La nuova versione del trojan Briz, già segnalato e raccontato lo scorso febbraio, (clicca qui) Briz.F questa volta sfrutta i contenuti pornografici per far leva sulle ignare vittime sottraendo fondi dai loro conti in banca mentre sono impegnanti a visionare siti a luci rosse.
"Questa nuova minaccia utilizza il richiamo a pagine web dal contenuto pornografico per installarsi sui computer degli utenti. La diffusione di Briz.F è la diretta conseguenza della trama della creazione e vendita di versioni customizzate del Trojan Briz, recentemente scoperto e smantellato da Panda Software.
Luis Corrons, direttore dei laboratori di Panda Software afferma “le caratteristiche di Briz.F indicano che gli autori hanno deciso di approfittare delle modifiche del Trojan originale o che abbiano organizzato un nuovo raggiro per creare e vendere codici maligni.”
Le pagine web che ospitano Briz.F sono programmate per scaricare automaticamente il codice sui PC quando gli utenti le visitano, sfruttando diverse vulnerabilità del software. Tuttavia, è possibile imbattersi in questo Trojan anche attraverso altri mezzi come messaggi di posta elettronica, download di file da Internet, reti di file-sharing P2P, etc.
Il “modus operandi” di Briz.F è complesso ed elaborato. L’attacco inizia con l’installazione di un file, iexplore.exe, che prepara il campo individuando se esiste una connessione Internet. In caso positivo, si connette ad alcune pagine web per scaricare un altro file, ieschedule.exe. Infine, iexplore.exe disabilita i servizi di Windows Security Center e l’accesso condiviso a Internet.
In seguito, ieschedule.exe invia le informazioni del computer infetto (nome, indirizzo IP, luogo, etc.) ad un indirizzo stabilito dall’aggressore. Nello stesso tempo, scarica altri file, inclusi smss.exe, che modifica i file host per prevenire l’accesso a siti di prodotti di sicurezza e ieredir.exe, che dirige gli utenti a false pagine web quando cercano di connettersi ad alcuni servizi, in particolare quelli relativi a strutture bancarie.
Inoltre, il Trojan raccoglie informazioni da Windows Protected Storage e da Outlook, Eudora e The Bat, inviandole all’attaccante. Molti dei file installati sul sistema si autodistruggono nel momento nel quale hanno realizzato il loro scopo, creando difficoltà all’utente nel comprendere se è stato vittima di un attacco di Briz.F.
Continua Corrons "è avvenuto un notevole aumento del numero di codici maligni simili a Briz.F, progettati per agire in modo nascosto agli utenti e alle società di sicurezza, che sono così impossibilitati a trovare un metodo per combatterli, perché inconsapevoli della loro esistenza. Si tratta di un problema che deve essere risolto con soluzioni tecnologiche. Gli antivirus tradizionali non sono sufficienti e devono essere integrati con tecnologie preventive, in grado di individuare la presenza del malware senza necessità di aggiornamenti."
Fonte
"Questa nuova minaccia utilizza il richiamo a pagine web dal contenuto pornografico per installarsi sui computer degli utenti. La diffusione di Briz.F è la diretta conseguenza della trama della creazione e vendita di versioni customizzate del Trojan Briz, recentemente scoperto e smantellato da Panda Software.
Luis Corrons, direttore dei laboratori di Panda Software afferma “le caratteristiche di Briz.F indicano che gli autori hanno deciso di approfittare delle modifiche del Trojan originale o che abbiano organizzato un nuovo raggiro per creare e vendere codici maligni.”
Le pagine web che ospitano Briz.F sono programmate per scaricare automaticamente il codice sui PC quando gli utenti le visitano, sfruttando diverse vulnerabilità del software. Tuttavia, è possibile imbattersi in questo Trojan anche attraverso altri mezzi come messaggi di posta elettronica, download di file da Internet, reti di file-sharing P2P, etc.
Il “modus operandi” di Briz.F è complesso ed elaborato. L’attacco inizia con l’installazione di un file, iexplore.exe, che prepara il campo individuando se esiste una connessione Internet. In caso positivo, si connette ad alcune pagine web per scaricare un altro file, ieschedule.exe. Infine, iexplore.exe disabilita i servizi di Windows Security Center e l’accesso condiviso a Internet.
In seguito, ieschedule.exe invia le informazioni del computer infetto (nome, indirizzo IP, luogo, etc.) ad un indirizzo stabilito dall’aggressore. Nello stesso tempo, scarica altri file, inclusi smss.exe, che modifica i file host per prevenire l’accesso a siti di prodotti di sicurezza e ieredir.exe, che dirige gli utenti a false pagine web quando cercano di connettersi ad alcuni servizi, in particolare quelli relativi a strutture bancarie.
Inoltre, il Trojan raccoglie informazioni da Windows Protected Storage e da Outlook, Eudora e The Bat, inviandole all’attaccante. Molti dei file installati sul sistema si autodistruggono nel momento nel quale hanno realizzato il loro scopo, creando difficoltà all’utente nel comprendere se è stato vittima di un attacco di Briz.F.
Continua Corrons "è avvenuto un notevole aumento del numero di codici maligni simili a Briz.F, progettati per agire in modo nascosto agli utenti e alle società di sicurezza, che sono così impossibilitati a trovare un metodo per combatterli, perché inconsapevoli della loro esistenza. Si tratta di un problema che deve essere risolto con soluzioni tecnologiche. Gli antivirus tradizionali non sono sufficienti e devono essere integrati con tecnologie preventive, in grado di individuare la presenza del malware senza necessità di aggiornamenti."
Fonte