13 novembre 2013

Doctor Web — azienda russa per la sicurezza informatica — segnala una larga propagazione di programmi malevoli, nominati Trojan.Hiloti, che sostituiscono le pagine dei risultati dei motori di ricerca. I malintenzionati hanno organizzato un partner program che si occupa della propagazione del trojan. Per insediare il trojan sui computer attaccati, si usa una serie di exploit.

Il termine "sostituzione delle pagine dei risultati dei motori di ricerca" è ben noto agli esperti nella sicurezza informatica e agli utenti che sono diventati vittime dei truffatori. Questa funzione può essere realizzata da molti programmi malevoli, i quali, una volta installati sul competer bersaglio, seguono l'attività del web browser e quando l'utente utilizza motori di ricerca, gli fanno vedere diversi link, anche fraudolenti, invece dei veri risultati del motore di ricerca. A questa categoria di malware appartiene anche il Trojan.Hiloti, alcune versioni del quale erano diffuse già nel 2010. Attualmente, nei database virali Dr.Web vi sono oltre ottanta record di diverse varianti di questa minaccia. Gli specialisti connettono la comparsa delle nuove versioni del Trojan.Hiloti con il nuovo partner program, "Podmena-2014", con cui i malintenzionati vogliono attirare i proprietari di siti.

Secondo i termini di questo partner program, i proprietari possono inserire nei loro siti uno script che con un determinato intervallo scarica l'eseguibile del Trojan.Hiloti dal server dei malintenzionati. Insieme all'installer, si scarica anche un modulo rootkit che deve celare il funzionamento del trojan sul computer infetto. Per ostacolare il rilevamento da parte degli antivirus, l'eseguibile sul server dei malintenzionati si riarchivia automaticamente a determinate cadenze.

Il trojan "Hiloti" penetra sul computer attraverso le vulnerabilità CVE-2012-4969, CVE-2013-2472, CVE-2013-2465 e CVE-2013-2551, nonché utilizzando metodi del social engineering.

1 — Il committente si accorda con gli organizzatori del partner program sulla visualizzazione di determinati link. 2 — Gli organizzatori del partner program danno ai proprietari di siti il malware da inserire nei siti. 3 — Il computer vittima si infetta mentre l'utente visita su un sito da cui si propaga il trojan. 4 — Quando l'utente utilizza un motore di ricerca, il trojan visualizza i link definiti dal committente e ogni volta quando l'utente passa a queste pagine web, ciò viene comunicato al server del partner program. 5 — Il committente paga agli organizzatori del partner program per il numero di click. 6 — Una parte di questi proventi viene trasferita ai proprietari dei siti infetti.

I malintenzionati propongono ai proprietari di siti uno schema di lavoro semplice. Nei siti viene inserito uno script che scarica il Trojan.Hiloti sui computer dei visitatori; in seguito il trojan mostra agli utenti i link definiti dal committente, invece delle pagine dei risultati del motore di ricerca. In alcuni casi, se l'utente clicca su tale collegamento, sul computer si scaricano applicazioni non desiderate, per esempio, falsi antivirus che richiedono pagamento per la possibilità di "curare" il computer. I proprietari dei siti da cui si propaga il trojan ricevono una percentuale dei proventi ottenuti dai malintenzionati nell'ambito del partner program.

Nonostante i trucchi di mascheramento, l'antivirus Dr.Web è capace di rilevare il trojan "Hiloti", quindi gli utenti che hanno installato il software Doctor Web sono protetti da questa minaccia. Nondimeno, vi consigliamo di stare attenti: non salvate sul disco e non lanciate eseguibili scaricati da siti sospetti, aggiornate in tempo il sistema operativo e tutto il software del computer.