Home > Informatica > G DATA mette a nudo ZeuS Panda

G DATA mette a nudo ZeuS Panda

scritto da: SABMCS | segnala un abuso

G DATA mette a nudo ZeuS Panda


 Gli analisti G DATA hanno curiosato nella struttura di questo ospite fisso tra i trojan che mirano al mondo bancario. Ora disponibile l’analisi completa di un malware particolarmente articolato.

 
Bochum - Il banking trojan ZeuS e la sua variante chiamata "Panda" hanno rappresentato negli ultimi sei anni un esempio di malware “prezzemolino” nell’universo delle minacce ai sistemi bancari. L’analisi G DATA rivela un trojan assolutamente fuori dal comune.
 
Come sapere se i sistemi sono infetti
 
Partiamo con una cattiva notizia: una volta che una macchina non protetta è stata infettata, è quasi impossibile rilevare la presenza di ZeuS Panda guardando solo i contenuti sullo schermo. Quanto visualizzato sullo schermo è infatti frutto di una intelligente manipolazione che presenta all’utente un perfetto clone di un particolare sito bancario o di sito per i pagamenti online. Gli utenti vengono indotti ad eseguire una donazione a un ente caritatevole o ingannati con richieste di restituzione di un pagamento ricevuto erroneamente, altri aggressori addirittura alzano la posta adducendo indagini sul riciclaggio di denaro condotte dalla "polizia finanziaria tedesca" (non esiste una simile istituzione in Germania, almeno non sotto questo nome). Oltre ad appropriarsi dei dati immessi sul sito web e modificare ciò che l'utente può vedere, ZeuS Panda manipola anche alcune impostazioni di sicurezza e allarmi all'interno del browser, che altrimenti potrebbero rivelarne la presenza.
 
Ed ora la buona notizia: esistono tecnologie in grado di rilevare un'infezione anche in assenza di una firma per questo malware, come ad esempio G DATA BankGuard.
 
Perchè Panda è speciale
 
Sono numerosissime le applicazioni dannose che cercano di eludere la rilevazione e di precludere l’analisi. ZeuS Panda è dotato di meccanismi articolati per evitare che venga analizzato: ad esempio controlla se sono presenti indicatori tipici di macchine virtuali - tra cui VMWare, OpenBox, Wine o qualsiasi tipologia di ambiente HyperV. Molti analisti testano campioni di malware in ambienti virtuali, il malware tenta quindi di compromettere l'analisi. Inoltre, Panda verifica la presenza di molti strumenti utilizzati dagli analisti tra cui ProcMon, Regshot, Sandboxie, Wireshark, IDA e il debugger SoftICE. Se viene rilevata la presenza di uno di questi programmi, il malware non viene eseguito. Altre applicazioni malevole utilizzano controlli davvero superficiali per verificare la presenza di VMWare e OpenBox, funzioni spesso copiate e incollate da codice di terzi. Nel caso di Panda, non solo la verifica è approfondita ma sono stati utilizzati diversi “packer” per creare il file dannoso, cosa che obbliga gli analisti a spacchettizzare il file manualmente. Insomma i creatori di ZeuS Panda hanno creato un malware che dà parecchio filo da torcere agli analisti.
 
Online circolano anche altri tipi di malware che utilizzano tecniche simili, ma in molti casi l'implementazione è scadente o il trojan stesso contiene errori, limitandone l’efficacia. Tra i numerosi esempi figurano anche casi in cui, dopo aver condotto le attività di deoffuscamento del codice, è risultato che l'URL che doveva essere contattato dal malware conteneva un errore di battitura, azzoppando l’intero costrutto.
 
Non è questo il caso di ZeuS Panda il cui compito è di continuare a raccogliere dati fino a quando non gli viene ordinato il contrario. Anche qualora il server di comando e controllo di riferimento sia tolto dalla rete, il malware continua ad accumulare i dati sul sistema fino a quando non può scaricarli su un altro server.
 
Un "coltellino svizzero" fabbricato nell'Europa orientale
 
Ciò che differenzia Panda in termini di meccanismi di evasione e qualità della produzione, è la sua versatilità. Sebbene ZeuS Panda sia innanzitutto un Trojan bancario, è anche in grado di rubare altri tipi di dati da un sistema, inclusi i contenuti degli appunti (ossia quello che viene copiato in un file per incollarlo altrove  - le applicazioni che gestiscono le password utilizzano spesso la clipboard per trasferire le credenziali dal gestore delle password ad un’altra applicazione o sito web) e eventuali screenshot. Inoltre può implementare una backdoor completa sul sistema infetto tramite VNC. Una situazione equiparabile all’avere qualcuno che siede alle nostre spalle e ci spia quotidianamente 24 ore su 24.
 
Quale funzione di ZeuS Panda è effettivamente attiva sul sistema dipende dalla configurazione del malware stesso, che si aggiorna automaticamente a intervalli regolari. L’applicazione può quindi trasformarsi da trojan bancario a spyware e controllo remoto di un PC in pochi minuti, a discrezione esclusiva dell'aggressore.
 
In merito all’origine di ZeuS Panda le indicazioni sono molto chiare: il malware non si attiva se rileva che il sistema aggredito si trova in Russia, Ucraina, Bielorussia o Kazakistan.
 
Analisi dettagliata
 
Il rapporto contenente l’analisi tecnica dettagliata di ZeuS Panda è scaricabile dal sito G DATA Advanced Analytics ed è integrato in due articoli postati dal team sul sito (Parte 1 e Parte 2 ).
 
Chi è G DATA
La sicurezza IT è nata in Germania: G DATA Software AG viene considerata a pieno titolo l'inventore dei software antivirus. L'azienda, fondata nel 1985 a Bochum sviluppò oltre 30 anni fa il primo programma contro la diffusione dei virus informatici. Oggi, G DATA è uno dei principali fornitori al mondo di soluzioni per la sicurezza IT.
 
