Kaspersky Lab, 'Drive-by download' la maggiore minaccia per gli utenti



Sono i cosiddetti 'drive-by download', malware scaricati inconsapevolmente da siti infetti che danneggiano i pc degli utenti, a guidare la classifica delle minacce piu' diffuse nel mese di novembre 2010. Secondo il bilancio mensile di Kaspersky Lab, nella Top 20 di novembre dei malware in Internet si sono piazzati nove exploit, tre redirector e uno script downloader utilizzati negli attacchi drive-by download.

Nel corso degli attacchi drive-by, il computer dell’utente può essere infettato da un malware anche quando si sta visitando un sito legittimo. Ricordiamo quindi come si svolge l’infezione dei computer nel caso dei drive-by download: dapprima l'utente viene reindirizzato al sito legittimo infetto oppure alla risorsa Web dei cybercriminali che ospita lo script redirect (uno dei più diffusi negli ultimi tempi è il Trojan-Downloader.JS.Pegel). L'utente viene reindirizzato allo script downloader che a sua volta lancia gli exploit. Di norma, gli exploit scaricano sul computer dell’utente il file eseguibile dannoso, che nella maggior parte dei casi è un backdoor, e ne avviano l’esecuzione. 

Secondo il bilancio mensile, nella TOP 20 dei malware in Internet si sono piazzati nove exploit, tre redirector e uno script downloader utilizzati negli attacchi drive-by download. Negli attacchi drive-by è il redirector ad innescare l’infezione. Tra i programmi malware più diffusi in Internet sono stati rilevati il Trojan.HTML.IFrame.dl (al 5° posto in classifica), il Trojan.JS.IFrame.pg (al 10° posto), il Trojan.JS.Redirector.lc (al 20° posto), il Trojan.JS.Redirector.np (al 25° posto) e il Trojan-Downloader.JS.Iframe.bzn (al 29° posto). Al 2° posto della classifica dei malware individuati in Internet si è piazzato lo script downloader Trojan-Downloader.JS.Agent.frs

Se l’utente capita nel sito ospitante il redirector che innesca l’infezione e viene reindirizzato al Trojan-Downloader.JS.Agent.frs, sul suo computer, per mezzo di exploit che sfruttano le vulnerabilità di Java, PDF e JavaScript, vengono scaricati e lanciati dei backdoor pericolosissimi, quali per esempio il Backdoor.Win32.Shiz e il Backdoor.Win32.Blakken (Black Energy 2).


Gli utenti che sono stati maggiormente esposti al rischio di infezione da parte del Trojan-Downloader.JS.Agent.frs sono localizzati in Russia, negli USA e in Gran Bretagna. I programmi di malware scritti nel linguaggio di programmazione multipiattaforma si stanno diffondendo con sempre maggiore velocità. Se fino a un anno fa, non si riscontravano o quasi casi di infezione da parte di malware di questo tipo, attualmente il loro numero continua a crescere. Negli ultimi due mesi il numero dei malware della famiglia Trojan-Downloader.Java.OpenConnection è notevolmente aumentato. 

Nel corso degli attacchi drive-by, questi programmi svolgono le stesse funzioni degli exploit, con l’unica differenza che per scaricare il programma maligno da Internet sul computer dell’utente non sfruttano delle vulnerabilità, ma il metodo “OpenConnection” della classe URL. In novembre, il 1° posto nella classifica dei malware in Internet è occupato, con notevole distacco dal secondo classificato, dal Trojan-Downloader.Java.OpenConnection.bu. I programmi che sfruttano il metodo “OpenConnection” si sono inoltre piazzati anche al 21° e al 26° della classifica.

In novembre sono stati individuati anche degli exploit che sfruttano le vulnerabilità e le peculiarità dei documenti PDF. In genere questi documenti sono scritti in linguaggio Javascript. Per numero di singoli download i rappresentanti di queste minacce, l’Exploit.JS.Pdfka.cyk e l’Exploit.JS.Pdfka.cyy, hanno occupato rispettivamente il 24° e il 28° posto in classifica. Tuttavia la tendenza che si registra vede un calo nel numero degli exploit PDF: negli ultimi sei mesi il numero medio delle risposte dell'antivirus ai malware della famiglia Pdfka è diminuito di quasi tre volte. Trovate il Report completo a questo indirizzo.

Nessun commento:

Posta un commento