Un gruppo di hacker, presumibilmente russi, ha realizzato una versione più potente e sofisticata del già noto BlackEnergy Trojan che, nel 2008, produsse una serie di indefiniti danni a carico di obiettivi della Georgia, prima di essere individuato e neutralizzato.
 

Stavolta l'obiettivo sono gli istituti bancari russi e ucraini; lo riferisce Joe Sewart, ricercatore capo di SecureWorks, che racconta che già diverse credenziali bancarie sono state forzate e che il botnet ha inoltre avviato una attacco distribuito di tipo DDoS. La sofisticazione dell'attacco sta proprio nel fatto che, per bonificare i server bancari dal DDoS il livello di attenzione dei servizi di sicurezza si abbassa consentendo un più facile accesso agli account bancari.

A dispetto del nome, BlackEnergy 2 è stato completamente ridisegnato nel codice rispetto alla versione precedente, e presenta una sofisticata architettura modulare che consente facili modifiche utilizzando semplici plugin che modificano completamente l'individuabilità del malware senza necessità di accedere al codice sorgente.

Attualmente sono disponibili 3 di questi plugin ma gli specialisti temono soprattutto che questa tecnica, oltre a produrre nuovi moduli, invogli i produttori di virus a utilizzare questa nuova filosofia di produzione di malware che, sotto certi aspetti, ricorda l'infame e difficilmente individuabile ambiente dei virus polimorfi.

Nella sua relazione, Stewart ricorda che gli hacker russi, per tradizione, avevano sempre adottato un codice di comportamento che escludeva dagli attacchi nazioni appartenenti alla scomparsa Unione Sovietica. Ma i tempi sono cambiati, ricorda il ricercatore, e questo pseudocomportamento di tipo morale non ha più senso.

"Le regole sono cambiate" ricorda Stewart," e il denaro è denaro, da qualunque parte provenga; e così, regole precedentemente rispettate non hanno più alcun significato".

Finora non esiste alcun sospetto sugli autori, ma la relazione riferisce, tra le righe, che è stato possibile individuare, nel codice, alcune "impronte digitali", parti caratteristiche del codice stesso, che ricordano, in maniera sospetta, sistemi già utilizzati da un precedente autore.

Come payload supplementare, il cavallo di Troia ha la capacità di infettare workstation singole per prelevare dati sensibili non protetti e per distruggere il contenuto dei dischi rigidi.

Sebbene il contagio sia attualmente limitato alle aree indicate nel titolo, BlackEnergy 2 promette di diventare presto un protagonista del mondo malware 2010, oscurando anche la fama del trojan Zeus, uno dei più dannosi malware del 2009.

Una completa analisi del botnet è disponibile qui  

Fonte DarkReading