Kaspersky, in 3° trimestre 2013 picco spam nocivo colpisce dati utenti

La percentuale di spam nel traffico totale di email durante il terzo trimestre dell’anno ha raggiunto una percentuale pari al 68,3%, scendendo di 2,4 punti percentuali rispetto al secondo trimestre. Allo stesso tempo, la proporzione dello spam nocivo è cresciuta più di 1,5 volte. La maggior parte dei programmi nocivi distribuiti tramite email hanno colpito gli account degli utenti, le password e le informazioni finanziarie riservate. Lo spam festivo nel mese di settembre è stato principalmente in inglese ed è stato dedicato a Halloween.

GFI Report: utenti Skype, Facebook e Windows nel mirino dei cybercriminali

Gli utenti di Skype™, Facebook e Windows® sono stati tra i gruppi target dei criminali informatici che hanno utilizzano i messaggi di spam e link malevoli. GFI Software, azienda leader nelle soluzioni IT per consumatori e aziende di piccole e medie dimensioni,  ha reso disponibile il VIPRE Report, la classifica delle 10 principali minacce informatiche rilevate il mese scorso. In Ottobre è stato individuato un grande numero di exploit Blackhole camuffati da licenze di Windows (prima del rilascio di Windows 8), email di verifica di account Facebook, notifiche di Skype voicemail e messaggi spam. 

“Il blackhole exploit kit è uno dei principali rischi in cui può incorrere chi naviga su Internet e rappresenta un vero e proprio camaleonte nel panorama delle minacce informatiche via web. Questo kit semplifica la creazione delle campagne di cybercrime e può essere facilmente adattato per trarre vantaggio dal clamore suscitato da alcune notizie (o eventi) oppure dalla notorietà del marchio” ha dichiarato Christopher Boyd, senior threat researcher di GFI Software.

“Fortunatamente questi attacchi sono relativamente facili da evitare, utilizzando alcune semplici accortezze che aumentano la sicurezza durante la navigazione giornaliera. Gli utenti devono verificare la provenienza e la destinazione di ogni link, prima di cliccare e non devono mai lanciare file eseguibili senza essere sicuri della loro provenienza”. I Blackhole exploit richiedono alle vittime ad aprire link a siti Web compromessi che ospitano un file che deve essere scaricato ed eseguito al fine di completare l'attacco. 

Questo file contiene uno JavaScript che lancia una scansione dei software privi di patch e vulnerabilità, prima di inviare gli exploit ed infettare infine il computer. I link pericolosi possono essere personalizzati, in modo da colpire solo utenti di determinate aziende, membri di differenti social network oppure utenti di Internet che ricercano informazioni su notizie ed eventi molto popolari. Utilizzando VIPRE AV’s Easy Update technology è possibile installare i componenti necessari ad attivare automaticamente la protezione sul PC di casa. 

www.gfi.com

Alcuni utenti hanno ricevuto, poco prima del rilascio di Windows 8, delle email di spam che offrivano una licenza Microsoft Windows gratuita; cliccando sul link malevolo e scaricando il relativo file, venivano colpiti da un Blackhole exploit ed infettati da Cridex Trojan. Un’altra campagna spam ha colpito gli utenti di Facebook con un messaggio che li informava della chiusura del loro account e della necessità di riverificare le credenziali. I link indirizzavano invece verso un exploit Blackhole e un Trojan Zeus cammuffato da Adobe Flash Player download.

www.gfi.com

Gli utenti di Skype sono stati il bersaglio di molti attacchi, il mese scorso. Alcuni di essi hanno ricevuto email di spam contenenti false notifiche voicemail e, quando cliccavano sui link Blackhole, venivano infettati da un Trojan Zeus. Altri utenti hanno ricevuto messaggi spam provenienti dai loro contatti Skype con richieste generiche sulla loro foto di profilo e un link che conduceva verso un Trojan che infettava i loro sistemi, li cancellava ed inviava richieste DNS verso differenti URL malevole.

