Mentre la cybersecurity diventa priorità per il governo italiano, Check Point presenta i malware più pericolosi che hanno colpito reti e device mobili nel mese di ottobre scorso. Check Point® Software Technologies Ltd. (Nasdaq: CHKP), il più grande fornitore specializzato in soluzioni di sicurezza a livello mondiale, rivela quali sono state a ottobre le famiglie dei malware più coinvolte negli attacchi a reti e dispositivi mobili a livello mondiale. L’Italia risulta essere il 40° Paese più attaccato al mondo, e il quarto a livello europeo dopo Lussemburgo, Polonia e Grecia. Il podio a livello mondiale se lo aggiudica la Tanzania, mentre il Paese meno vittima degli hacker è il Portorico.
L'incidenza di attacchi malware da trojan mobile bancari può essere sottovalutata, ma le mutazioni nei vettori di attacco stanno crescendo ad un ritmo allarmante. Secondo i risultati della ricerca "Mobile Cyber Threats" condotta da Kaspersky Lab e INTERPOL tra agosto 2013 e luglio 2014, i programmi infetti per dispositivi Android con lo scopo di prelevare illecitamente denaro sono stati la causa del 60 percento degli attacchi rilevati dai prodotti Kaspersky. La Russia è il paese più colpito dai criminali ma anche Ucraina, Spagna, Regno Unito, Vietnam, Malesia, Germania, India e Francia si sono trovati di fronte a questo tipo di attacchi.
Gli utenti di pornografia online sono stati a lungo gli obiettivi dei malware, e quelli che utilizzano dispositivi Android non fanno eccezione. Kaspersky Lab ha rilevato un componente nascosto della campagna malware che ad aprile di quest’anno ha introdotto Koler “police”, il ransomware mobile per i dispositivi Android. Questo componente include un ransomware basato su browser e un kit di exploit. Dal 23 luglio la componente mobile della campagna è stata interrotta perchè il server di comando e controllo ha iniziato ad inviare comandi di 'Unistall' alle vittime eliminando l'applicazione malware.
McAfee, il cui brand sarà sostituito dal nuovo marchio "Intel Security", come annunciato durante il keynote al Consumer Electronics Show 2014 di Las Vegas (ma lo scudetto di colore rosso continuerà a campeggiare sui software per la sicurezza), ha rilasciato il suo annuale Predictions Report 2014. I McAfee Labs hanno analizzato le tendenze 2013 attraverso il loro servizio McAfee Global Threat Intelligence (GTI) che prevede il panorama delle minacce per quest'anno.
Dal punto di vista del crimine informatico il 2013 è stato un anno segnato da un drammatico incremento del malware per Android, da una grande quantità di pericolosi malware per computer e da sofisticate campagne di eCrime. Per il prossimo anno G Data si aspetta che questo trend continui e prevede che il totale dei nuovi programmi malware per computer continuerà a aumentare. Secondo gli esperti di G Data uno dei più importanti eventi segnato in rosso sul calendario dei cyber criminali è l’attesa Coppa del Mondo di Calcio in Brasile.
Symantec Corp's (Nasdaq: SYMC) Internet Security Threat Report, Volume 18 (ISTR) oggi ha rivelato un aumento del 42 per cento nel corso del 2012 in attacchi mirati rispetto all'anno precedente. Progettato per rubare la proprietà intellettuale, questi attacchi di cyberspionaggio mirati stanno sempre più colpendo il settore manifatturiero, così come le piccole imprese, che sono l'obiettivo del 31 per cento di questi attacchi. Le piccole imprese sono gli stessi obiettivi attraenti e un modo per raggiungere infine le imprese più grandi tramite tecniche di "watering hole". Inoltre, i consumatori rimangono vulnerabili alle minacce ransomware e mobile, in particolare sulla piattaforma Android.
GFI Software ™ ha pubblicato il suo VIPRE ® report di dicembre 2012, una raccolta dei 10 più diffusi rilevamenti delle minacce incontrate il mese scorso. Nel mese di dicembre, i ricercatori delle minacce GFI hanno trovato una manciata di false app Google Play ™ nei mercati di hosting Trojan mobile, nonché un certo numero di campagne e-mail di spam che propongono messaggi da Amazon ®, PayPal ™ e LinkedIn ®.
"I cybercriminali spesso fanno lo sforzo di creare siti web fasulli ed e-mail di spam che appaiono autentici, al fine di aumentare le possibilità di catturare utenti di sorpresa e infettare i loro PC", ha dichiarato Christopher Boyd, senior threat researcher di GFI Software. "Nel corso dell'ultimo anno, abbiamo visto i criminali informatici migliorare la loro capacità di fabbricare siti ancora più convincenti che predano gli utenti che si precipitano a fornire informazioni personali o installare applicazioni senza completamente indagare la legittimità della fonte. Gli utenti dovrebbero essere molto attenti in ogni situazione, prendendo il tempo di guardare gli URL e manualmente la navigazione verso i siti che si desidera visitare".
Gli utenti Android ™ alla ricerca di driver di Windows per i loro smartphone su Yahoo! hanno incontrato vari tipi di infezioni dllo stesso URL maligno lo scorso mese, a seconda del tipo di dispositivo che viene utilizzato per condurre la loro ricerca. Gli utenti che navigavano da un PC hanno avviato un download automatico di un cavallo di Troia, quando hanno cliccato sul link maligno, mentre gli utenti alla ricerca di un dispositivo Android sono stati reindirizzati a un certo numero di siti web infetti pieni di falsi risultati di ricerca.
Questi risultati portano ai mercati di false Google Play app che ospitano due tipi di Trojan Android, simili a quelli del Boxer Trojan, che hanno dirottato il telefono della vittima e inviato messaggi SMS a numeri premium. Gli utenti di LinkedIn sono stati vittime di una campagna di e-mail spam che ha inviato messaggi che indicano che un altro membro ha chiesto di collegarsi sul popolare sito di social networking. Gli utenti che hanno fatto clic sul link per accettare l'invito sono stati inviati a uno dei tanti siti web compromessi contenenti codice Blackhole Exploit Kit che li ha reindirizzati a un sito che ospita il Trojan Cridex.
I clienti di Amazon sono stati anche vittime di una campagna simile che ha inviato e-mail travestite da conferme d'ordine, ricevute, o conferme di ordine Kindle ™ e-book.
Il mese scorso, lo stesso Trojan ha contagiato anche i sistemi di vittime di spam che hanno ricevuto e-mail di PayPal fraudolente in modo falso, sostenendo che il loro pagamento di considerevoli dimensioni era stato elaborato per un aggiornamento del sistema operativo Windows ® 8.
I link contenuti nella e-mail hanno portato a siti con exploit Blackhole che servono Cridex. Tutte le truffe di cui sopra predano gli utenti sulla convinzione che stavano visitando siti autentici e necessaria l'attiva partecipazione da parte delle vittime che avevano bisogno di cliccare su link pericolosi all'interno delle email di spam. Ognuno avrebbe potuto evitata semplicemente verificando che gli indirizzi email utilizzati dai mittenti e gli URL a cui ogni link indirizzava sono stati associati con i siti web di fiducia e organizzazioni.
Top 10 delle minacce di dicembre
Individuazioni
GFI delle minacce top 10 del rilevamento che è stato compilato a partire dai dati di scansione raccolti da decine di migliaia di clienti VIPRE Antivirus che fanno parte di GFI ThreatNet ™ sistema automatico di rilevamento delle minacce. ThreatNet statistiche hanno rivelato che adware hanno dominato il mese, prendendo quattro dei primi 10 posti.
