15 novembre 2013

Doctor Web — produttore di software antivirus — avverte gli utenti di una larga propagazione in Skype dei messaggi malevoli che trasportano i trojan bancari "BackDoor.Caphaw". Il numero più grande di tali messaggi è stato registrato nella prima metà di novembre 2013. Il trojan BackDoor.Caphaw può rubare credenziali di accesso ai sistemi di home banking e altre informazioni sensibili memorizzate sulla macchina infetta.

Il trojan BackDoor.Caphaw viene rilevato sui computer da circa un anno. Il trojan infetta il sistema operativo utilizzando le vulnerabilità (in particolare, il pacchetto degli exploit "BlackHole"), nonché la sua capacità di copiarsi su periferiche e unità di rete. Approssimativamente dalla seconda metà di ottobre 2013 il BackDoor.Caphaw ha cominciato a propagarsi tramite messaggi in Skype, e la maggiore intensità di questo mailing malevolo è stata dal 5 al 14 novembre. I malintenzionati inviano messaggi dagli account Skype degli utenti i cui computer sono già infetti. I messaggi includono un link a un archivio con il nome "invoice_XXXXX.pdf.exe.zip" (dove XXXXX è una stringa di cifre). L'archivio contiene il file eseguibile del trojan BackDoor.Caphaw.

Una volta avviato nel sistema operativo, il malware salva la sua copia come un file con un nome casuale in una delle cartelle delle applicazioni e modifica la chiave del registro di sistema responsabile dell'esecuzione automatica programmi. Il trojan è in grado di riconoscere l'avvio nella macchina virtuale, una caratteristica finalizzata a impedire l'analisi del programma malevolo.

Dopo l'installazione, il BackDoor.Caphaw cerca di incorporarsi nei processi in esecuzione e stabilisce una connessione al server dei malintenzionati. Il trojan segue le attività dell'utente e cerca di individuare eventuali tentativi di connessione ai sistemi di home banking. Se l'utente usa un sistema di home banking, il malware incorpora contenuti esterni nelle pagine web visualizzate e intercetta i dati immessi nei moduli web.

Inoltre, il cavallo di troia può registrare video in streaming sul computer infetto e trasmettere tale video al server dei malintenzionati. Il BackDoor.Caphaw scarica dal server remoto e avvia sul computer diversi moduli che arricchiscono le sue funzioni. Questi moduli addizionali cercano password di accesso ai FTP client e le trasmettono ai malintenzionati, funzionano come un VNC server, inoltre, un altro modulo è un bootkit che può infettare il Master Boot Record ecc. Un modulo separato invia messaggi malevoli in Skype.

L'antivirus Dr.Web rileva questa minaccia ed elimina il BackDoor.Caphaw quando tenta di penetrare sul computer protetto. Nondimeno, si consiglia agli utenti di non cliccare sui link ricevuti in messaggi in Skype, anche se il messaggio sia arrivato dall'account di un amico visto che il suo computer potrebbe essere già infettato dal BackDoor.Caphaw<,/vir>. Se si è diventate vittime di questa minaccia, si consiglia di avviare il computer nella modalità sicura di Windows e di eseguire una scansione completa tramite l'utility gratuita Dr.Web CureIt!, altrimenti si può utilizzare il disco di ripristino Dr.Web LiveCD.