Il malware può cambiare il sito web visitato dal browser?

Ci sono diversi modi per ottenere ciò:

• I malware che funzionano come proxy o direttamente collegati al browser (come con le estensioni del browser) possono modificare il contenuto del sito stesso, ovvero visiterà comunque il sito originale ma il contenuto verrà modificato durante il transito o verrà modificato all'interno il browser con script di iniezione o simili. Questo tipo di malware viene spesso utilizzato per iniettare pubblicità.
• Modificando le impostazioni DNS, verranno restituiti gli indirizzi IP controllati dagli hacker per un nome host invece degli indirizzi IP reali. In questo modo tutto il traffico verso questi host va all'attaccante che quindi può fornire contenuti diversi. Le impostazioni DNS possono essere modificate sul computer stesso o anche sul router. Nel caso successivo vengono effettuati tutti i sistemi nella rete locale. Vedi link per un esempio dettagliato.
• In alternativa, è possibile utilizzare middlebox compromessi (router, firewall, proxy) per modificare o reindirizzare il traffico.

Ho anche trovato rootkit che intercettano le richieste DNS e restituiscono i risultati corretti per utilità come nslookup, ma un IP diverso dai browser.

Un'altra possibilità è il malware che modifica il file / etc / hosts (o il file C: \ Windows \ System32 \ Drivers \ Etc \ Hosts). Non l'ho visto molto ultimamente, probabilmente perché è troppo facile da rilevare e prevenire.

Naturalmente, è perfettamente comune ed è una parte standard del set di funzionalità di tutti i malware commerciali moderni di oggi, ed è stato diffuso sin dalle prime versioni di ZeuS. La pagina visitata tramite l'URL legittimo è normalmente parzialmente o completamente modificata al volo.

Normalmente si ottiene iniettando nel processo del browser e agganciando le chiamate di sistema WinAPI, che contengono dati di richiesta e risposta HTTP non elaborati. Questo articolo contiene l'elenco completo delle chiamate API collegate per ZBot, se sei interessato.

Naturalmente, l'iniezione nel processo significa che il malware dovrebbe spesso indirizzare specifiche versioni del browser. Gli autori di malware elencano comunemente i browser e le loro versioni che il loro prodotto può iniettare e spesso aggiornano il loro malware subito dopo l'aggiornamento del browser di destinazione (se vogliono rimanere in cima al mercato).

ZeuS, le sue varie modifiche, SpyEye e la maggior parte degli altri robot con funzionalità di "iniezione del browser" presentano una caratteristica molto interessante: un piccolo "linguaggio di parsing e sostituzione" incorporato per i loro file di configurazione che consente agli utenti di malware di configurare le modifiche nelle risposte HTTP per pagine specifiche.

Questa lingua è fondamentale per la sostituzione del testo: è possibile specificare l'URL o la maschera URL per le risposte da modificare, quindi fornire un elenco di blocchi di sostituzione, ognuno dei quali specifica alcuni dati da inserire (il "corpo"); dati nella risposta originale dopo che il "corpo" deve essere inserito e / oi dati nella risposta originale prima di che il "corpo" deve essere inserito.

Le configurazioni scritte in questo "linguaggio", dette "iniezioni" o "webinject", sono un vero e proprio mercato. "Webinject" ben scritti indirizzati alle banche o ai sistemi di pagamento online, con i loro web-panel amministrativi ben scritti, possono vendere per centinaia di dollari.

Questo è principalmente usato, come hai detto correttamente, per il phishing. Tuttavia, è molto diverso dal phishing regolare essere molto più difficile da identificare. Viene anche spesso usato per pubblicità e clickfraud.