Informazioni su GFI Labs
GFI Labs è specializzata nella scoperta e analisi delle vulnerabilità e malware pericolosi. Il team di specialisti di sicurezza dedicati studia attivamente nuove epidemie di malware, la creazione di nuove definizioni delle minacce su una base costante per prodotti VIPRE antivirus home e business.
Informazioni su GFI
GFI Software fornisce la sicurezza web e mail, archiviazione e software fax, networking e la sicurezza e ha ospitato soluzioni IT per aziende e piccole medie imprese (PMI) con una vasta comunità di partner globali. I prodotti GFI sono disponibili sia come soluzioni on-premise, nel cloud o come un ibrido di entrambi i modelli di delivery. Con premiata tecnologia, una strategia di prezzi competitivi, e una forte attenzione alle esigenze specifiche delle piccole e medie aziende, GFI soddisfa le esigenze IT delle organizzazioni su scala globale.
La società ha uffici negli Stati Uniti, Regno Unito, Austria, Australia, Malta, Hong Kong, Filippine e Romania, che insieme supportare centinaia di migliaia di installazioni in tutto il mondo. GFI è orientata alla collaborazione con migliaia di partner in tutto il mondo ed è anche un Microsoft Gold Partner ISV.
Disclaimer: Tutti i nomi di prodotti e aziende qui menzionati possono essere marchi commerciali dei rispettivi possessori. Per quanto ci è dato conoscere, al momento della pubblicazione di questo documento tutti i dettagli sono corretti; le presenti informazioni sono tuttavia soggette a modifica senza preavviso.
ESET, il leader mondiale nella protezione proattiva digitale con un track record di 25 anni di sviluppo di premiata tecnologia, ha pubblicato la sua revisione annuale delle tendenze delle minacce dell'anno passato e compilato le previsioni per il 2013. Secondo il nuovo rapporto, il Threatscape del 2013 vedrà una crescita significativa dei malware mobile e le sue varianti, la propagazione del malware in aumento attraverso siti web e il continuo aumento di botnet e attacchi sulla nuvola con conseguente perdita di informazioni.
Nell'ultimo anno, si è registrato un notevole aumento del malware mobile. I dispositivi in esecuzione sulla piattaforma Android ™ hanno attirato l'attenzione dei programmatori malintenzionati che hanno assunto un interesse immediato per il targeting di questo mercato dinamico e in crescita. Secondo la società di ricerche di mercato IDC, nel corso del primo trimestre del 2012, Google ha registrato anno su anno la crescita del 145 per cento nelle spedizioni del suo sistema operativo Android per smartphone.*
Sulla base della combinazione di una maggiore quota di mercato, utilizzo di modelli in continua evoluzione, e l'attuale elevato livello di programmi maligni destinati a dispositivi mobili, ESET prevede una crescita esponenziale del malware mobile nel 2013. La società ritiene inoltre che i malware diventano più complessi, ampliando così la gamma di azioni pericolose che possono essere eseguite su un dispositivo infetto.
Il numero di famiglie di malware che prendono di mira la piattaforma Android (codici maligni che sono abbastanza diversi per avere una classificazione unica) è passato da 52 famiglie, nel novembre del 2011 a 56 famiglie di oggi. Anche se questa cifra non è aumentata in modo drammatico nel corso del 2012, mostra che il numero di firme e varianti continua a crescere. Indipendentemente dal numero di famiglie di malware, ESET si aspetta che il numero di minacce finalizzate alla piattaforma Android continuino a crescere, più o meno allo stesso modo in cui accade con sistema operativo Windows ®.
ESET classifica i comportamenti delle famiglie e delle azioni dannosi (payload) effettuate da malware su dispositivi basati su Android nel modo seguente: il furto di informazioni (spyware), distribuzione di numeri SMS a pagamento, e la trasformazione di macchine in zombie (reclutamento botnet). La maggior parte di queste famiglie di malware sono destinate a sottoscrivere la vittima a numeri di messaggistica a pagamento. Tuttavia, ci sono le minacce più gravi che possono trasformare questi dispositivi in zombie.
Questo accade quando i criminali informatici accedono ai dispositivi di installare in remoto altri codici maligni, rubare dati particolarmente desiderabili, e modificare i parametri di configurazione. Il numero di varianti di malware per la piattaforma Android è aumentato anche nel 2012. Una variante è una versione modificata di un programma specifico e notoriamente dannoso. E' importante notare che per ogni nuova variante principale che emerge, il team di ricerca ESET aggiunge un suffisso in ordine alfabetico che cambia man mano che aumenta la quantità.
Nel 2013, ESET si aspetta anche di vedere un cambiamento nel modo in cui i criminali informatici propagano codice dannoso. La propagazione del malware a mezzo di dispositivi di memorizzazione rimovibili sta diminuendo in favore dell'uso di un intermediario per attrarre nuove vittime. Attualmente, l'intermediario preferito è un server Web che è stata compromesso da un terzo, al fine di ospitare minacce informatiche. I criminali informatici invieranno collegamenti ipertestuali via e-mail per guidare l'utente al malware in questione.
Questi stessi server compromessi memorizzano le informazioni rubate, al fine di evitare di coinvolgere personal computer, che possono essere meglio protetti e in cui la rilevazione e la pulizia di malware può causare ai criminali la perdita dei loro dati rubati. Dal 2010, i criminali informatici utilizzano malware progettato per rubare informazioni e generare entrate sono sempre più numerosi ed i loro attacchi più aggressivi.
Nel corso del 2011, c'è stato un notevole aumento del numero di botnet, e quest'anno i numeri hanno continuato ad aumentare costantemente a livello globale. Non vi è alcun dubbio che il worm Dorkbot è una delle minacce più prolifiche, in grado di trasformare il computer della vittima in uno zombie. L'archiviazione in the cloud è un'altra tendenza che è cresciuta nel 2012.
Secondo un comunicato stampa di giugno, nel 2012, Gartner ritiene che l'adozione di tablet e smatphone dotati di fotocamera guiderà le esigenze di storage dei consumatori. ** Anche se questa tecnologia rende più facile alle persone di accedere alle informazioni da praticamente qualsiasi dispositivo con accesso a Internet, rende anche tali dispositivi più suscettibili ad essere oggetto di attacchi informatici, che possono compromettere la sicurezza dei dati e causare fughe di informazioni.
Quest'anno ci sono stati una serie di attacchi informatici più importanti, tra cui il servizio cloud-based di stoccaggio Dropbox ™ in cui gli hacker hanno avuto accesso alcuni account con le credenziali di accesso rubate. Anche se questo non è stato un fallimento del servizio Dropbox ™ stesso, l'incidente ha spinto l'azienda a migliorare la sua sicurezza. Anche altre società sono state colpite da incidenti con perdita di informazioni nel corso del 2012 incluse LinkedIn ™, Yahoo! ™ e Formspring ™.
Aocietà di carte di credito mainstream come Visa ® e MasterCard ® hanno dovuto emettere avvisi quando un sistema di elaborazione dei pagamenti ha subito la perdita di informazioni. Questo evento ha interessato un totale di 56.455 account di entrambe le aziende, di cui 876 sono stati utilizzati per commettere qualche tipo di frode. Per ulteriori informazioni, scaricare il rapporto completo elaborato dal gruppo di ricerca a ESET Trends for 2013: Astounding growth of mobile malware.
Informazioni su ESET
ESET è in prima linea per l'innovazione della sicurezza, offrendo una protezione affidabile per rendere Internet più sicuro ad aziende e consumatori. IDC ha riconosciuto ESET come tra i primi cinque fornitori di protezione anti-malware e una delle aziende in più rapida crescita nella sua categoria. Fiducia da milioni di utenti in tutto il mondo, ESET è una delle soluzioni di sicurezza più consigliate in tutto il mondo.
