Sinowal, come ti rubo username e password del conto in banca.

Di Guido Sintoni.

Mytech, 31/5/2006.

http://www.mytech.it/computer/virus/articolo/idA028001065760.art.

Aggiornamento ufficiale per Windows? No:

cavallo di Troia.

Il vettore d'attacco di Sinowal.u  classico, cos come il comportamento del malware in s.

Sinowal.u  l'ultima evoluzione di una prolifica famiglia di cavalli di Troia proveniente dalla Russia, avvistata per la prima volta verso la fine del 2005 e che ha una specialit: il furto di dati sensibili.

Arriva sotto forma di falsa e-mail (ma facilmente identificabile per gli utenti italiani, visto che  in lingua tedesca) e, una volta richiamato da browser non aggiornato, va alla ricerca delle credenziali (login e password) per l'autenticazione sui siti di Internet banking di svariate banche europee.

Sinowal.u, come accennato, proviene da indirizzi di posta con suffisso.de: non sfrutta exploit noti, ma invita l'utente a installare un sedicente "aggiornamento di sicurezza contro un nuovo worm appena apparso". Va da s che l'allegato contenuto nel messaggio non  benefico, ma  il cavallo di Troia vero e proprio.

Una volta lanciato, il cavallo di Troia compie un attacco di tipo man in the middle: ovvero, tenta di dirottare il traffico tra due hosts (nella fattispecie, il Pc attaccato e il server remoto della societ bancaria) verso un terzo host arbitrario (amministrato dall'attaccante) posto fra le due macchine, e che inoltra i pacchetti ricevuti verso la corretta destinazione dopo averne tenuto traccia (in parole povere, dopo avere registrato la coppia username/password cercata).

Ultima particolarit di Sinowal.u  la capacit di autoaggiornarsi grazie a un meccanismo concettualmente simile a quello di Windows Update: piccoli malware crescono, quindi. E diventano sempre pi intelligenti e pericolosi, anche se il loro accento  facilmente identificabile (ed eliminabile con un antivirus aggiornato).

Guido Sintoni.