Nonostante molti di questi siti siano stati rapidamente chiusi, la campagna spam è riuscita comunque a colpire alcuni PC, inducendo le vittime a cliccare sui link e dirigendole verso alcuni messaggi nei quali veniva richiesto un riscatto oppure il pagamento di una multa per aver condiviso file illegalmente. Per proteggersi, è indispensabile non cliccare su collegamenti sconosciuti o provenienti da contatti non inclusi tra i propri.

www.gfi.com

Come mettere al sicuro il proprio PC

GFI Software ha rilasciato di recente VIPRE Antivirus 2013 e VIPRE Internet Security 2013 destinato proprio agli utenti che desiderano individuare ed eliminare i link e malware. I costi di iscrizione annuale per ciascuno di questi prodotti include gli aggiornamenti sulle nuove minacce e sul software, oltre ad un supporto tecnico gratuito. VIPRE Internet Security 2013 include anche VIPRE Easy Update che individua automaticamente e aggiorna il software obsolete, rendendo gli utenti meno vulnerabili agli attacchi di exploit Blackhole.

Per saperne di più riguardo a VIPRE Antivirus 2013 o VIPRE Internet Security 2013, potete visitare il sito http://www.vipreantivirus.com oppure cliccare qui per un download free 30-day della trial completa. Anche dal punto di vista della semplicità di utilizzo VIPRE è un'ottima soluzione, con configurazioni preinstallate ed ottimizzazione del prodotto, rendendo quindi la protezione del computer più semplice per tutti.

L’elenco delle 10 minacce principali nel mese di ottobre

L’elenco delle 10 minacce principali di GFI Software di GFI Software è stato stilato analizzando le segnalazioni provenienti dalle decine di migliaia di utenti di VIPRE antivirus, che fanno parte del sistema di rilevazione automatico delle minacce GFI ThreatNet. Le statistiche di ThreatNet indicano che gli Adware occupano la prima metà delle minacce di questo mese.

Informazioni su GFI Labs

GFI Labs è specializzata nella scoperta e analisi delle vulnerabilità e malware pericolosi. Il team di specialisti di sicurezza dedicati studia attivamente nuove epidemie di malware, crea nuove definizioni delle minacce su una base costante per i prodotti VIPRE Antivirus Home e Busines. GFI Software fornisce sicurezza Web e mail, archiviazione e software fax, networking e software sicurezza e ha ospitato soluzioni IT per le aziende di piccole e medie imprese (PMI) con una vasta comunità partner globale.

I prodotti GFI sono disponibili sia come soluzioni on-premise, nel cloud o come un ibrido di entrambi i modelli di distribuzione. Con premiata tecnologia, una strategia di prezzi competitivi, e una forte attenzione alle esigenze specifiche delle piccole e medie aziende, GFI soddisfa le esigenze IT delle organizzazioni su scala globale. La società ha uffici negli Stati Uniti, Regno Unito, Austria, Australia, Malta, Hong Kong, Filippine e Romania, che insieme supportano centinaia di migliaia di installazioni in tutto il mondo. GFI è orientata alla collaborazione con migliaia di partner in tutto il mondo ed è anche un Microsoft Gold Partner ISV.

Partnership tra AVG e Facebook a protezione degli utenti di social media

Continuano le partnership tra Facebook e le aziende di sicurezza. Dopo il recente accordo con Kaspersky Lab, un'altra società di sicurezza ha stretto alleanza col social network in blu, con lo specifico obiettivo di proteggere gli utenti da phishing e attacchi di social engineering, ancora diffusi sulla piattaforma. Si tratta di AVG Technologies, la nota azienda statunitense produttrice dell'omonimo software antivirus.

AVG Technologies (NYSE: AVG), il provider di Internet e sicurezza mobile con 128 milioni di utenti attivi, annuncia la partnership con Facebook per aiutare a proteggere la più grande comunità online globale composta da 1 miliardo di utenti, dalle più recenti minacce alla sicurezza, fornendo i dati da AVG LinkScanner per aiutare gli utenti a evitare collegamenti Web dannosi inseriti dagli utenti su Facebook.