ESET ha centri di ricerca di malware a Bratislava, San Diego, Buenos Aires, Singapore, Praga, Košice (Slovacchia), Cracovia (Polonia), Montreal (Canada), Mosca (Russia), e una vasta rete di partner per 180 paesi. Per ulteriori informazioni, visitare il sito http://www.eset.com/us o chiamare il numero +1 (619) 876-5400.
* Comunicato stampa IDC, "Android e iOS-Powered Smartphone espandere la propria quota di mercato nel primo trimestre, secondo IDC," 24 mag 2012. ** Comunicato stampa Gartner, "Gartner dice che i consumatori memorizzeranno più di un terzo del loro contenuto digitale nel Cloud entro il 2016," 25 giugno 2012.
McAfee ha rilasciato oggi la sua relazione annuale Threat Predictions 2013, mettendo in evidenza le principali minacce McAfee Labs prevede per il 2013. Utilizzando la sua intelligenza proprietaria Global Threat (GTI), il team dei McAfee Labs hanno analizzato i dati di malware, vulnerabilità e le minacce on-line nel 2012 per prevedere le tendenze, che aumenterano nel 2013. Nel prossimo anno, McAfee Labs prevede che le minacce ai dispositivi mobili diventeranno ancora più il focus dei criminali informatici, l'influenza del gruppo di hacktivisti "Anonymous" si ridurrà, e gli attacchi su larga scala che tentano di distruggere le infrastrutture aumenteranno.
Panda Security, The Cloud Security Company, illustra i principali trend per il 2013 nel segmento della sicurezza, tra i quali predominerà lo sfruttamento delle vulnerabilità da parte dei cyber criminali. Luis Corrons, direttore tecnico dei laboratori di Panda Security, spiega “è senza dubbio il metodo preferito per colpire e compromettere i sistemi in modo trasparente, ed è utilizzato dai cyber criminali e dalle agenzie di intelligence in tutto il mondo”.
GFI Software ha reso disponibile il VIPRE® Report, la classifica delle 10 principali minacce informatiche rilevate nel mese di Settembre 2012. Lo scorso mese GFI ha rilevato numerose campagne di cibercrime indirizzate a utenti di vari social network, che hanno utilizzato messaggi spam, inviati direttamente a Twitter® e ad una applicazione Pinterest. Gli utenti di smartphone e tablet Android™ si sono inoltre imbattuti in un malware mobile, camuffato da Grand Theft Auto® e da applicazioni per le Olimpiadi 2012.
“I consumatori oggi hanno l’esigenza di essere costantemente connessi, anche come conseguenza dell’esplosione del fenomeno degli smartphone e di accessi ad Internet sempre più diffusi. La connessione continua a social network, siti e posta elettronica, tuttavia, va di pari passo con l’aumento delle minacce malware, spam e phishing” ha dichiarato Christopher Boyd, senior threat researcher di GFI Software. “Il vantaggio di essere connessi 24 ore su 24 richiede una costante attenzione, per preservare dispositivi e informazioni personali dai cibercriminali”.
Numerosi utenti di Twitter hanno ricevuto messaggi contenenti link che li indirizzavano verso una pagina di login fasulla per scaricare un’applicazione “Twitter Video” su Facebook. Una volta inserite le loro credenziali Twitter, l’account veniva sequestrato e reindirizzato, attraverso una campagna spam, al download di un tool malware - Umbra Loader Botnet - cammuffato da aggiornamento di Flash Player.
Gli utenti di Pinterest, in cerca di un modo rapido e semplice per visualizzare immagini a schermo pieno senza dover cliccare su ogni singola pagina, sono stati oggetto del fake “Pin Photo Zoom”, un’applicazione che infettava il loro sistema con adware.
Infine, gli utilizzatori di Android mobile hanno rischiato costantemente, il mese scorso, di scaricare programmi dannosi, inclusa una falsa applicazione dal nome “Risultati delle Olimpiadi”, che inviava messaggi “hai vinto un premio” dal telefono della vittima.
I giocatori che utilizzano dispositivi mobile sono stati inoltre colpiti da una versione Android fasulla del noto video gioco Grand Theft Auto: Vice City che conteneva un Boxer Trojan camuffato da Flash Player. Il primo ottobre segna l’inizio del “National Cyber Security Awareness Month” (NCSMA) negli Stati Uniti. La campagna annuale, lanciata 11 anni fa dalla National Cyber Security Alliance in collaborazione con il Dipartimento di Sicurezza Nazionale, esorta gli utenti di PC a vigilare, per essere al sicuro quando sono online.
Per ulteriori informazioni relative alla campagna e per consultare i suggerimenti dei GFI Labs su come attrezzarsi per proteggersi su Internet, vi consigliamo di visitare i post più recenti pubblicati sul blog http://www.gfi.com/blog/labs. L’elenco delle 10 minacce principali di GFI Software è stato stilato analizzando le segnalazioni
provenienti dalle decine di migliaia di utenti dell’antivirus GFI VIPRE, che fanno parte del sistema
di rilevazione automatico delle minacce GFI ThreatNet™.
Le statistiche di ThreatNet indicano che
gli Adware occupano la prima metà delle minacce di questo mese:
Nome del virus/Tipologia/Percentuale
Trojan.Win32.Generic/Trojan/25,89
Yontoo(v)/Adware (General)/4,11
Trojan.Win32.Sirefef/Trojan/8,81
GamePlayLabs/Adware (General)/6,40
GameVance/Adware (General)/2,79
Wajam/Adware (General)/2,28
LooksLike.HTML.Blacole.a (v)/Trojan/1,05
Click run software (v)/Adware (General)/0,89
INF.Autorun (v)/Trojan/0,83
IstallBrain (fs)/Misc (General)/ 0,77
I GFI Labs sono specializzati nella scoperta e analisi delle vulnerabilità e dei malware pericolosi, che potrebbero essere sfruttati per attacchi via Internet ed e-mail. Il team di ricerca indaga attivamente sui nuovi attacchi malware, creando e testando nuove risorse per i prodotti VIPRE home e business. GFI Software rappresenta la migliore fonte di software per la protezione web e della posta elettronica, archiviazione e fax, networking e software di sicurezza, nonché di soluzioni IT hosted per le piccole e medie aziende, commercializzati attraverso un’estesa comunità di partner.
I prodotti GFI sono disponibili on-premise, nella ‘nuvola’ o in modalità mista. Grazie alla tecnologia vincitrice di numerosi riconoscimenti, a una politica tariffaria aggressiva e alla particolare attenzione rivolta alle esigenze specifiche delle piccole e medie aziende, GFI Software è in grado di soddisfare le esigenze delle PMI su scala mondiale. Come fornitore di infrastrutture per le PMI, GFI ha uffici negli Stati Uniti, Regno Unito, Austria, Australia, Malta, Hong Kong, Filippine e Romania, a supporto di centinaia di migliaia di installazioni in tutto il mondo.
GFI Software è un’azienda orientata alla collaborazione con il canale e si avvale infatti di migliaia di partner in tutto il mondo. Inoltre è un Microsoft Gold ISV Partner. Questo mese, GFI Software rilasciato VIPRE Antivirus 2013 e VIPRE Internet Security 2013 per gli utenti PC. Per ulteriori informazioni su VIPRE Antivirus 2013 o GFI Internet Security 2013, è possibile visitare il sito http://www.vipreantivirus.com/ o cliccare qui per scaricare una prova gratuita full-optional di 30 giorni.
