Cisco avverte: una Backdoor è installata su almeno 12 milioni di PC

Gli esperti di sicurezza del gruppo di ricerca Cisco Talos hanno individuato un software dannoso attualmente installato su almeno 12 milioni di computer in tutto il mondo. La maggior parte delle installazioni è situata negli Stati Uniti, Australia, Giappone, Spagna, Regno Unito, Francia e Nuova Zelanda.

Il malware è stato sviluppato da una società di pubblicità francese chiamata Tuto4PC, in precedenza conosciuta come Eorezo Group. Secondo Cisco Talos l’azienda è già nota alle autorità francesi per aver installato software indesiderato sul PC degli utenti al fine di raccogliere informazioni personali.

Gli esperti di Cisco che hanno analizzato l’applicazione Tuto4PC OneSoftPerDay hanno individuato circa 7.000 campioni unici di trojan generici. Tutti i malware individuati sono caratterizzati da nomi che contengono la stringa “Wizz.” (e.g.  “Wizzupdater.exe e” WizzInstaller.exe. “).

Schermata 2016-04-29 alle 20.09.18

Tutti i campioni di malware generico individuati comunicano con uno dei seguenti domini:

  • wizzuniquify.com
  • wizztraksys.com
  • auhazard.com

Gli esperti hanno scoperto che il software presenta caratteristiche tecniche di una tipica backdoor che consente di scaricare e installare anche altri codici malevoli, come System Healer.

Tuto4PC è in grado di rilevare ed eludere le principali misure di sicurezza installate sulle macchine degli utenti, ed è capace persino di rilevare la presenza di meccanismi sandboxing o strumenti di indagine utilizzati da esperti di computer forensics.

Dando uno sguardo al contratto che l’azienda francese sottopone ai suoi clienti in fase di installazione del software Tuto4PC OneSoftPerDay è possibile constatare che si informano gli stessi delle attività di raccolta dati per fini statistici, in particolare per studiare il pubblico su Internet.

Gli esperti di Cisco Talos sostengono che il software si comporta esattamente come una backdoor e che quindi consente ad un attaccante di prendere pieno possesso del PC su cui è installato, così come spiegato in un post sul blog pubblicato dal gruppo Cisco Talos.

Qual è la posizione dell’azienda Tuto4PC?

L’amministratore delegato del Gruppo Tuto4PC Franck Rosset ha spiegato che le tecniche di evasione implementate dal suo software sono finalizzate a render più facile l’installazione dell’applicazione evitando che software di sicurezza possano creare problemi agli utenti. L’azienda si è riservata di agire per vie legali, tuttavia è evidente che il loro software è in grado di eludere le misure di sicurezza, una circostanza inquietante e che lascia spazio a differenti scenari a dir poco preoccupanti.

Immaginate che un terzo attore riesca a compromettere l’azienda francese e a controllare i software presenti su 12 milioni di PC, questo attaccante avrebbe un botnet di grandi dimensioni da poter utilizzare per ogni genere di attività fraudolenta.

La prossima volta che installate un software leggete con attenzione le clausole che l’azienda produttrice vi sottopone: potrete evitare così spiacevoli sorprese.

Facebook Comments

Previous articleCosa stiamo festeggiando?
Next articleDigital Health, chi?
Pierluigi Paganini è Chief Information Security Officer presso Bit4Id, un’azienda leader nella fornitura di soluzioni per l’Identity Management basate su infrastrutture PKI. Ricopre anche il ruolo di capo editore per la nota rivista statunitense Cyber Defense Magazine e vanta una esperienza di oltre venti anni nel settore della cyber security. La passione per la scrittura e la forte convinzione che la sicurezza sia una materia che la conoscenza sulla Cyber Security vada condivisa lo ha spinto a fondare il blog Security Affairs, recentemente insignito del titolo di “Top National Security Resource for US.” E' membro dei gruppi di lavoro del portale “The Hacker News" e dell’ ICTTF International Cyber Threat Task Force, è inoltre autore di numerosi articoli pubblicati sulle principali testare in materia sicurezza quali Cyber War Zone, ICTTF, Infosec Island, Infosec Institute, The Hacker News Magazine e molte altre riviste. E' membro del gruppo Threat Landscape Stakeholder Group dell'agenzia ENISA (European Union Agency for Network and Information Security). Ha pubblicato due libri "The Deep Dark Web" e “Digital Virtual Currency and Bitcoin” rispettivamente sulla tematiche inerenti Deep Web ed i sistemi di moneta virtuali.

LEAVE A REPLY

Please enter your comment!
Please enter your name here