I ricercatori di Symantec hanno pubblicato un interessante, ma al tempo stesso preoccupante, post riguardo l’uso di Google Groups come meccanismo per inviare comandi remoti a “PC zombie”.
Il trojan incriminato, nello specifico identificato come Trojan.Grups, infetta sistemi Windows installando una backdoor. Una volta attivato è in grado di collegarsi ad un newsgroup privato su Google Groups e ricevere i comandi da eseguire semplicemente leggendo i messaggi presenti.
Per contro l’esito delle operazioni effettuate dai client viene postato sempre sotto forma di messaggio, costituendo così un vero e proprio log delle attività della botnet.
Zulfikar Ramzan, direttore tecnico di Symantec Security Response, ha dichiarato ad eWeek descrive questa tecnica paragonandola a quella classica da “spy story” di nascondere i messaggi in codice in annunci di giornale.
Sempre a detta dello stesso Ramzan il metodo adottato dai cracker è sicuramente molto veloce e piuttosto semplice da attuare, visto che basta un semplice post su un newsgroup per comandare un’intera botnet.
Da sottolineare l’uso della cifratura, in particolare del protocollo RC4, per proteggere i messaggi scambiati.
Come accennato prima l’uso di messaggi in un newsgroup consente di tracciare nel dettaglio le attività del trojan.
Grazie a questo Gavin O. Gorman, ricercatore Symantec, ha ipotizzato che quello scoperto sia con molta probabilità un prototipo atto a testare l’efficacia dei newsgroup come sostituti di un vero e proprio ““Command and Control Server”“.
Lo fanno pensare il fatto di avere contato appena 3000 messaggi da novembre 2008 e l’analisi del codice del malware.
Si tratterebbe di un trojan di origine taiwanese, data la lingua del newsgroup (cinese semplificato) e il riferimento nei comandi a domini.tw.
Il codice decompilato rivela inoltre un atteggiamento “non invasivo” del virus nei confronti del sistema infettato: questo a sottolineare la volontà di mantenere un profilo basso e rimanere il più nascosto possibile.
È plausibile che malware di questo tipo possa essere utilizzato a scopo di spionaggio industriale.
Un caso analogo a questo ha interessato il noto sito di social networking Twitter che ad agosto ha dovuto affrontare un’emergenza simile: messaggi di status usati come comandi per i PC infettati.