Crisis, noto anche come Morcut, è un rootkit che infetta macchine sia Windows che Mac OS X utilizzando un falso programma di installazione di Adobe Flash Player. Scoperto nel mese di luglio da Symantec, Kaspersky ha poi riferito che arriva sul computer infetto tramite un file JAR utilizzando tecniche di ingegneria sociale. Nell'esempio portato da Sergey Golovanov di Kaspersky, il trojan Mac viene chiamato Backdoor.OSX.Morcut e viene distribuito per mezzo di un file JAR con il nome AdobeFlashPlayer.jar e firmato da VeriSign Inc.
Se l'utente consente l'esecuzione del file JAR, viene creato il file eseguibile payload.exe in una cartella temporanea e lo avvia. Tuttavia, è ora venuto alla luce che il malware può essere diffuso in quattro ambienti diversi, tra cui le macchine virtuali. Il trojan Crisis ha come obiettivi utenti Windows e Mac OS X ed è in grado di registrare le conversazioni di MSN Messenger, Skype, acquisire il traffico di messaggistica istantanea e tracciare i siti web visitati in Firefox o Safari e gli Url dei browser.
Si sviluppa attraverso attacchi di ingegneria sociale, ovvero cerca di ingannare gli utenti nell'eseguire l'applet Java dell'installer Flash di Adobe, rilevando il sistema operativo, ed eseguendo il programma trojan di installazione adeguato attraverso un file JAR. File exe aprono una backdoor che compromettere il computer. In origine, si è creduto che il malware potesse diffondersi solo su questi due sistemi operativi. Tuttavia, Symantec ha rilevato una serie di ulteriori mezzi di replica, come unità disco rimovibili, macchine virtuali e Windows Phone.
Un metodo è la possibilità di copiare se stesso e creare un file autorun.inf su un'unità disco rimovibile, un altro è quello di insinuarsi su una macchina virtuale VMware, e il modo finale è far cadere i moduli su un dispositivo Windows Mobile. Questo malware per la prima volta prende di mira le macchine virtuali, ma Symantec insiste sul fatto che questo non è dovuta a falle di sicurezza o vulnerabilità del software VMware sfruttate in sé, piuttosto il trojan Crisis sfrutta la forma di VM, che non è altro uno o più file sul disco di una macchina host.
Anche se la macchina virtuale non è in esecuzione, i file possono ancora essere montati o manipolati da codice dannoso. Takashi Katsuki scrive sul blog ufficiale di Symantec: "La minaccia ricerca l'immagine di una macchina virtuale VMware sul computer infetto e, se trova un immagine, la monta e poi si copia sulla stessa utilizzando uno strumento di VMware Player. Questo può essere il primo malware che tenta di diffondersi su una virtual machine". Symantec rileva il file JAR come Trojan.Maljava, la minaccia per Mac come OSX.Crisis, e la minaccia di Windows come W32.Crisis.
Crisis può anche attivare la webcam integrata e microfono per guardare e ascoltare, scattare screenshot istantanei di Safari e Firefox, registrare i tasti premuti, e rubare i contatti dalla rubrica della macchina. Tuttavia, vi è una buona notizia per gli utenti di dispositivi iOS e Android. Dato che usano il Remote Application Programming Interface (RAPI), questi sistemi non sono tenuti in ostaggio dalle vulnerabilità come i modelli di telefoni Windows.
"Questa variante Crisis non fa altro che, quando è eseguita su un sistema Windows, verranno montate tutte quelle immagini di unità virtuali che avete creato e poi farà una copia di quel sistema operativo all'interno del vostro sistema operativo. E' come se fosse un disco fisico come una chiavetta USB, e il malware si copia sul disco. Così, quando un utente infetto tenta di accedere a quelle immagini ancora una volta, il malware spierà senza che l'utente ne sia a conoscenza", scrive Lysa Myers sul blog di Intego.
Secondo Intego, che ha pubblicato una prima analisi Martedì a cui hanno fatto seguito ulteriori informazioni, il codice di Crisis si collega ad un software di una ditta italiana che vende un kit di strumenti di spionaggio per 245.000 dollari all'intelligence nazionale e alle forze dell'ordine. Intego ha definito Crisis come "una minaccia molto avanzata e completamente funzionale", in parte a causa del collegamento col codice del malware di origine con il software commerciale di spionaggio.
Come scrive Computer World, in una brochure di marketing [download PDF] della società italiana Hacking Team, il Remote Control System (RCS) viene descritto come "La suite di hacking per l'intercettazione del governo", che il software viene utilizzato in tutto il mondo, e si vanta che il software in grado di monitorare centinaia di migliaia di computer infetti o smartphone alla volta. Il software RCS è commercializzato dall'impresa italiana ed "è una soluzione progettata per eludere la crittografia per mezzo di un agent direttamente installato sul dispositivo per il monitoraggio".
Guarda caso, questa è una buona definizione di "malware", ed in particolare di rootkit. Se questa teoria è corretta, Crisis diventa dunque molto più pericoloso di Gauss, Mahdi, Stuxnet, Flame o Shamoon, il malware che sovrascrive il Master Boot Record. Perché mentre questi ultimi sembrano mirare al Medio Oriente, mentre Crisis non avrebbe un target geografico specifico. Il consiglio è quello di non installare il Flash Player mediante siti diversi da quello ufficiale di Adobe e di mantenere il software antivirus aggiornato alle ultime definizioni.
Secondo i dati raccolti tramite il Kaspersky Security Network (KSN), nel corso del secondo trimestre del 2012 le soluzioni anti-malware di Kaspersky Lab hanno rilevato e neutralizzato oltre 1 miliardo di oggetti nocivi. E' stata rilevata la distribuzione di programmi malware da ben 89,5 milioni di URL. Sono stati individuati 14.900 file relativi a software nocivi specificamente destinati a colpire il sistema operativo mobile Android. Rispetto al trimestre precedente, nel corso del periodo analizzato nel presente report il numero dei programmi Trojan appositamente sviluppati dai virus writer per attaccare la piattaforma mobile Android è in pratica quasi triplicato.
"Nel breve volgere di tre mesi, difatti, sono stati aggiunti alla nostra 'collezione' oltre 14.900 software nocivi", hanno dichiarato gli esperti di Kapserky Lab. Uno sviluppo così rapido dei programmi dannosi specificamente destinati a colpire il sistema operativo Android testimonia inequivocabilmente come un numero sempre maggiore di autori di virus si stia attivamente dedicando all’elaborazione di software dannosi per dispositivi mobili. Così come è avvenuto per i software dannosi rivolti alla piattaforma Windows, il repentino sviluppo del malware mobile ha generato la formazione di un vero e proprio mercato nero specializzato in ogni genere di servizi preposti alla sua diffusione.
I principali canali di distribuzione dei programmi nocivi per smartphone, tablet ed altri apparecchi mobili sono attualmente rappresentati dagli app store non ufficiali e dai programmi di partenariato. Circa la metà (49%) dei file malevoli analizzati e trattati da Kaspersky Lab nel corso del secondo trimestre del 2012 è costituita da Trojan multifunzionali di vario tipo, volti principalmente a realizzare il furto di dati dagli smartphone degli utenti (nominativi presenti nell’elenco dei contatti, indirizzi di posta elettronica, numeri di telefono e via dicendo); al tempo stesso, i suddetti software nocivi sono in grado di generare il download di moduli aggiuntivi dai server predisposti dai malintenzionati.
