Gromozon e i suoi fratelli: Exploit su una vulnerabilita' dei PDF massacreranno milioni di computer italiani?

lunedì 29 ottobre 2007

Exploit su una vulnerabilita' dei PDF massacreranno milioni di computer italiani?

IMPORTANTE!!

E' noto da tempo che le versioni 8 e precedenti del famoso software di adobe, acrobat reader contengano una vulnerabilta' piuttosto seria. Ovviamente questa notizia non poteva non fare gola a molti crimininali informatici ed in particolare ai nostri carissimi amici russi di RBN.

Una notizia riportata dal seguente sito è davvero molto preoccupante e ne riporto il testo integralmente:

http://www.enews20.com/news_Russian_Hacker_Team_Responsible_for_Attacks_Using_PDF_Files_03356.html

By Daniel Nicholas
00:09, October 28th 2007

A security researcher has recently reported that the ongoing attacks using malicious PDF files are caused by one of the most notorious Russian hacker groups, called the Russian Business Network of RBN.

So, according to Ken Dunham, iSight Partners Inc.’s director of response, it is the Russian Business Network’s members that are behind the recent attacks that use malware-armed PDF attachments. These malicious PDF files have started to appear in the users’ email accounts’ inboxes starting this Tuesday and they have already started to succeed in infecting the Windows systems, which have been their initial targets.

This type of attack is installing on the infected computer system a pair of rootkit files that “sniff and steal financial and other valuable data”, as Ken Dunham has said. The computers could easily get infected because the Russian cybercrimilas use PDF documents that seem to be quite all right. However, the corrupted PDF files are being sent through spammed emails and arrive with filenames such as YOUR_BILL.pdf, BILL.pdf, STATEMENT.pdf or INVOICE.pdf

The Russian hackers have exploited the “mailto:” protocol vulnerability that has been disclosed by the U.K.-based security researcher Petko Petkov. The users have just to open the attacking PDF file, and the Trojan called Pidief.a is already launched and knocks out the Windows firewall. Pieces of malware are downloaded the computers is compromised. This is why this represents a highly dangerous type of attack and we all should be careful with the PDF spamm email.

Considerando il numero enorme di pc che contengono versioni di acrobat reader non aggiornate la situazione potrebbe diventare ben presto catastrofica.

Io stesso ho appena effettuato un controllo con secunia software inspector e sono risultato vulnerabile:

AGGIORNATE IMMEDIATAMENTE ACROBAT READER!

Su segnalazione di TNT cito questo interessantissimo articolo.

http://www.eweek.com/article2/0,1895,2209010,00.asp

Di questo scritto metto in evidenza un passaggio:

a group affiliated with the Gromozon Trojan and the LinkOptimizer Trojan attacks started to spread their own brand of malware using a variation on the PDF exploit, he said.
Using names like "report.pdf" and "debt.2007.10.31.816537.pdf", the PDF file installs several different pieces of malware, including the Zeus variant of the PRG Trojan. It uses anti-debug/anti-VMware tactics to evade analysis and slowly downloads other files to the infected host via BITS (Background Intelligent Transfer Service), a lightweight HTTP-based protocol that is usually allowed through firewalls because it's what Microsoft Update uses, Jackson said.
The new PDF malware is communicating back to servers that are not on the Russian Business Network, but instead have addresses in Malaysia, although SecureWorks is detecting data on the malware that's in Russian.

Forse siamo alla vigilia di un nuovo devastante attacco della portata simile se non superiore a quella di gromozon/linkoptimizer da parte dei soliti noti

18 commenti:

TNT ha detto...: Questa e' ancora piu' interessante:

http://www.eweek.com/article2/0,1895,2209010,00.asp

PS: Mauro, "sandboxalo" Acrobat Reader. :) Io uso Foxit Reader ma l'ho sandboxato, non fidarsi e' meglio.; 30 ottobre 2007 alle ore 00:26
maverick ha detto...: Porca miseria. Pensavo che stesse per piovere ma qui invece si rischia katrina.

Ma il problema non sono io. Se attaccano l'italia ci sara' una catasfrofe anche se adesso forse li conosciamo un pochino meglio questi infamoni; 30 ottobre 2007 alle ore 00:41
Edgar Bangkok ha detto...: L'unica cosa positiva e' che per il momento mi pare che le mails di spam con allegato pdf siano tutte in inglese...
o ce ne sono gia' in giro 'personalizzate' per il 'mercato' italiano ?

