Gli esperti di sicurezza del gruppo di ricerca Cisco Talos hanno individuato un software dannoso attualmente installato su almeno 12 milioni di computer in tutto il mondo. La maggior parte delle installazioni è situata negli Stati Uniti, Australia, Giappone, Spagna, Regno Unito, Francia e Nuova Zelanda.
Il malware è stato sviluppato da una società di pubblicità francese chiamata Tuto4PC, in precedenza conosciuta come Eorezo Group. Secondo Cisco Talos l’azienda è già nota alle autorità francesi per aver installato software indesiderato sul PC degli utenti al fine di raccogliere informazioni personali.
Gli esperti di Cisco che hanno analizzato l’applicazione Tuto4PC OneSoftPerDay hanno individuato circa 7.000 campioni unici di trojan generici. Tutti i malware individuati sono caratterizzati da nomi che contengono la stringa “Wizz.” (e.g. “Wizzupdater.exe e” WizzInstaller.exe. “).
Tutti i campioni di malware generico individuati comunicano con uno dei seguenti domini:
- wizzuniquify.com
- wizztraksys.com
- auhazard.com
Gli esperti hanno scoperto che il software presenta caratteristiche tecniche di una tipica backdoor che consente di scaricare e installare anche altri codici malevoli, come System Healer.
Tuto4PC è in grado di rilevare ed eludere le principali misure di sicurezza installate sulle macchine degli utenti, ed è capace persino di rilevare la presenza di meccanismi sandboxing o strumenti di indagine utilizzati da esperti di computer forensics.
Dando uno sguardo al contratto che l’azienda francese sottopone ai suoi clienti in fase di installazione del software Tuto4PC OneSoftPerDay è possibile constatare che si informano gli stessi delle attività di raccolta dati per fini statistici, in particolare per studiare il pubblico su Internet.
Gli esperti di Cisco Talos sostengono che il software si comporta esattamente come una backdoor e che quindi consente ad un attaccante di prendere pieno possesso del PC su cui è installato, così come spiegato in un post sul blog pubblicato dal gruppo Cisco Talos.
Qual è la posizione dell’azienda Tuto4PC?
L’amministratore delegato del Gruppo Tuto4PC Franck Rosset ha spiegato che le tecniche di evasione implementate dal suo software sono finalizzate a render più facile l’installazione dell’applicazione evitando che software di sicurezza possano creare problemi agli utenti. L’azienda si è riservata di agire per vie legali, tuttavia è evidente che il loro software è in grado di eludere le misure di sicurezza, una circostanza inquietante e che lascia spazio a differenti scenari a dir poco preoccupanti.
Immaginate che un terzo attore riesca a compromettere l’azienda francese e a controllare i software presenti su 12 milioni di PC, questo attaccante avrebbe un botnet di grandi dimensioni da poter utilizzare per ogni genere di attività fraudolenta.
La prossima volta che installate un software leggete con attenzione le clausole che l’azienda produttrice vi sottopone: potrete evitare così spiacevoli sorprese.
Facebook Comments