Esattamente un quarto dei programmi malware destinati alla piattaforma mobile Android è rappresentato dai cosiddetti Trojan-SMS. Sino ad un paio di anni fa, i suddetti programmi dannosi risultavano diffusi esclusivamente nei paesi ubicati nello spazio geografico precedentemente occupato dalle repubbliche dell’Unione Sovietica, così come in Cina e nel Sud-Est asiatico. "Al momento attuale, - spiegano gli esperti di Kaspersky Lab - tali software nocivi si stanno invece rapidamente propagando in ogni angolo del pianeta: basti pensare che, nel secondo trimestre del 2012, le nostre soluzioni antivirus hanno protetto nei confronti dei famigerati Trojan-SMS gli utenti di ben 47 diversi paesi".
Il 18% dei malware rivolti al sistema operativo mobile Android, individuati e neutralizzati nel corso del secondo trimestre del 2012, è rappresentato da programmi Backdoor. Si tratta, nella circostanza, di software dannosi malevoli che offrono ai cybercriminali l’opportunità di ottenere il pieno controllo del dispositivo contagiato. Difatti, è proprio sulla base dei Backdoor che vengono create le botnet mobili. E’ diminuito, rispetto al primo trimestre dell’anno in corso, il numero dei programmi dannosi - individuati dalle soluzioni anti-malware di Kaspersky Lab - appositamente elaborati dai virus writer per attaccare il sistema operativo Mac; nei database antivirus di Kaseprsky sono state difatti aggiunte soltanto 50 nuove firme in grado di rilevare e neutralizzare software dannosi destinati a Mac OS X.
A seguito dell’inattesa scoperta, nel precedente trimestre, dell’estesa botnet FlashFake, composta da oltre 700.000 computer targati Apple, la società di Cupertino si è occupata ancor più attivamente delle questioni inerenti alla sicurezza del proprio sistema operativo. Sono state ad esempio rilasciate alcune patch critiche per Oracle Java, contemporaneamente alle versioni per Windows. Apple ha inoltre annunciato nuove funzionalità di protezione che saranno implementate nella prossima versione del sistema operativo Mac OS X, quali l’impostazione di default relativa alla possibilità di effettuare esclusivamente l’installazione di programmi provenienti dallo store ufficiale, l’utilizzo di una specifica sandbox per le applicazioni scaricate dal negozio online, l’installazione automatica degli aggiornamenti, e così via.
Nel corso del secondo trimestre del 2012 hanno suscitato particolare clamore le notizie relative alla violazione dei database degli hash delle password relative agli account di alcuni servizi online particolarmente popolari presso il pubblico della Rete. Uno degli avvenimenti più eclatanti in tal senso è indubbiamente rappresentato dall’attacco hacker che ha portato alla pubblicazione online di una consistente porzione del database (ben 6,5 milioni di hash delle password) di LinkedIn. Per non divenire vittima di attacchi informatici del genere, gli utenti debbono in primo luogo ricorrere all’impiego di password sufficientemente lunghe e complesse, che non possano essere utilizzate dai malintenzionati nei cosiddetti “attacchi a dizionario”, spiegano gli esperti di Kaspersky Lab.
Non bisogna oltretutto dimenticare che l’uso di un’unica password per accedere a vari servizi online amplifica considerevolmente i possibili danni derivanti dal furto della stessa. Agli amministratori dei siti web, relativamente alla custodia delle password, consigliamo invece di utilizzare contemporaneamente, come minimo, hash e salt. Tuttavia, l’impiego di un algoritmo di hash rapido (quale può essere, ad esempio, SHA-1 o MD5) e del relativo salt, viste le notevoli potenzialità che sono attualmente in grado di dispiegare le GPU nel processo di raccolta delle password, può rivelarsi non sufficiente ad impedire la violazione dei database da parte degli hacker.
Una soluzione ben più efficace è indubbiamente rappresentata dall’impiego di algoritmi quali PBKDF2 (Password-Based Key Derivation Function 2) o “bcrypt”, i quali non solo utilizzano di default il salt crittografico, ma permettono allo stesso tempo di rallentare considerevolmente il processo di raccolta delle password. Il tema di maggior rilievo del secondo trimestre dell’anno in corso è tuttavia rappresentato dalla scoperta di Flame, il sofisticato programma malware utilizzato per compiere mirate operazioni di cyber-spionaggio. Si tratta di un software nocivo di notevoli dimensioni, per di più strutturato in maniera incredibilmente complessa. Il rapporto completo è disponibile a questo link: http://www.kaspersky.com/it/about/news/virus/2012/Evoluzione_delle_minacce_informatiche_nel_secondo_trimestre_del_2012
Android è un sistema operativo mobile molto diffuso, il 50% del mercato americano lo ha scelto. E però è anche il sistema preferito dai cybercriminali per diffondere virus e malware, anche attraverso false applicazioni e negozi di app non ufficiali. Purtroppo, le previsioni di inizio anno sono state rispettate in pieno, ma chi ritiene di aver già visto il peggio delle minacce per Android farà meglio a ricredersi.
Nell'ultimo trimestre il numero di app pericolose, infatti, è addirittura raddoppiato, passando da 10.000 a 20.000 in un solo mese e centinaia di migliaia di dispositivi sono stati infettati dal malware che è riuscito a farsi strada sul marketplace ufficiale Google Play. Gli ultimi dati raccolti dal team di esperti Trend Micro - i TrendLabs - testimoniano la reale portata del fenomeno delle minacce legate ad Android:
Nei primi tre mesi del 2012 il team ha identificato 5.000 applicazioni pericolose appositamente progettate per infettare i telefoni Android; un numero che nei mesi successivi si è più che quadruplicato.
Un aspetto ancora più preoccupante per gli utenti è dato dal fatto che persino Google Play, il marketplace ufficiale delle applicazioni gestito da Google, è stato violato con la presenza di 17 app pericolose scaricate più di 700.000 volte prima di essere identificate e rimosse dal sito.
Come sempre, l'obiettivo del cybercrimine è il guadagno economico a discapito delle vittime che vengono invitate con l'inganno a utilizzare servizi premium o a visualizzare spot pubblicitari, sottraendo dati sensibili o trasformando i telefoni in supporti di rete bot.
"L'aumento degli episodi di malware ai danni di Android dimostra quanto sia elevato l'interesse criminale nei confronti di questa piattaforma mobile, e in particolare del relativo sistema operativo”, ha spiegato Rik Ferguson, Director of Security Research and Communications di Trend Micro.
“Il cybercrimine si è sempre adattato ai comportamenti degli utenti e continua a farlo. La forte adozione del web mobile porta con sé nuove e remunerative occasioni di violazione dei dispositivi mobili da parte degli hacker, che vanno ad affiancarsi alle metodologie già esistenti. I consumatori devono prestare grande attenzione nel momento in cui scaricano e installano applicazioni, oltre a dotare i propri dispositivi mobili di soluzioni antimalware".
La tipologia più comune di applicazione pericolosa, che rappresenta il 30% di tutte quelle rilevate da Trend Micro, è quella che in apparenza risulta essere un programma del tutto legittimo. Esistono poi altre app dannose che consentono all'hacker di spiare un dispositivo monitorandone il segnale GPS, leggendone qualunque testo e i dati della rubrica. Queste due tipologie di minacce - Spy Tool e Spy Phone PRO+ - sono state rilevate di recente da Trend Micro come app scaricabili da Google Play.
