7 novembre 2013

Doctor Web — produttore russo di programmi per la protezione delle informazioni — riferisce di un malware che infetta SAP, sistemi di gestione dei processi di business. Questo malware fa parte della famiglia Trojan.PWS.Ibank già largamente diffusa e che comprende trojan bancari capaci di rubare password digitate dall'utente e altre informazioni sensibili.

Gli esperti di Doctor Web hanno condotto un'indagine complessiva di questo programma malevolo. Rispetto agli altri programmi della famiglia Trojan.PWS.Ibank, questa versione ha un'architettura di bot modificata; inoltre sono stati modificati i meccanismi di comunicazione fra processi (Inter-Process Communication, IPC); è stato eliminato il sottosistema SOCKS5. Non sono cambiati invece: l'algoritmo interno di cifratura, il payload realizzato come una libreria dinamica e il protocollo di comunicazione del trojan con il centro di controllo dei malintenzionati.

Il modulo di installazione del trojan è in grado di scoprire un tentativo di avvio nell'ambiente di debugging in modo da ostacolare l'analisi del programma da parte degli specialisti. Inoltre, l'installer riconosce i tentativi di eseguire il programma nell'ambiente isolato Sandboxie — un'utility per controllare il funzionamento di varie applicazioni. Il trojan può infettare i SO Microsoft Windows a 32 e a 64 bit, utilizzando diversi metodi di penetrazione nel sistema operativo. Il modulo principale del Trojan.PWS.Ibank può eseguire due comandi in più (rispetto alle versioni precedenti): un comando attiva/disattiva il blocco dei client di home banking e l'altro riceve il file di configurazione dal server di controllo.

Oltre alle possibilità elencate, il Trojan.PWS.Ibank è capace di incorporarsi in vari processi in esecuzione, mentre la sua versione nuova può controllare i nomi delle applicazioni in esecuzione cercando il software SAP, un sistema di gestione per l'impresa. Il sistema integra molti processi di business, comprese la gestione fiscale, la gestione delle vendite e del fatturato etc. e quindi contiene informazioni sensibili di un'azienda. La prima versione del trojan che controllava la presenza del software SAP sul computer infetto si è propagata ancora a giugno, e l'antivirus Dr.Web la riconosce come Trojan.PWS.Ibank.690. La versione attuale si chiama Trojan.PWS.Ibank.752. Vi ricordiamo che i programmi della famiglia Trojan.PWS.Ibank possiedono un'ampia gamma di funzioni dannose, tra cui possiamo segnalare le seguenti:

• rubano password digitate dall'utente e le trasmettono ai malintenzionati;
• impediscono l'accesso ai siti delle aziende antivirus;
• eseguono comandi arrivati dal server di comando remoto;
• funzionano da proxy server e da server VNC sulla macchina infetta;
• distruggono con un comando il sistema operativo e i settori di avvio del disco.

Un cresciuto interesse dei creatori dei virus verso il software SAP e verso i sistemi ERP (pianificazione delle risorse d'impresa) non può non preoccupare esperti della sicurezza informatica. Utilizzando tali tecnologie i malintenzionati potrebbero cercare di rubare le informazioni commerciali critiche delle aziende elaborate da questi sistemi.

Dobbiamo notare però che per il momento il Trojan.PWS.Ibank non esegue alcune azioni distruttive nei riguardi dei programmi SAP, ma controlla semplicemente se siano presenti nel sistema operativo e cerca di incorporarsi nel processo corrispondente se è in esecuzione. Probabilmente, in questo modo gli autori del trojan fanno una buona porzione di lavoro per il futuro.