Numerosi test mirati condotti sia in Germania sia da organizzazioni rinomate a livello internazionale oltre che test comparativi condotti da riviste specialistiche indipendenti hanno dimostrato che la IT security "Made in Germany" offre agli utenti di Internet la miglior protezione possibile.  Nel marzo 2017 la soluzione ha ottenuto per il decimo anno consecutivo un’eccellente valutazione per la rilevazione dei virus da Stiftung Warentest.
 
Inoltre, per il secondo anno consecutivo, G DATA è partner tecnico di Ducati Corse per la MotoGP ed ha il compito di proteggere i sistemi IT di pista del team Ducati.
 
Il portafoglio prodotti G DATA comprende soluzioni di sicurezza sia per privati, sia per le aziende, dalle PMI alle grandi imprese. Le soluzioni di sicurezza di G DATA sono disponibili in oltre 90 Paesi di tutto il mondo.
 
Ulteriori informazioni su G DATA e sulle soluzioni di sicurezza sono consultabili sul sito www.gdata.it
 
CONTATTI PER LA STAMPA
 
SAB Communications snc - Ufficio stampa G DATA
Via della Posta 16
CH - 6934 Bioggio
Tel: +41 91 2342397
email: press@sab-mcs.com

Fonte notizia: https://sabmcs.wordpress.com/2017/08/10/g-data-mette-a-nudo-zeus-panda/


G DATA | G Data Advanced Analytics | ZeuS Panda | controllo remoto | debugger | G DATA BankGuard | HyperV | IDA | malware | minacce | OpenBox | ProcMon | Regshot | SAB Communications | Sandboxie | sistemi bancari | SoftICE | spyware | trojan | VMware | VNC | Wine | Wiresh |



Commenta l'articolo

 

Potrebbe anche interessarti

Robinson Jr.


La vita in piazza di Maria Concetta Distefano


Movimento Network Marketing


La montagna in salute


Delirium di Postremo Vate


 

Se ritieni meritevole il nostro lavoro fai una donazione


Recenti

Stesso autore

VoIP: In Europa un utente su due vincola la sicurezza dei telefoni IP alla notorietà del marchio

VoIP: In Europa un utente su due vincola la sicurezza dei telefoni IP alla notorietà del marchio
Mentre per metà degli utenti VoIP europei il brand è determinante ai fini della sicurezza e dell’interoperabilità dei terminali con le più moderne soluzioni VoIP, l’altra metà è convinta che qualsiasi terminale IP sia sicuro e si interessa poco delle funzionalità avanzate, «basta poter telefonare». Due atteggiamenti del tutto dicotomici, oltre che errati, emersi dal recente studio di Snom Technology. Dei 3156 utenti aziendali intervistati in occasione del sondaggio condotto da Snom Technology con l’ausilio dell’istituto di ricerche di mercato indipendente Norstat in Francia, Germania, Gran Bretagna, Italia e Spagna tra la fine di febbraio e l’inizio di marzo 2020, solo il 14% non dispone di un telefono da scrivania. Una media che in Italia è ancora inferiore: ben il 94% degli utenti continua a (continua)

Platino e oro per i distributori Snom

Platino e oro per i distributori Snom
Snom, noto produttore di telefoni IP premium per aziende, professionisti e per ambienti industriali, ha annunciato i distributori premiati per gli eccellenti risultati conseguiti nel corso dell’anno fiscale 19/20, conclusosi a fine marzo. Determinante ai fini dell’assegnazione degli ambiti riconoscimenti non solo il quantitativo di terminali venduti ma anche l’assistenza qualificata erogata ai rivenditori. Tra i premiati figurano due distributori italiani.Per la prima volta dopo sette anni Snom Technology GmbH torna a premiare i partner commerciali più meritevoli su scala globale. Si tratta di aziende annoverate a buon ragione tra (continua)

Intervento contro la solitudine: 100 nuovi telefoni IP Snom presso Silbernetz e. V.

Intervento contro la solitudine: 100 nuovi telefoni IP Snom presso Silbernetz e. V.
Anche senza il coronavirus, la solitudine e il silenzio caratterizzano la quotidianità di milioni di anziani. Cento nuovi telefoni Snom per i volontari e i collaboratori della „rete d’argento“ Silbernetz e.V. contribuiscono a cambiare le cose. Quando i figli hanno lasciato il nido da tempo, il coniuge è deceduto e la TV o la radio sono l’unico collegamento co (continua)

Una conversazione é più efficiente dell’e-mail: Snom offre la migliore qualità audio per le Huddle Rooms

Una conversazione é più efficiente dell’e-mail: Snom offre la migliore qualità audio per le Huddle Rooms
Mai prima d’ora abbiamo comunicato così tanto e spesso. Per il solo 2019 gli esperti hanno previsto un volume di circa 293,6 miliardi di e-mail scambiate in tutto il mondo – ogni giorno! Entro il 2023 questa cifra dovrebbe salire a 347,3 miliardi ogni 24 ore*. Nel contempo i dipendenti sono sempre più mobili e svolgono il proprio lavoro ovunque sia possibile: in uffi (continua)

Nuovo accessorio - Snom A190: headset DECT multicella

Nuovo accessorio - Snom A190: headset DECT multicella
Snom, produttore internazionale di telefoni IP premium per professionisti e aziende presenta il nuovo A190 cordless DECT multicella. Un headset in grado di passare senza soluzione di continuità da una cella all’altra e di eseguire il roaming in installazioni DECT multicella. Insieme alla stazione base DECT M900 annunciata di recente , gli utenti dispongono di una soluzione complet (continua)