E’ stato identificato un nuovo Trojan-Scareware nella rete, identificato da Microsoft con il nome di Rogue-AV: MSIL/Zeven.

Una delle ragioni che caratterizzano il potenziale rischio insito in questo malware è la tipologia di attacco perpetrata nei confronti delle vittime, la quale sfrutta un gran numero di elementi già noti all’utente (es. interfacce software, schermate d’avviso ecc.), allo scopo d’indurre in errore l’utente ed aumentare le probabilità d’installazione del codice maligno. Il Trojan-Scareware infatti, inizia il proprio attacco identificando il tipo di Browser web impiegato dall’utente, durante la navigazione di quest’ultimo in un sito contraffatto adibito alla funzione di “starter” dell’attacco. Tramite tale controllo, la routine di compromissione iniziale sceglie la schermata di avviso-malware più idonea (cioè con layout e scritte simili ai warning tipicamente presentati all’utente, durante la navigazione in pagine web potenzialmente sospette) (fig.1, 2, 3).

(fig. 1)

(fig. 2)

(fig. 3)

Sebbene in prima analisi le pagine appaiano esattamente come quelle tipicamente impiegate dai browser, è possibile notare qualche elemento aggiuntivo insolito in esse.
In tutte e tre le versioni (Firefox, Chrome, Internet Explorer), le schermate di avviso presentano sempre delle parole comuni: “Update” (Aggiorna) e “Solution” (soluzione). In realtà i link presentati sono fittizi e tutti impostati nell’indurre il download del Rogue-AV suddetto.

In caso d’installazione del Rogue-AV, l’interfaccia appare fin da subito molto credibile, visualizzando varie funzionalità tipiche di un qualsiasi software anti-virale. Sebbene in primo acchito l’utente sia persuaso nell’ottenere dei benefici dalle operazioni compiute dall’applicativo, in realtà queste non vengono attuate realmente (fig.4):

(fig.4)

Ovviamente, come in tutte le scansioni eseguite dai Rogue-AV, i risultati di sicurezza presentano un gran numero di malware residenti nel computer della vittima, richiedendo un corrispettivo economico per la loro rimozione e ai fini dell’attivazione del relativo abbonamento istituito allo scopo di garantire all’utente la ricezione periodica delle definizioni antivirali.

In caso di acquisto della licenza, il malware avvia una pagina HTML creata al fine d’indurre l’utente nel credere che la connessione in atto sia cifrata e quindi, la procedura di pagamento veritiera. In realtà gli elementi presentati sono puramente posizionati allo scopo d’ingannare la vittima. La homepage di presentazione inoltre, è molto simile a quella ufficiale impiegata da Microsoft per il proprio tool “Microsoft Security Essentials” (fig. 5, 6). Anche in questo caso, la somiglianza tra i due siti web ha intenti fraudolenti.

(fig. 5)

(fig. 6)

Note Aggiuntive

- L’articolo originale, scritto da Daniel Radu per il Techblog Microsoft è raggiungibile a questo Link.
- Le fotografie impiegate per questo articolo sono state ottenute da questo Link.