Ci sarà anche la possibilità di scaricare l'ultima versione del prodotto AVG Anti-Virus Free 2013, appena lanciato il mese scorso dal Marketplace Facebook Antivirus. AVG Antivirus Free 2013 fornisce agli utenti il controllo della loro esperienza Internet, offrendo grande protezione per il social networking e altre attività online. Inoltre, il motore di rilevamento dinamico di AVG protegge ulteriormente con la scansione in tempo reale dei link postati su Facebook per identificare se uno dei link è dannoso.

Gli utenti di AVG sono in grado di inviare tali collegamenti che potrebbero infettare i loro amici di Facebook.  Joe Sullivan CSO di Facebook ha commentato: "Con oltre un miliardo di utenti, siamo instancabili nel nostro impegno a mantenere sia i nostri utenti e i loro dati al sicuro. Siamo orgogliosi di annunciare la nostra nuova partnership con AVG per proteggere meglio i nostri utenti sia dentro che fuori Facebook."

"A partire da oggi, Facebook sarà in grado tramite l'analisi AVG dei feed di individuare gli URL malevoli per impedire agli utenti la navigazione verso siti pericolosi. Inoltre, le persone possono scaricare AVG anti-virus dal Marketplace di AV per proteggere i loro dispositivi." In AVG Technologies Q2 2012 Community Powered Threat Report, AVG ha rivelato come Facebook, grazie alla sua enorme popolarità, è un canale di destinazione utilizzato dai criminali informatici senza scrupoli per truffare gli utenti della rete sociale.

Alcune delle minacce dalle quali AVG protegge gli utenti di Facebook includono messaggi di spam e trucchi socialmente costruiti per cercare di ottenere dati personali e finanziari da individui ignari. Nel mese di agosto di quest'anno, AVG Threat Labs ha identificato un'esplosione di attacchi utilizzando il famigerato kit Exploit Blackhole che ha colpito gli utenti di Facebook ed era in grado di accedere, ai loro account o a tutti i giochi e le applicazioni.

I criminali informatici hanno coordinato gli attacchi da più server pubblicitari esterni e hanno utilizzato il canale di social media Facebook per raggiungere gli utenti vulnerabili attraverso annunci maligni; questi annunci hanno generato un aumento eccezionale degli attacchi da 250.000 a oltre 1,6 milioni di eventi registrati in un periodo di otto ore. AVG ha effettuato una rapida azione per proteggere i propri clienti e per garantire che il contenuto dannoso venisse bloccato.

JR Smith, CEO di AVG Technologies, ha commentato sulla pagina di Facebook Security: "Questa partnership con Facebook segna il nostro continuo impegno a collaborare con grandi marchi per aiutare a proteggere le comunità on-line dalla criminalità informatica. Le  piattaforme sociali sono oggi una parte vitale delle nostre moderne reti di comunicazione, ed è importante che le persone non si siano preoccupate per il loro utilizzo."

"Noi crediamo che i consumatori dovrebbero avere una scelta di opzioni che possono essere utilizzate per garantire il loro mondo connesso, dando loro la pace della mente per godere delle loro esperienze digitali sia per mezzo di un computer, dispositivo mobile o tablet." Naturalmente non esiste una protezione al 100%, su qualsiasi social network ci si trovi. Quindi, ecco alcuni consigli da AVG per aiutarvi a proteggervi.

Diffidare di qualsiasi messaggio ricevuto che vi chiede di cliccare su un link. Se il messaggio sembra provenire da un business legittimo o un amico, rispondete direttamente via telefono, testo, sito Web, ecc. Molte persone hanno avuto i loro account di social networking violati da cyberthugs che sono stati in grado di ottenere informazioni attraverso le password degli account di posta elettronica violati.