Trend Micro invita gli utenti a ricordarsi che Android è un ecosistema aperto dove il livello di controllo sulle applicazioni, prima che queste vengano autorizzate su Google Play, è minimo; questo significa che il sito comporta un numero di rischi maggiore rispetto al più controllato App Store di Apple. Gli store indipendenti possono comportare problemi di sicurezza addirittura più elevati, pertanto è importante prestare molta attenzione a questi siti nel momento in cui si scarica qualcosa; ad esempio, è preferibile non scaricare app normalmente a pagamento, nel momento in cui sono offerte come gratuite.
Informazioni su Trend Micro
Trend Micro Incorporated (TYO: 4704;TSE: 4704), leader globale nella sicurezza per il cloud, crea un mondo sicuro nel quale scambiare informazioni digitali, fornendo a imprese e utenti privati soluzioni per la sicurezza dei contenuti Internet e la gestione delle minacce. Come pionieri della protezione dei server con più di 20 anni di esperienza, offriamo una sicurezza di punta per client, server e in-the-cloud che si adatta perfettamente alle esigenze dei nostri clienti e partner, blocca più rapidamente le nuove minacce e protegge i dati in ambienti fisici, virtualizzati e in-the-cloud.
Basati sull’infrastruttura in-the-cloud Smart Protection Network™ di Trend Micro™, le tecnologie, i prodotti e servizi per la sicurezza bloccano le minacce là dove emergono, su Internet, e sono supportati da oltre 1.000 esperti di threat intelligence di tutto il mondo. Informazioni aggiuntive su Trend Micro Incorporated e su soluzioni e servizi sono disponibili su TrendMicro.it. In alternativa, tenetevi informati sulle nostre novità tramite Twitter all’indirizzo @TrendMicroItaly.
McAfee ha rilasciato il Report McAfee sulle minacce: primo trimestre 2012, che rivela una crescita del malware relativamente a tutte le piattaforme. Il report indica inoltre che nel primo trimestre, le minacce malware indirizzate ai PC hanno raggiunto i massimi livelli degli ultimi quattro anni, e che sono cresciute anche quelle rivolte alla piattaforma Android. Anche li malware verso i Mac è aumentato, lasciando presupporre che il malware totale potrebbe raggiungere i 100 milioni entro l'anno.
"Nel primo trimestre del 2012, abbiamo già individuato 8 milioni di nuovi campioni unici di malware, che dimostra come gli autori di malware stiano continuando incessantemente a sviluppare nuove minacce," ha dichiarato Vincent Weafer, senior vice president di McAfee Labs. "Le competenze e le tecniche che sono state perfezionate sui PC vengono ora estese ad altre piattaforme, come quelle mobile e Mac, e via via che queste piattaforme si diffonderanno negli ambienti domestici ed aziendali, cresceranno di pari passo gli attacchi, motivo per cui tutti gli utenti, a prescindere dalle piattaforme utilizzate, dovrebbero prendere precauzioni per la sicurezza dei dispositivi e la navigazione sicura".
Impennata del malware mobile
Il malware diretto ai dispositivi mobili ha visto una significativa crescita durante il primo trimestre di quest’anno, con un numero cumulativo di esemplari di malware mobile raccolti pari a 8.000. Questo significativo aumento si deve in parte anche ai progressi nella rilevazione e catalogazione dei campioni di malware mobile da parte di McAfee Labs.
Una delle principali motivazioni che sta alla base della diffusione di malware sulla piattaforma Android si conferma l’intento di ottenere dei guadagni, come ha recentemente dichiarato Carlos Castillo, ricercatore McAfee Labs, in un post pubblicato sul blog McAfee. A fine trimestre sono stati raccolte e identificate fino a quasi 7000 minacce indirizzate verso Android, pari a un aumento di oltre il 1200% rispetto ai 600 campioni raccolti al termine del quarto trimestre 2011. La maggior parte di queste minacce provengono da app store di terze parti, e tipicamente non si trovano nello store ufficiale di Android.
Crescita delle minacce dirette a PC e Mac
Alla fine del 2011, McAfee Labs aveva raccolto più di 75 milioni di campioni di malware. Il primo trimestre 2012 ha registrato il maggior numero di malware indirizzati ai PC rilevati trimestralmente negli ultimi quattro anni. Questo aumento ha portato il totale a 83 milioni di esemplari unici di malware entro la fine del primo trimestre, rispetto ai 75 milioni di campioni registrati alla fine del 2011. Tale crescita è stata guidata da significativi aumenti di rootkit, una forma di malware nascosto, tra cui i password stealers, che hanno raggiunto circa 1 milione di nuovi esemplari registrati nel primo trimestre. In Q1, l’e-mail ha continuato ad essere uno strumento privilegiato per diffondere attacchi altamente mirati, e quasi tutti gli attacchi mirati di phishing sono iniziati con uno spear phishing contenuto in un messaggio di posta elettronica.
Mentre il Trojan Flashback ha iniziato a mietere danni tra gli utenti Apple Mac nel mese di marzo, il malware diretto alla piattaforma Mac stava già crescendo a ritmo costante. Nonostante l’aumento, il malware per Mac è ancora molto meno diffuso di quanto non lo sia il malware per PC, con circa 250 nuovi esemplari di malware per Mac, e circa 150 nuovi falsi anti-virus per Mac, nel primo trimestre.
Cala lo spam, crescono le botnet
I livelli di spam globale sono scesi a poco più di 1.000 miliardi di messaggi di spam al mese registrati entro la fine di marzo. Le diminuzioni sono state più significative in Brasile, Indonesia e Russia, mentre degli aumenti di spam sono stati segnalati in Cina, Germania, Polonia, Spagna e Regno Unito.
La crescita delle botnet nel primo trimestre è aumentata, raggiungendo un picco di quasi 5 milioni di infezioni. Colombia, Giappone, Polonia, Spagna e Stati Uniti sono state le aree con l'aumento più evidente di botnet, mentre Indonesia, Portogallo e Corea del Sud sono le regioni in cui è proseguita la tendenza al calo precedentemente registrata. La botnet più diffusa nel primo trimestre è stata Cutwail, con più di 2 milioni di nuove infezioni.
All’interno del report, McAfee inserisce un prospetto dei prezzi di una botnet venduta sul mercato nero. Citadel, una variante della botnet Zeus, con specializzazione in furto dei dati finanziari, ha un costo di 2.399 dollari più 125 dollari per l’"affitto" di un pannello di amministrazione e gestione della botnet, oltre a un extra di 395 dollari per gli aggiornamenti automatici per raggirare gli antivirus. Per Darkness, by SVAS/Noncenz, una botnet con specializzazione in attacchi Distributed Denial of Service, le opzioni vanno da 450 dollari per il pacchetto base a circa 1.000 dollari per le offerte più avanzate.
La principale fonte degli attacchi sono gli Stati Uniti
Una macchina compromessa viene spesso utilizzata come proxy per spam, botnet, denial of service, o attività dannose di altro tipo. Queste macchine possono essere situate in qualsiasi parte del mondo, ma nel primo trimestre di quest’anno, la maggior parte si è rivelata essere collocata negli Stati Uniti. Sulla base dei dati raccolti dalla Global Threat Intelligence di McAfee™, la maggior parte degli attacchi SQL-injection e XSS (cross-site scripting, attacchi indirizzati alle vulnerabilità dei siti web dinamici), sono partiti prevalentemente dagli Stati Uniti, dove è stato registrato anche il maggior numero di vittime di entrambi gli attacchi. Gli Stati Uniti attualmente ospitano la maggior parte dei server di controllo delle botnet, e la stragrande maggioranza dei nuovi siti web malevoli, con una media di 9.000 nuovi siti pericolosi registrati al giorno.
