Botnet Torpig, 70 giga di dati rubati in 10 giorni
Loading ...
Roma - Non ci sono solo presunti pesci d’aprile che parlano di Conficker: alcuni ricercatori dell’Università della California Santa Barbara si sono industriati per infiltrarsi nella botnet Torpig, riuscendo ad ottenere molti dettagli sul suo funzionamento e la copia di ben 70 gigabyte di dati, rubati in soli 10 giorni.
In tale periodo la botnet è riuscita a sottrarre più di 8300 credenziali, impiegate per eseguire il login a 410 diversi istituti finanziari, che si sono ben spicciati ad informare la clientela, puntualizza Ars Technica. Oltre il 21 per cento appartengono a clienti di PayPal. In totale, circa 298mila credenziali uniche sono state intercettate dai ricercatori, su un totale di oltre 52mila macchine infette.
Uno dei segreti di Torpigè la capacità di succhiare credenziali da un numero enorme di programmi. Nel corteggiare applicativi d’uso comune come Thunderbird, Outlook, Skype, ICQ ed un’altra ventina di applicazioni, Torpig controlla costantemente i tasti premuti in essi a livello molto basso, dunque prima che ogni password sia cfrata. Ogni 20 minuti parte il trasferimento dei dati catturati verso i “server” controllati dagli autori.
I ricercatori sono riusciti nell’intento sfruttando alcune debolezze insite nel metodo con cui la botnet aggiorna i suoi canali master, usati per inviare nuove istruzioni ad ogni macchina. Durante il funzionamento avviene la generazione di lunghe liste di nomi a dominio a cui le macchine infette debbono “riportare”: gli operatori della botnet, normalmente, ne impiegano uno, mentre gli altri sono ignorati.
Inserendo un ulteriore nome in quella lista, sono riusciti a farsi riportare dati. Successivamente hanno potuto assistere al comportamento della botnet per 10 giorni, finché gli operatori non hanno ripreso il controllo della botnet attraverso una backdoor inserita in ogni macchina infetta. I totali sono da capogiro: 180mila PC infetti, connessi a partire da 1,2 milioni di indirizzi IP.
La dinamica delle osservazioni evidenzia l’opportunità di scegliere il giusto metodo per determinare le dimensioni di una botnet, non limitandosi ad eguagliare gli IP individuati con il numero di zombie (i PC infetti).
Torpig, conosciuta anche come Sinowal e Anserin, viene distribuita attraverso il rootkit Mebroot, che si installa nel Master Boot Record del disco rigido, bypassando così ogni controllo antivirus preventivo ed avendo la certezza di essere sempre caricato.
Lo studio, infine, evidenzia come una delle vittime, un operatore remoto di call-center in casa, ha trasmesso non meno di 30 numeri legittimi e reali di carte di credito, così come il 28 per cento delle vittime ha mantenuto password che avrebbe dovuto cambiare. Molte delle password, rileva ancora lo studio, sono state “indovinabili” in 75 minuti o meno, usando noti programmi di forzatura.
Il documento completo, disponibile su questa pagina e qui in formato PDF, offre un quadro certamente poco rassicurante, dal quale scaturiscono in modo del tutto naturale le abituali raccomandazioni sulla prudenza, sulla tutela delle password, sulla loro scelta e sulla disciplina nel cambiarle frequentemente e nello scegliere combinazioni mai corrispondenti a parole di senso compiuto. Oltre, naturalmente, al frequente aggiornamento del proprio software, sistema operativo e antivirus compresi, ed alla maggiore diligenza possibile nel frequentare siti sconosciuti.
virus malware botnet trojan logo