Prestare attenzione a che tipo di informazioni si condividono sui social network, e, se possibile, rendete i suggerimenti di recupero password delle e-mail difficili da indovinare. Rivedete le impostazioni di privacy del vostro account di social network (ad esempio di Facebook) regolarmente per controllare come gli altri sono in grado di connettersi con voi e verificate quello che avete postato sul vostro profilo.

Rimuovete l'autorizzazione ad eventuali applicazioni che non sono state utilizzate e che non si pensano di usare. Effettuate controlli periodici dei vostri post per essere certi delle immagini e gli altri contenuti che avete condiviso. Per esempio, una foto che avete postato del vostro bambino potrebbe non sembrare male, al momento, ma un secondo sguardo potrebbe mostrare che avete rivelato informazioni indesiderate su dove vive il bambino o va a scuola.

AVG, siti compromessi presentano annunci di Facebook e scaricano virus

All'inizio di questa settimana molte persone hanno cominciato a notare una massiccia ondata di rilevamenti di Blackhole Exploit Kit segnalati da molti degli utenti del noto software antivirus AVG. I rilevamenti riportati sono stati pari a 1,6 milioni in circa 12 ore. Alcuni clienti hanno comunicato alla società di sicurezza AVG che LinkScanner, il noto programma di rilevamento siti malware, aveva segnalato anche Facebook come sito malevolo. Tuttavia, i reali rilevamenti del Blackhole Exploit Kit type 2314 erano il risultato di annunci dannosi passati insieme da un servizio di pubblicità che apparivano sulle pagine di Facebook e quelli di altri siti web.

A complicare ulteriormente la situazione, gli operatori non autorizzati che stavano usando gli annunci avevano progettato alcuni dei loro annunci con caratteristiche grafiche, colori e caratteri tipografici che imitavano il look di Facebook. Gli esperti di AVG hanno ricevuto le relazioni di rilevazione attraverso il "rapporto" opt-in, della funzione automatica di AVG che riporta le rilevazioni di diversi milioni di utenti della società. Così, circa l'uno per cento degli utenti di AVG sono stati bloccati da contenuti potenzialmente dannosi grazie a LinkScanner. Questi sono stati circa 1,3 milioni di rilevamenti nelle prime 6 o 7 ore.

L'ad server che fornisce gli annunci a quanto pare era stato compromesso da un hacker che ha installato il malware del Blackhole Exploit Kit. Il codice JavaScript maligno viene iniettato nelle pagine servite dal server Web compromesso. In genere, il JavaScript associato al Blackhole afferra altri script dannosi da un altro server al fine di compromettere la sicurezza degli utenti che visitano il sito web - un tipico attacco malware drive-by. In questo caso, il server Web compromesso era in qualità di ad-server, condizionando il contenuto dei messaggi pubblicitari sui vari siti web, così da servire delle pagine fuori ox-d.served-now.com e negli spazi pubblicitari delle pagine di altri siti web.

Dopo la compromissione dell'ad-server, le pagine pubblicitarie servite contenevano gli annunci previsti più lo script exploit Blackhole. Nell'immagine qui sopra, AVG ha evidenziato in blu il codice sorgente HTML del messaggio pubblicitario previsto che è l'originale, mentre il testo non evidenziato è lo script Blackhole. Una volta decifrato, gli esperti di AVG hanno illustrato ciò che lo script è destinato a fare. "Dopo aver testato le diverse funzioni e le versioni del browser Web del visitatore, l'intenzione principale di questo script è quella di iniettare un Iframe nella pagina Web corrente", spiega TomK, ingegnere software di AVG.

Questo è un pò contorto, ma significa che il contenuto di una pagina Web col banner.blawg.ch verrà inserita in una pagina, tramite gli annunci del bue-d.served-now.com. Si noti che non è necessario fare clic su un annuncio, o interagire con esso in alcun modo, da qui in poi la funzionalità descritta si verificherà in modo del tutto involontario. La semplice visita una pagina in cui vengono visualizzati tali annunci è sufficiente per attivare  il codice dannoso che potrebbe portare a frodi con carta di credito, il furto di identità e vari pezzi di software cattivo potrà essere installato sul computer di un utente Web.

