Scoperto un worm che bypassa il filtro CAPTCHA di Gmail

di Gianluca Rini

Pubblicato 27 Aprile 2009
Aggiornato 12 Febbraio 2018 20:48

La società di sicurezza Bkis Honeypot ha scoperto nei giorni scorsi un nuovo particolare worm che riesce a mettere in crisi il CAPTCHA di Gmail. Il sistema di sicurezza, che garantisce un’iscrizione sicura effettuata da una persona in carne e ossa, in realtà viene aggirato in modo molto semplice dal malware all’atto della registrazione di un nuovo account.

Il malware è stato chiamato W32.Gaptcha.Worm dai laboratori che l’hanno scoperto e ha la capacità di “distruggere” letteralmente un account di posta elettronica aperto con il servizio di Google. Il worm è stato classificato con un livello medio di pericolosità, a causa della sua abilità e velocità di azione.

Una volta insediatosi nel sistema operativo, Gaptcha apre automaticamente una finestra di Internet Explorer, collegandosi alla pagina di Gmail che permette di registrare un nuovo account. L’utente assisterà da spettatore alle azioni del worm, ignaro di ciò che sta accadendo sul suo PC.

Innanzitutto se non fosse attiva una connessione ad Internet sul computer infetto, il worm crea un file.bat per eliminarsi da solo. Se invece ha la possibilità di agire, si connette ad un suo server per scoprire le caratteristiche della connessione attiva sul PC.

Nel campo relativo al nome e al cognome inserirà dei dati generati in modo casuale. Tra i nomi potrà inserire valori come Emily, Isabella, Desirae, Maryam, Kenia; nel campo del cognome potrà scrivere dati come Smith, Johnson.

A questo punto arriva il momento di bypassare il filtro CAPTCHA. Il worm scarica nella cartella dei file temporanei l’immagine dei caratteri da riconoscere, la invia ad un suo sito e successivamente l’immagine, una volta riconosciuta, viene rispedita indietro e quindi decodificata.

Il worm può concludere con successo la registrazione. Poi si collegherà all’account creato e cambierà le impostazioni necessarie per l’invio della posta elettronica. In seguito invierà le informazioni dell’account ai cybercriminali che controllano l’attività del malware.

Quando Google si accorgerà che qualcosa non va in quell’account provvederà a disabilitare la registrazione, ad impedire che l’utente possa accedere agli account Gmail esistenti o crearne di nuovi da quell’indirizzo IP, che verrà bloccato nelle liste di Google.

Quando il worm ha concluso la sua “opera di distruzione”, crea comunque un file che gli consentirà di auto-eliminarsi e far scomparire le sue tracce. Come sempre, il consiglio è quello di aggiornare l’antivirus con le ultime definizioni rilasciate dalle case produttrici e prestare molta attenzione.