ROMA – Un dispositivo infettato con “EyePyramid” – il malware usato secondo l’accusa dai fratelli Occhionero per spiare politici e istituzioni – entra “nel pieno controllo” dell’attaccante, che da remoto può seguire persino il testo digitato sulla tastiera dalla vittima. È quanto emerge dalla perizia tecnica eseguita per la procura di Roma dalla Mentat, una società specializzata in cybersecurity.
Quella finita nel mirino degli investigatori – confermano gli allegati all’ordinanza di custodia cautelare – è una nuova release di un malware “di origine probabilmente italiana, responsabile della compromissione di numerosi sistemi appartenenti a diverse società e professionisti”.
Il virus risulta essere stato utilizzato “da una massiccia e duratura campagna di attacco mirata, iniziata nel 2008 ed apparentemente gestita da tecnici dello stesso soggetto od organizzazione”.
Rispetto alle precedenti versioni, appare evidente agli esperti della Mentat “un’evoluzione sia sul fronte dell’ingegneria sociale (file ingegnosamente mascherati da documenti) che sul fronte prettamente tecnico. Gli strati di protezione del virus sono infatti aumentati, il suo schema di attivazione riesce facilmente ad ingannare i sistemi autorizzati di threat analysis e la sua natura dinamica e mutevole non consente regole di diagnostica efficaci e durature”.
L’obiettivo degli “intrusori” era palesemente “la sottrazione di informazioni sia generiche che specifiche: una volta infettata una macchina, l’attaccante può infatti richiedere l’invio di determinati file di interesse”.
“EyePyramid” colpisce “i sistemi Windows da XP e viene trasmesso tramite un messaggio e mail contenente un allegato malevolo associato ad un testo ben congegnato che induce l’utente ad aprirlo. Una volta eseguito l’allegato, il virus ottiene pieno controllo del sistema ospite ed è capace di registrare lista e contenuti dei file presenti sul sistema, inclusi documenti e messaggi/archivi mail; lista dei contatti nella rubrica email; credenziali di varia natura (risorse di rete, account email, password memorizzate nel browser); testo digitato sulla tastiera e interazione con i vari programmi in esecuzione; cronologia dei siti visitati e delle ricerche effettuate su internet; lista dei preferiti; database delle chat di Skype certificati degli antivirus; file in base a richieste specifiche dell’attaccante”. (agi)