Senza entrare troppo nei dettagli, questa pagina richiede una applet Java che è dipendente dalla versione del browser (in base al PluginDetect che viene usato per determinare le caratteristiche del browser) e sfrutta una vulnerabilità di Java adatta nella versione installata del browser per scaricare ed eseguire diversi programmi eseguibili di Windows. Gli URL da cui vengono prelevati questi programmi vengono decodificati dall'applet Java da un parametro passato, come evidenziato nell'immagine qui sopra. Quindi, l'inserimento dello script iniziale negli annunci del server degli ad banner alla fine ha portato ad un attacco malware drive-by tramite uno dei numerosi exploit Java.

Il malware binario include bot e backdoor, e qualcosa per fare ancora più soldi, come un falso AV chiamato Security Shield. Il falso software antivirus segnala delle potenziali minacce che avrebbero infettato il sistema dell'utente vittima. In realtà si tratta di falsi rilevamenti che inducono l'utente ad installare il programma. Il rogue antivirus alcuni casi blocca prende letteralmente in ostaggio il PC, bloccando di fatto ogni possibilità di azione da parte dell'utente. Qui di seguito le schermate di alcuni degli annunci che gli utenti potrebbero aver visto nelle pagine Web legittime che erano state manomesse, come descritto in precedenza. Esse sono nel contesto di una pagina Web, dove sarebbero state integrate con gli altri elementi della pagina.

L'AVG Web Threats Research team ha studiato un incidente simile nel mese di luglio in cui LinkScanner aveva rilevato un numero enorme di annunci dannosi su YouTube. Per migliorare la protezione di un motore di ricerca consigliamo l'installazione gratuita di LinkScanner. Dopo l'installazione, è sufficiente eseguire una ricerca nella casella di ricerca di uno dei browser disponibili. I risultati della ricerca includono chiare valutazioni relative alla protezione di ogni collegamento. Per coloro invece che sono stati colpiti dal malware ed in generale da virus, trojan o rootkit, è possibile utilizzare il software gratuito Windows Defender Offline messo a disposizione da Microsoft.

Il programma consente di rimuovere questi programmi dannosi e difficili da individuare, grazie all'utilizzo di definizioni in grado di riconoscere le minacce. Esso viene lanciato all'avvio del computer ed agisce contro il malware prima che il sistema operativo venga caricato e, quindi, prima che l'infezione possa produrre effetti. Windows Defender Offline funziona su Windows XP, Windows Vista, Windows 7, Windows Developer Preview e Windows 8 Consumer Preview. L'applicazione è disponibile sia per sistemi a 32 bit che a 64 bit. Se il computer non è nuovissimo e non permette l'avvio dalla pendrive, allora sarà indispensabile l'installazione su CD o DVD.

GFI Software, cybercriminali inviano spam fingendosi aziende conosciute

GFI Software ha rilasciato il suo VIPRE ® report di giugno 2012, una raccolta dei 10 rilevamenti delle minacce più diffuse incontrate il mese scorso. Nel mese di giugno, i ricercatori di GFI Software hanno riscontrato due nuove campagne spam con link a exploit Blackhole, che sembravano email di conferma provenienti da Twitter® e Amazon.com®. Con modalità simili, il marchio Delta Airlines® è stato protagonista di una campagna spam che aveva un unico obiettivo: infettare gli utenti con virus Sirefef e antivirus fasulli.

GFI Labs report: cybercriminali sfruttano grandi marche e social network

GFI Software ha rilasciato il suo VIPRE® report di marzo 2012, una raccolta dei 10 rilevamenti delle minacce più diffuse incontrate il mese scorso. GFI Labs ha anche documentato vari attacchi di spam e campagne email cariche di malware, che si sono infiltrati nei sistemi degli utenti con la scusa di comunicazioni da parte di rinomate aziende e promozioni per prodotti popolari e servizi. Google TM, LinkedIn®, Skype TM e il videogioco di Mass Effect TM 3 sono stati tra i marchi sfruttati dai cybercriminali.

