Sottratti i dati di accesso di numerosi conti online di 50 banche, tra le vittime 9 italiani

E’ stato concepito per colpire gli utenti Australiani e così è stato, ma la sua natura e complessità tecnica lo hanno trasformato in un caso internazionale

Anti-Phishing 24/02/2007, ore 18:34

E’ stato concepito per colpire gli utenti Australiani e così è stato, ma la sua natura e complessità tecnica lo hanno trasformato in un caso internazionale. Con i truffatori intenti a non lasciarsi sfuggire nessuna possibile preda anche se italiana.

Il caso seguito e segnalato dal Websense ha preso il via lo scorso 21 febbraio ed è durato 2 giorni e mezzo, un tempo tuttavia sufficiente per colpire secondo i dati forniti dagli stessi furfanti quasi 1000 utenti al giorno. L’attacco era connesso a due e-mail spazzatura, la prima legata ad un falso attacco di cuore del primo ministro australiano del quale si è occupato Punto Informatico nella giornata di ieri, mentre il secondo un fantomatico invito per una partita di cricket.

src='http://www.anti-phishing.it/phishing.image/howard-attack-550.jpg' /></td>
</tr>
<tr>
<td align='center'>Immagine fornita da <strong><a href='http://www.sophos.com/'> Sophos</a></strong></td>
</tr>
</tbody>
</table>
<p> </p>
<p>Cliccando i link proposti l’utente era trasportato in un sito web ospitato fisicamente in tre server situati in <strong>Germania, Inghilterra ed Estonia</strong>, utilizzati a rotazione attraverso la tecnica del <strong>Round Robin DNS</strong>, la stessa apparsa in Italia nel 2005 in un caso di phishing contro Fineco. <br />
<br />
Tutti i server al loro interno contenevano del codice maligno appositamente realizzato per sfruttare una vulnerabilità presente in Windows XP/2003 (<strong>MS06-014 - AdoDB / XML HTTP</strong>) così da consentire l’installazione di un apposito trojan nel sistema colpito senza nessuno intervento da parte dell’utente. Mentre alle malcapitate vittime appariva nel proprio browser un messaggio d’errore il quale richiedeva tra l’altro la disattivazione del proprio sistema anti-virus e firewall.<br />
</p>
<table width='100%' cellspacing='0' cellpadding='0' border='0' id='table161'>
<tbody>
<tr>
<td> <img width='598' height='149' border='1' alt=

Immagine fornita da Websense

Una volta all’interno, il file "iexplorer.exe" procedeva automaticamente al download da un server russo di 5 ulteriori elementi: EMod.dll, IEGrabber.dll, IEFaker.dll, CertGrabber.dll, PSGrabber.dll.

Elementi fondamentali per dare il via alla truffa, infatti il server russo oltre a fornire i suddetti file, svolgeva la funzione di "bot controller", ossia attraverso un apposito toolkit realizzato dallo sconosciuto Nuklus Team, il truffatore poteva avere l’accesso e controllo alle macchine colpite oltre a manipolare la connessione verso banche e siti di e-commerce ed al tempo stesso ricevere statistiche aggiornata sul numero di truffati.

Collegandosi infatti ad uno dei 50 istituti di credito appositamente selezionati dal phisher, tra cui figurano anche 9 banche italiane, l’ignaro utente infetto dalle 5 DLL, nel momento in cui forniva le proprie credenziali d’accesso, consegnava segretamente una copie delle stesse al server russo, il tutto operando nel vero sito web del proprio istituto di credito.

Dalle immagini fornite dal Websense in merito al toolkit Nuklus, è stato possibile rilevare i seguenti istituti di credito italiani coinvolti loro malgrado nella truffa: Gruppo Carige, Banca Intesa, Credem, Ras Bank, Banca Generali, SanPaolo IMI, Fineco, Banca Mediolanum e la novità Banco di Napoli.