Edgar; 30 ottobre 2007 alle ore 10:15
TNT ha detto...: Io ne ho viste solo in inglese. Pero' confermo che con ogni probabilita' c'e' dietro la mano di quelli di gromozon (o degli stessi che hanno scritto il malware per quelli di gromozon...) perche' in effetti gli eseguibili del downloader sono molto, ma molto simili a quelli utilizzati dagli ultimi tempi da gromozon (non si tratta del "vecchio" gromozon del 2006, ma di quello che Symantec chiama Trojan.LinkOptimizer.b).; 30 ottobre 2007 alle ore 14:44
maverick ha detto...: Quello che temo è ci sia un nuovo violentissimo attacco verso il nostro paese da parte di questa organizzazione criminale . Mi chiedevo se i pdf malevoli gia' siano prensenti su siti civetta .... per adesso l'articolo parla di spam via mail; 30 ottobre 2007 alle ore 19:27
Edgar Bangkok ha detto...: Penso che se vogliono veramente diffondere del malware via pdf in Italia l'unica soluzione valida sia quella delle emails , con testo italiano, e con allegato pdf. Moltissimi rimarrebbero ingannati dato che un pdf non e' considerato pericoloso dai piu'.
Per i siti, o riescono ad attaccarne un buon numero e ci mettono dentro il link in automatico al file pdf oppure non la vedo una soluzione semplice.
Edgar; 31 ottobre 2007 alle ore 04:27
Edgar Bangkok ha detto...: Dimenticavo... ho fatto un po di ricerche in giro ma per ora non sono riuscito a trovare siti che diffondano il file pdf pericoloso.
Qualcuno di voi ne ha trovati ?
Edgar; 31 ottobre 2007 alle ore 04:30
maverick ha detto...: Ho provato a controllare se avevano inserito il file in qualche sito ma forse questo tipo di attacco con pdf funziona meglio con la posta; 31 ottobre 2007 alle ore 08:45
Edgar Bangkok ha detto...: Si con la posta funziona meglio, anche la curiosita' di vedere cosa contiene il pdf ... tanto non e'considerato certo un file eseguibile.., magari dovrebbero cambiargli nome, non report , account ecc ma qualcosa di piu attraente.. chiaramente in italiano . e sono sicuro che ne impestano parecchi di pc.

Edgar; 31 ottobre 2007 alle ore 10:08
TNT ha detto...: E questa e' ancora piu' interessante: :)

http://groups.google.com/group/it.comp.sicurezza.virus/browse_thread/thread/8325a39c7b39d623/b1494081c9408ab0#b1494081c9408ab0

Se vai su (ATTENZIONE SITO MALEVOLO):
hxxp://adultbookings.com/lars/1970469866/1/player.php?m=MDEubXBn&id=1237&tpl=8%3Enew

E metti il seguente come user agent:

Mozilla/5.0 (iPod; U; CPU like Mac OS X; en) AppleWebKit/420.1 (KHTML, like Gecko) Version/3.0 Mobile/3A100a Safari/419.3

Vieni reindirizzato al malware DNS changer per Mac!

Ecco la rilevazione su Virustotal (nessuno):
http://www.virustotal.com/resultado.html?8756bd8fe0a1e5234c2bd281cd682e52; 31 ottobre 2007 alle ore 21:08
maverick ha detto...: Fatto. Cernel. Inc il che vuol dire i soliti str.....i
Appena ho tempo faccio un post.
Sei il mio eroe ... pero' ancora non ti ho su un messenger.
prrrrr
:-); 31 ottobre 2007 alle ore 21:38
TNT ha detto...: Mi piace questa:

Representatives for McAfee, Symantec, and Trend Micro all told vnunet.com that their researchers had been unable to find the trojan in the wild or obtain a sample from Intego. A spokesperson for Symantec noted that Intego "has a tendency to overhype things. "

http://www.vnunet.com/vnunet/news/2202526/alleged-phishing-trojan-targets

Vista la notizia mi ci sono voluti 30 secondi piu' o meno per trovare il malware facendo la cosa piu' logica: andando su uno sei siti dei finti codec e facendo finta di essere un Mac! bah! :(; 31 ottobre 2007 alle ore 21:50
maverick ha detto...: beh tu conosci chi c'è dietro quindi è piu' facile. Anche se non ho un mac lo so che è un file malevolo perche' quei siti sono messi su proprio per quel motivo.

beh io ho spedito il sample a kaspersky e me lo rigettano.
Non è interessante per loro; 31 ottobre 2007 alle ore 22:05
TNT ha detto...: Beh, si sbagliano.

Contiene uno script in perl che cambia il DNS mettendo 85.255.116.101 e 85.255.112.173 e aggiunge un cron job (che server per eseguire un task ad intervalli regolari) che rimette il DNS alle impostazioni iniziali. Tenta anche di contattare 85.255.121.37 via http, e si installa in /Library/Internet Plug-Ins; 31 ottobre 2007 alle ore 22:14
maverick ha detto...: ma possiamo andare a far saltare in aria i server di inhoster?
hanno fracassato i c............; 31 ottobre 2007 alle ore 22:53
lucass ha detto...: Sul sito Symantec, appare il nome di un nuovo malware, OSX.RSPlug.A probabile anzi sicuro che sia quello citato da tnt.

Ciao; 1 novembre 2007 alle ore 03:26
Edgar Bangkok ha detto...: Anche qui

http://www.disog.org/2007/11/mac-codec-trojan.html

Edgar; 1 novembre 2007 alle ore 06:34
lucass ha detto...: http://vil.nai.com/vil/content/v_143511.htm

Notte; 1 novembre 2007 alle ore 07:04