A proposito di McAfee
McAfee, società interamente controllata da Intel Corporation (NASDAQ:INTC), è la principale azienda focalizzata sulle tecnologie di sicurezza. L'azienda offre prodotti e servizi di sicurezza riconosciuti e proattivi che proteggono sistemi e reti in tutto il mondo, consentendo agli utenti di collegarsi a Internet, navigare ed effettuare acquisti sul web in modo sicuro. Supportata dal suo ineguagliato servizio di Global Threat intelligence, McAfee crea prodotti innovativi destinati a utenti consumer, aziende, pubblica amministrazione e service provider che necessitano di conformarsi alle normative, proteggere i dati, prevenire le interruzioni dell'attività, individuare le vulnerabilità e monitorare e migliorare costantemente la propria sicurezza. McAfee è impegnata senza sosta a ricercare nuovi modi per mantenere protetti i propri clienti. http://www.mcafee.com
Recentemente, Facebook ha annunciato l'acquisizione di Instagram - una popolare applicazione di photo-sharing per smartphone, rilasciando una versione di Android più d'una settimana fa. E' stato riferito che Facebook ha pagato circa 1 miliardo di dollari in contanti e azioni per la suddetta acquisizione. "L'acquisizione segna un'eccezione nella strategia di Facebook, che ha sempre comprato le piccole imprese come un mezzo per assumere ambite squadre di ingegneri. Facebook interrompe in genere i prodotti della società acquisita o costruisce programmi simili che integra nel proprio servizio", scrive Reuters. E i criminali informatici, abbastanza presto, hanno iniziato a trarre vantaggio dalla popolarità di Instagram.
Sito internet che riporta al download del falso Instagram
Gli esperti di Trend Micro hanno infatti scoperto una pagina web fasulla che contiene una versione canaglia di Instagram. La falsa pagina web imita la pagina Instagram di download legittimo. I riquadri rossi indicano i link cliccabili che portano al download della falsa applicazione Instagram. Come riferimento, abbiamo effettuato uno screenshot del sito ufficiale che ospita l'applicazione legittima.
Sito web ufficiale dell'app Instagram legittima
Ricordiamo che l'applicazione Instagram, consente agli utenti di aggiungere filtri ed effetti alle foto scattate sul proprio iPhone e dispositivi Android e di condividerle con con gli amici. Inoltre gli esperti di Trend Micro hanno individuato una falsa applicazione di Angry Birds Space su un sito web canaglia ospitato in Russia.
Hosting della falsa applicazione Angry Birds Space
Angry Birds Space fa seguito alla famoso gioco Angry Birds su Facebook, dove degli uccellini combattivi non la prendono bene se qualcuno prova ad infastidirli. Come si intuisce facilmente dal titolo, questa volta le schermaglie si spostano lontano nello spazio. Di seguito lo screenshot della pagina dell'applicazione legittima.
Sito web ufficiale dell'app Angry Birds Space
Entrambe le applicazioni malware vengono rilevate come ANDROIDOS_SMSBOXER.A. Sulla base dell'analisi iniziale da parte degli esperti di Trend Micro, il malware chiederà agli utenti di consentire l'invio di una query utilizzando i numeri brevi per attivare presumibilmente l'applicazione. In realtà, questo malware invia un messaggio a numeri specifici. L'applicazione Rogue connette anche a siti specifici, magari per scaricare altri file sul dispositivo. Nei giorni scorsi, Trend Micro ha individuato diversi altri domini russi che ospitano pagine web fasulle che propongono come pagine di download alcune popolari applicazioni Android.
Tra le applicazioni utilizzate in questo schema sono incluse Fruit Ninja Fruit, Temple Run e Talking Tom Cat. "Gli utenti sono invitati a rimanere cauti prima di scaricare Android apps, specialmente quelle di terze parti ospitate sull'App store", raccomanda Karla Agregado, fraud analyst di Trend Micro. Trend Micro ™ Smart Protection Network ™ impedisce l'accesso al sito web malevolo in modo che gli utenti sono protetti dal cliccare e scaricare le false applicazioni Instagram e Angry Birds Space. Inoltre, Trend Micro Mobile Security rileva le .APK per proteggere gli smartphone Android dalle dannose routine del malware.
Il 2012 è arrivato, le feste di Natale sono finite, e i cyber criminali si apprestano ad iniziare i loro lavoro (semmai l'avessero sospeso). Oltre agli attacchi mirati per le festività natalizie i criminali online stanno già programmando le loro strategie per il 2012. Gli esperti dei G Data Security Labs hanno analizzato i dati in loro possesso ed individuato quelli che saranno i probabili trend del 2012 in fatto di malware.
Kasperky Lab ha pubblicato il rapporto mensile dei malware in circolazione e attacchi in rete a novembre 2011. Nel corso del mese nei computer degli utenti dei prodotti Kaspersky Lab:
sono stati respinti 204.595.286 attacchi della rete;
sono stati bloccati 89.001.505 tentativi di infezione via Internet;
sono stati individuati e neutralizzati 238.045.358 programmi malware (tentativi di infezione locale);
sono state registrate 98.047.245 attivazioni di analisi euristiche.
Per quanto riguarda le minacce più classiche, novembre si è rivelato un mese relativamente tranquillo. Gli autori di programmi dannosi hanno continuato a sviluppare le tecnologie esistenti, mentre i programmatori di virus non hanno fatto registrare invenzioni di rilievo.
TOP 10 dei malware in Internet
L'argomento del mese: DUQU, indagini in corso
A novembre il trojan Duqu, individuato in settembre e reso noto al pubblico in ottobre, è restato saldamente al centro dell'attenzione degli esperti e dei mass media. La principale ragione di tanto interesse è stata l'individuazione del metodo di intrusione di questo programma dannoso nei sistemi attaccati. L'attacco veniva condotto attraverso la posta elettronica per mezzo di un documento MS Word contenente l'exploit per una vulnerabilità in precedenza sconosciuta del sistema operativo Windows. L'errore nel componente di sistema win32k.sys consentiva di eseguire il codice dannoso dal file con i privilegi di amministratore.
Questa scoperta costituisce l'ennesimo parallelo tra Duqu e Stuxnet poiché anche quest’ultimo sfruttava vulnerabilità sino ad allora sconosciute. Già in ottobre abbiamo ipotizzato che l'individuazione del dropper Duqu potesse costituire la chiave principale per svelare il mistero dell'origine del trojan e che il dropper potesse contenere exploit per vulnerabilità simili. Gli esperti di Kaspersky Lab sono riusciti a individuare l'e-mail originaria con il dropper e l'exploit, inviata ad una vittima in Sudan. L'analisi dettagliata è stata pubblicata nel blogpost. Kaspersky Lab ha aggiunto tempestivamente ai suoi prodotti l'aggiornamento per individuare l'exploit.
È da notare che all'inizio di dicembre la Microsoft non aveva ancora rilasciato la patch per chiudere la vulnerabilità in questione e che quindi il rischio di subire attacchi che la sfruttassero è stato piuttosto elevato. Oltre alle indagini sulla vulnerabilità Kasperky Lab ha condotto alcune operazioni legate alla captazione di una serie di server di controllo di Duqu, situati in diversi Paesi del mondo. Purtroppo gli autori di Duqu hanno reagito tempestivamente alla notizia della scoperta della loro attività e il 20 ottobre hanno condotto un'azione globale di "cancellazione delle tracce" su tutti i server. Kasperky Lab tuttavia sono riusciti a ottenere dei dati e quindi le loro indagini proseguono nella direzione intrapresa.
