Il redivivo trojan si è concretizzato nella variante Chthonic in grado di mimetizzarsi all’interno dei messaggi inviati dalla piattaforma di pagamento online
Cosa c’è di peggio di un virus che non muore mai? Certo, un virus che sa nascondersi dentro email legittime inviate dal sistema di pagamento più famoso della rete. I ricercatori di Proofpoint hanno infatti scoperto una variante del redivivo ZeuS, conosciuta come Chthonic, all’interno di messaggi di posta provenienti da account certificati PayPal, quindi nulla a che vedere con domini farlocchi che cercano di imitare quelli più conosciuti. Il problema è dunque serio, anche perché gli antivirus più aggiornati non riescono a individuare la minaccia e non buttano in automatico la mail nello spam, visto che in teoria non dovrebbe esserlo.
Cosa succede
Non è chiaro come ZeuS sia entrato nel sistema mailing di PayPal ma Proofpoint cerca di spiegarlo: “Il mittente non sembra essere un fake. Lo spam viene generato usando un account vero PayPal, registrato per l’occorrenza, oppure uno rubato. All’interno del messaggio ricevuto via posta, c’è un link al cui clic la vittima accede ad un portale che scarica in automatico il file paypalTransactionDetails.jpeg.js, contenete un eseguibile che è Chthonic. Ciò è reso possibile dal fatto che PayPal consente di inserire, all’interno del messaggio da inviare al compratore, una nota, abile a contenere anche indirizzi web. In questo modo, non si arriva mai sul portale di PayPal, ma il profilo legittimato consente di diffondere il link maligno senza troppi problemi. A quel punto il trojan si installa sul computer del malcapitato e diventa uno zombie controllato dagli hacker. Per fortuna la campagna sembra limitata al momento, con Google Analytics che indica come l’URL sia stato cliccato solo una trentina di volte.
