Allarme da Symantec: Google Groups per comandare le botnet

di Massimo Rabbi

Pubblicato 16 Settembre 2009
Aggiornato 12 Febbraio 2018 20:48

logo PMI+ logo PMI+

I ricercatori di Symantec hanno pubblicato un interessante, ma al tempo stesso preoccupante, post riguardo l’uso di Google Groups come meccanismo per inviare comandi remoti a “PC zombie”.

Il trojan incriminato, nello specifico identificato come Trojan.Grups, infetta sistemi Windows installando una backdoor. Una volta attivato è in grado di collegarsi ad un newsgroup privato su Google Groups e ricevere i comandi da eseguire semplicemente leggendo i messaggi presenti.

Per contro l’esito delle operazioni effettuate dai client viene postato sempre sotto forma di messaggio, costituendo così un vero e proprio log delle attività della botnet.

Zulfikar Ramzan, direttore tecnico di Symantec Security Response, ha dichiarato ad eWeek descrive questa tecnica paragonandola a quella classica da “spy story” di nascondere i messaggi in codice in annunci di giornale.

Sempre a detta dello stesso Ramzan il metodo adottato dai cracker è sicuramente molto veloce e piuttosto semplice da attuare, visto che basta un semplice post su un newsgroup per comandare un’intera botnet.

Da sottolineare l’uso della cifratura, in particolare del protocollo RC4, per proteggere i messaggi scambiati.

Come accennato prima l’uso di messaggi in un newsgroup consente di tracciare nel dettaglio le attività del trojan.

Grazie a questo Gavin O. Gorman, ricercatore Symantec, ha ipotizzato che quello scoperto sia con molta probabilità un prototipo atto a testare l’efficacia dei newsgroup come sostituti di un vero e proprio ““Command and Control Server”“.

Lo fanno pensare il fatto di avere contato appena 3000 messaggi da novembre 2008 e l’analisi del codice del malware.

Si tratterebbe di un trojan di origine taiwanese, data la lingua del newsgroup (cinese semplificato) e il riferimento nei comandi a domini.tw.

Il codice decompilato rivela inoltre un atteggiamento “non invasivo” del virus nei confronti del sistema infettato: questo a sottolineare la volontà di mantenere un profilo basso e rimanere il più nascosto possibile.

È plausibile che malware di questo tipo possa essere utilizzato a scopo di spionaggio industriale.

Un caso analogo a questo ha interessato il noto sito di social networking Twitter che ad agosto ha dovuto affrontare un’emergenza simile: messaggi di status usati come comandi per i PC infettati.