Nuovo exploit kit individuato da Trend Micro, i consigli per difendersi

Ultimamente vi è un nuovo aumento del volume di attacchi di spam che utilizzano un kit exploit - nello specifico, il BlackHole exploit kit - per innescare un payload maligno. In particolare, nelle ultime catene di spam Automated Clearing House (ACH), e nei più recenti corrieri spam su Facebook relativi alla morte di Steve Jobs. Con questo post, gli esperti di Trend Micro, orientano i lettori sulla catena di infezione di tali attacchi per aiutare a capire perchè le pratiche di mitigazione di base sono ancora efficaci e utili per proteggersi dalle minacce di oggi. 

In una campagna di spam tipico che coinvolge il malware, i cybercriminali attirano gli utenti attraverso l'ingegneria sociale facendo eseguire una serie di azioni prima che il carico utile destinato venga eseguito. Ad esempio, un utente deve scaricare, estrarre ed eseguire un presunto file "benigno" per un attacco di spam perchè possa avere successo. Campagne di spam utilizzando kit exploit, tuttavia, sono un pò più pericolosi in quanto hanno solo bisogno di attirare l'utente a cliccare su un link maligno ed il resto del contagio sarà in grado di prendere posto. 

Di seguito è riportato un esempio di questo tipo di spam che pretendono di essere provenienti dal National Automated Clearing House Association (NACHA). Il NACHA gestisce la rete ACH, che facilita le transazioni di pagamento di massa che coinvolge imprese, governi, come pure i consumatori. Gli utenti che hanno maggiori probabilità di ricevere email da NACHA sono quelli che effettuano transazioni relative a libro paga, i benefici del governo, restituzioni d'imposta, ed altri.

Il resoconto delle transazioni nel falso messaggio spam conduce ad una pagina vuota

Nella schermata dello spam di cui sopra, si può vedere che il link punta a un dominio dall'aspetto dubbio che non è legato al National Automated Clearing House Association (NACHA). Una pagina vuota viene visualizzata quando gli utenti fanno clic sul collegamento. Questa pagina vuota è in realtà una pagina gateway che contiene i seguenti JavaScript offuscati:

 La pagina gateway dello script offuscato

Quando decifrati, è possibile vedere che si tratta di uno script che tenta di inserire un iframe che punta ad un altro sito maligno, che utilizza il kit di BlackHole Exploit:

La pagina del gateway decifrata

Una volta che l'iframe viene caricato, il contenuto viene caricato anche dal Kit BlackHole Exploit sul sito che, ancora una volta, contiene uno script molto offuscato. Al momento della decodifica del codice, è possibile vedere il codice vero e proprio che cerca software vulnerabili e utilizza le azioni appropriate. Il kit Exploit BlackHole sfrutta le vulnerabilità sia in applicazioni di terze parti come Adobe Acrobat, Adobe Flash e Java, così come nei componenti di Windows come Microsoft Data Access Components (MDAC) e la Guida in linea e supporto tecnico (HCP).

Il sito del Blackhole  Exploit Kit mostra questo script molto offuscato

Lo sfruttamento esegue uno shellcode, che innesca il download e l'esecuzione di malware. Abbiamo osservato che questi attacchi sono stati utilizzati per diffondere varianti ZeuS, anche se queste possono essere utilizzati anche per diffondere altre famiglie di malware.

