Cerca nel blog

2009/02/06

Virus nelle multe, nuove frontiere del social engineering

Quando il virus arriva su carta


Nuove frontiere delle aggressioni virali: il SANS Institute segnala che a Grand Forks, nel North Dakota, vari automobilisti hanno trovato sui propri veicoli dei volantini che li avvisavano di un'infrazione al codice della strada dovuta al modo in cui avevano parcheggiato e li invitavano a visitare un sito specifico (che non cito qui) per vedere immagini dell'infrazione.

In realtà il sito usa un trucco psicologico per installare un virus, o meglio un trojan horse, denominato Vundo, che si spaccia per un antivirus. Gli aggiornamenti dei principali antivirus (quelli veri!) sono già in grado di riconoscere questo attacco decisamente originale.

L'aspetto del sito-trappola è quello di un servizio dedicato alla pubblicazione di foto di infrazioni automobilistiche: per consultarlo, chiede di installare un apposito programma, PictureSearchToolbar.exe, che in realtà inietta nel computer della vittima (se si tratta di una macchina Windows che visita il sito con Internet Explorer) una DLL ostile dal nome generato a caso.

A sua volta, questa DLL scarica di nascosto da Childhe.com un'altra DLL. Al riavvio del computer, durante la navigazione in Internet compare un falso avviso di sicurezza, che informa l'utente di "vari segni della presenza di virus e malware" e offre una scansione gratuita del computer infetto. Cliccando su OK, la vittima viene portata a un sito che ospita un antivirus fasullo, che in realtà fa da talpa per infettare il computer della vittima con ogni sorta di porcherie.

E' la prima volta, a quanto mi risulta, che una campagna d'infezione virale sfrutta un oggetto del mondo reale a basso costo come un foglio di carta (ci sono precedenti a base di penne USB infette lasciate in giro, ma sono approcci costosi). Altre immagini di questa nuova tecnica, come la schermata qui sopra, sono pubblicate da McAfee.

L'attacco gioca dunque sulla pressione psicologica doppiamente (oddio, ho preso una multa; oddio, ho il computer infetto) per scavalcare le difese informatiche dell'utente e depositare nel suo computer un malware che per il resto segue uno schema già visto, quello del falso antivirus: la novità sta nell'esca cartacea.

Visto che quest'attacco richiede manovalanza sul posto e permette di circoscrivere il tentativo d'intrusione a una zona geografica ben precisa, viene da chiedersi se la scelta di Grand Forks sia mirata. Il nome della località è infatti ben noto a chi si occupa di sicurezza militare strategica, perché è quello dell'unica base di missili antimissili nucleari mai installata dagli Stati Uniti: i missili sono stati poi smantellati, ma la base rimane ed ora è candidata ad essere l'area di collaudo dei nuovi aerei senza pilota. Un caso?

Comunque sia, provo una certa invidia per la genialità di questi criminali e non posso fare a meno di pensare che sarebbe una bella forma di vendetta verso gli idioti che parcheggiano come se fossero i padroni del mondo.

Nessun commento: