemente sistemi operativi e browser.