Per Finjan sta iniziando l’era dei Trojan 2.0

E’ sempre più di moda “ribattezzare” con l’appellativo “2.0” le nuove tendenze che stanno caratterizzando web e applicazioni di nuova generazione. Alcuni ricercatori di sicurezza hanno iniziato a battezzare “Trojan 2.0” alcuni malware che stanno cominciando ad utilizzare la tecnologia RSS per comunicare.

Yuval Ben-Itzhak, CTO di Finjan, ha registrato la nascita di tre “inediti” trojan che sfruttano alcuni blog di limitata popolarità per ricevere istruzioni da parte di botnet o per redistribuire informazioni rubate sui sistemi infettati. Secondo Ben-Itzhak, gli autori di malware utilizzerebbero sempre più come “ponte” per compiere attività maligne siti web legittimi e servizi come Google e Yahoo proprio nel tentativo di far passare inosservati i vari componenti dannosi.

Per Finjan, insomma, il 2008 sarà l’anno in cui i malware cominceranno a fare pesantemente uso di blog e siti di social networking per diffondersi senza destare sospetti.

Ecco come Finjan descrive il comportamento di un ipotetico “Trojan 2.0”:
1. il personal computer dell’utente viene infettato da un “Trojan 2.0” utilizzando uno dei tanti metodi comunemente applicati (iframe o “code obfuscation”)
2. l’aggressore usa un server privato che provvede a pubblicare su blog od altri servizi simili, i comandi da inviare al “Trojan 2.0”. Tali comandi indicano le azioni che il malware deve compiere (sottrazione di password e di dati personali).
3. il personal computer infetto provvede a recuperare i comandi servendosi un legittimo aggregatore di feed RSS
4. i dati vengono estrapolati dal trojan dall’elenco dei feed RSS ed i comandi indicati vengono eseguiti sul personal computer infetto
5. tutte le informazioni illecitamente recuperate dal malware vengono poi ripubblicate online. Il sito Web 2.0 (ospitato, ad esempio, su MySpace.com o Googlepages) diviene così una sorta di “contenitore” temporaneo che agevola l’attività del malware.