Nuovi programmi e tecnologie dei cybercriminali
Negli ultimi tempi nei programmi dannosi va aumentando il numero di casi di utilizzo di metodi di steganografia. In settembre era stato individuato l'utilizzo di file grafici contenenti dei comandi nascosti per controllare la botnet SST. Ricordiamo che il bot SST è una variante del noto e diffuso bot TDSS/TDL. In novembre Kaspersky ha riscontrato una tecnica analoga nella famiglia dei programmi trojan che minacciano gli utenti delle banche brasiliane. Si tratta del primo caso di utilizzo della steganografia nelle immagini dei trojan latino-americani. I file, contenenti codici dannosi criptati e delle informazioni aggiuntive, presentavano l'estensione .jpeg, ma per la loro struttura erano in realtà dei file bmp.
Per crearli i cybercriminali hanno utilizzato il metodo della cifratura a blocchi. Utilizzando questa tecnica, i programmatori di virus ottengono in un solo colpo molteplici effetti. In primo luogo, essa consente di compromettere il corretto funzionamento dei sistemi automatici di analisi dell'antivirus: è possibile così che il file venga scaricato, controllato con i programmi antivirus e identificato come "pulito" e con l'andar del tempo il rinvio viene completamente escluso dal controllo. In secondo luogo, gli amministratori dei siti che ospitano questi file dannosi criptati non riescono a riconoscerli come dannosi e, di conseguenza, non intraprendono alcuna contromisura. In terzo e ultimo luogo, alcuni esperti antivirus non hanno il tempo o l'esperienza necessaria per trattare questi file, il tutto a vantaggio ovviamente del cybercriminale.
Minacce per i dispositivi mobili: i trojan SMS si diffondono in tutto il mondo
A metà luglio Kasperky si era dedicato all'argomento dei "mittenti di SMS pornografici" che sfruttavano costosi messaggi SMS per abbonare gli utenti ai più svariati servizi. Queste applicazioni erano rivolte agli utenti di USA, Malesia, Paesi Bassi, Gran Bretagna, Kenia e Sudafrica. In novembre Kaspersky ha individuato dei trojan SMS che prendevano di mira gli utenti di alcuni Paesi europei e del Canada. I programmi dannosi inviano dal dispositivo infettato quattro SMS a un numero breve a pagamento. Questa famiglia di trojan viene individuata da Kaspersky come Trojan-SMS.AndroidOS.Foncy.
Finestra principale di app hot
Secondo i messaggi che Kaspersky ha reperito nei forum, i primi casi di infezione si sono verificati all'inizio di settembre. Pare che qualcuno abbia scaricato un'applicazione per monitorare i propri messaggi SMS/MMS, le telefonate e il traffico delle chiamate. Dopo averlo lanciato, il programma visualizzava sullo schermo del dispositivo un messaggio che informava dell'incompatibilità con la versione del sistema operativo Android utilizzato dall'utente. Dopodiché il credito dell'utente veniva depauperato. Ricordiamo che prima che apparissero i malware della famiglia Trojan-SMS.AndroidOS.Foncy, i trojan SMS avevano attaccato principalmente gli utenti russi e cinesi. Oggi i trojan SMS rappresentano una delle fonti di guadagno più facili per i cybercriminali.
Minacce MacOS
Al giorno d'oggi è difficile sorprendere gli utenti di Windows mettendo trojan e worm nei siti che diffondono versioni pirata di popolari programmi, mentre al contrario per gli utenti di MacOS un attacco del genere è ancora una novità. Così alla fine di ottobre sui torrent tracker che diffondono versioni pirata di programmi per il Мас, è stato individuato un nuovo programma, battezzato Backdoor.OSX.Miner, che possiede contemporaneamente diverse funzioni dannose:
apertura di un accesso remoto al computer infetto;
raccolta di informazioni sulla cronologia dei siti visitati utilizzando il browser Safari;
Questo malware si sta diffondendo in parallelo mediante diversi torrent tracker, quali publicbt.com, openbittorrent.com e thepiratebay.org. Secondo le stime di Kaspersky alla fine di novembre il malware Backdoor.OSX.Miner ha infettato decine di sistemi Mac.
Esempio di torrent tracker che diffonde il Backdoor.OSX.Miner
Manomissione della banca dati Steam
La storia degli attacchi e delle violazioni dei servizi di Sony Playstation Network all'inizio dell'anno è tornata a fare notizia dopo che in novembre è stato individuato un caso simile con un'altra azienda produttrice di videogiochi: il servizio Steam della Valve. Agendo nell'anonimato, gli hacker sono riusciti a crackare il forum del servizio e a inviare una gran quantità di messaggi contenenti link di collegamento a filmati che illustravano come crackare i videogiochi. La Valve ha disattivato il server per risolvere il problema e nel corso delle indagini è stata appurata la manomissione del database Steam. La direzione di Valve si è raccomandata di controllare le transazioni effettuate con le carte di credito e di leggere con attenzione gli estratti conti delle carte.
La banca dati compromessa conteneva informazioni quali i nomi degli utenti, le password hashed e salted, i dati relativi all'acquisto di giochi, gli indirizzi di posta elettronica degli utenti, gli indirizzi di fatturazione e i dati crittati delle carte di credito. L'incidente ha costretto la direzione di Valve a rivolgersi con una lettera a tutti gli utenti del servizio, informandoli del problema individuato. Nella lettera è stato comunicato che l'azienda non ha scoperto prove che dimostrino che gli hacker siano riusciti a mettere le mani su numeri criptati delle carte di credito e dati personali degli utenti, ma "le indagini proseguono". Fino ad ora non ci sono state comunicazioni relative all'utilizzo da parte dei cybercriminali delle carte di credito degli utenti del servizio Steam.
TOP 10 degli hosting dannosi
Ancora problemi con i certificati
Questo è stato un anno ricco di incidenti per i centri di certificazione, a cominciare da quello accaduto alla Comodo per proseguire poi con quanto è successo di recente alla olandese DigiNotar. Certificati trafugati sono stati inoltre individuati in programmi dannosi, tra cui anche il trojan Duqu. Il problema della perdita di credibilità dei certificati digitali in circolazione è attualmente un problema gravissimo per il quale non sono ancora stati trovate soluzioni. In novembre è stata la volta di un altro centro di certificazione olandese, la KPN, che, dopo aver comunicato di esser rimasta vittima di un attacco da parte degli hacker, ha interrotto l'emissione di certificati. La violazione è imputabile a una breccia individuata nel server web della KPN, che serve l'infrastruttura a chiave pubblica (PKI). L'attacco è stato condotto non meno di 4 anni fa.
Un incidente ancora più grave ha interessato il centro malese di certificazione Digicert (CA Digicert Malaysia). Il centro è stato infatti cancellato da tutti i produttori di browser e dalla Microsoft dall'elenco dei centri convenzionati. Questa misura, che colpisce per la sua severità, si è resa necessaria dopo la scoperta dell'emissione da parte della Digicert di 22 certificati con chiavi deboli a 512 bit e di certificati privi delle necessarie estensioni che definiscono le restrizioni per l'utilizzo dei certificati e delle informazioni sulla scadenza della validità. Jerry Bryant, rappresentante della Microsoft, ha fatto sapere che sebbene non si abbiano indizi che confermino che i cybercriminali siano riusciti a rubare anche solo uno di questi certificati, le chiavi deboli hanno permesso di crackarne alcuni. Rapporto completo di Kaspersky: http://newsroom.kaspersky.eu/fileadmin/user_upload/en/Downloads/PDFs/Kaspersky_Lab_press_release_Malware_November.pdf Fonte: Kaspersky Lab Via: Securlist
