Dorkbot, una famiglia di malware che opera su una struttura botnet, è stata sinkholed da ESET e Microsoft che hanno lavorato insieme unzionari di Polizia polacchi (CERT/PL). Per gli utenti non tecnici, sinkholing è il processo con cui i webmaster configurano un server DNS che invia false informazioni circa i nomi di dominio. Dorkbot si è impossessata di server C&C in Europa, Asia e Nord America. Il malware è rimasto attivo in oltre 190 paesi e si è diffuso principalmente attraverso supporti rimovibili, e-mail spam, exploit kit, ma il più delle volte, con profili di social media, spam e sistemi VoiP.
Oltre ad essere un ladro di password che prende di mira i servizi popolari come Facebook, Twitter e Skype, Dorkbot installa tipicamente codice di altre famiglie di malware dopo che ottiene il controllo di un dato sistema. L'operazione delle forze dell'ordine di tutto il mondo guidate dal Federal Bureau of Investigation (FBI), Interpol e Europol ha smantellato l'infrastruttura dei server di comando e controllo manipolata da Win32/Dorkbot, un malware che si diffonde attraverso diversi canali come i social network, spam, dispositivi rimovibili ed exploit kit. Dorkbot ha colpito finora più di un milione di computer attraverso server di comando e controllo in Europa, Asia e Nord America.
All’interno dell’operazione per debellare Dorkbot, ESET ha condiviso le analisi tecniche e le informazioni statistiche sul malware e ha inoltre fornito i domini e gli indirizzi Internet dei server di comando e controllo della botnet. Una volta installato sulla macchina, Win32/Dorkbot tenta di interrompere le normali attività del software di sicurezza bloccandone l'accesso ai relativi server di aggiornamento, connettendosi a un server IRC per ricevere ulteriori comandi. Oltre a sottrarre le password di servizi famosi come Facebook e Twitter, Dorkbot installa un codice pericoloso appartenente a una delle numerose famiglie di malware esistenti, così da ottenere il pieno controllo di un dato sistema.
Spesso Dorkbot rilascia nei sistemi corrotti delle varianti di Win32/Kasidet, un malware utilizzato per sferrare attacchi DDoS meglio conosciuto come Neutrino e di Win32/Lethic, una famosa spambot. Microsoft consiglia di "essere cauti quando si aprono e-mail o messaggi di social media da utenti sconosciuti o si scarica software da siti Web diversi da quelli ufficiali degli sviluppatori del programma". "Dato che abbiamo visto migliaia di rilevazioni ogni settimana provenienti da quasi tutte le parti del mondo e ci sono campioni freschi che arrivano ogni giorno, Dorkbot sembrava un obiettivo impossibile da interrompere", ha commentato Jean-Ian Boutin, Malware Researcher presso ESET.
Altre agenzie hanno contribuito a far scendere Dorkbot tra cui la Royal Canadian Mounted Police (RCMP), il Department of Homeland Security's United States Computer Emergency Readiness Team (DHS/USCERT), e la Canadian Radio-Television and Telecommunications Commission (CRTC). Le soluzioni di ESET attualmente proteggono gli utenti da migliaia di varianti di Dorkbot e dai moltissimi malware distribuiti attraverso le botnet di Dorkbot. Gli internauti che sospettano di essere stati infettati da Dorkbot possono usare lo strumento gratuito di ESET per effettuare una scansione approfondita. È possibile reperire maggiori informazioni sul Dorkbot al seguente link di Welivesecurity.
Via: ESET Italia
Nessun commento:
Posta un commento