Mitigazione multistrato

Come promemoria per gli utenti, ecco alcuni modi per prevenire che questo tipo di minaccia si ottenga nei loro sistemi:

• Essere a conoscenza di attacchi di ingegneria sociale. La maggior parte degli attacchi online oggi utilizzano il social engineering prima che possano esporre tecnicamente l'infezione. Diffidando da ciò che si fa on-line, le infezioni possono già essere mitigate al momento della comparsa. Semplice buon senso, come non sono divertenti le email indesiderate che potrebbero fare molto in termini della vostra sicurezza personale online.
• Controllare sempre i link malevoli. Controllare sempre dove puntano gli URL dei collegamenti ipertestuali. E 'anche una buona pratica copiare e incollare un URL nella barra degli indirizzi del browser piuttosto che cliccare il link direttamente.
• Disabilitare JavaScript nel vostro browser. Come accennato in precedenza, la pagina gateway e la pagina BlackHole Exploit Kit hanno utilizzato JavaScript. Questo è anche il caso di un sacco di minacce di oggi che usano il browser per eseguire un payload maligno. Come tale, è una buona idea disabilitare JavaScript nel vostro browser e permettendo l'accesso solo ai siti di fiducia, se necessario.
• Ricordarsi sempre di patchare. Il BlackHole Exploit Kit utilizza exploit che colpiscono le vecchie versioni non aggiornate di software. La persistenza di tali strumenti significa che sfruttano gli obsoleti e sono ancora in grado di infettare molti utenti. Non importa quanto scomoda possa essere, la patching del software regolare è ancora un processo di attenuazione importante.

"Lo stato del panorama delle minacce e la dipendenza schiacciante del pubblico su Internet richiede che gli utenti dovrebbero avere la consapevolezza del tipo di minacce trovate sul web, come pure i mezzi per proteggere se stessi da esse. Avendo conoscenza di come questi attacchi lavorano, gli utenti possono ottenere un vantaggio sugli aggressori, ed essere in grado di fermare una minaccia ancor prima che entri nel loro sistema. Un pò di auto-educazione in ultima analisi può rendere tutto Internet un luogo migliore e più sicuro", commenta Roland Dela Paz, Threat Response Engineer di Trend Micro. 

Ulteriori informazioni su come i criminali informatici hanno utilizzato lo spam nei loro schemi maligni possono essere trovati sul rapporto di sicurezza in PDF recentemente rilasciato da Trend Micro, Spam nel mondo aziendale di oggi. Fonte: Trend Micro Malware Blog

Falsa richiesta d'amicizia Facebook, ora anche con iframe nascosto

Una leggera variazione della campagna spam della falsa notifica richiesta d'amicizia Facebook via e-mail è stata avvistata e prende di mira gli utenti del social network, questa volta senza allegati. Come la maggior parte delle e-email della campagna precedente, questo spam viene inviato dalla botnet Cutwail e si avvale stavolta di un duplice metodo di attacco. Il messaggio sembra convincente, perchè gli spammer hanno copiato il modello reale di Facebook e sostituito i propri collegamenti. L'email imita il messaggio legittimo di Facebook di richiesta di amicizia, ma ci sono alcuni dettagli che potrebbero far capire all'utente destinatario la vera natura del messaggio: l'immagine della persona che vuole essere amica con l'utente non è inclusa, e l'indirizzo email del destinatario è stato omesso dal testo in fondo alla mail.

Al contario di seguito la notifica e-mail richiesta legittima d'amicizia su Facebook

Ma supponiamo che il destinatario viene ingannato, e clicca sul pulsante "Conferma richiesta di amicizia".

Come nella truffa precedente, l'utente vien portato a una finta pagina di Facebook dicendo che la sua versione di Macromedia Flash Player è troppo vecchia per continuare, e offrendo un link per scaricare l'ultima versione del player. Ma non è tutto - la pagina ora include anche un iframe nascosto che carica dati da un server remoto che ospita il kit Blackhole Exploit, spiegano i ricercatori dei laboratori di sicurezza M86, che tenta di sfruttare vulnerabilità automaticamente sul vostro sistema, in particolare Java. Il kit di exploit cerca di sfruttare le vulnerabilità di Java nel sistema del destinatario e se ci si riesce, scarica quello che sembra essere una variante del Trojan bancario Zeus bancario. Un rapporto di Virus Total su Zbot  è disponibile qui.

False notifiche Facebook via email scaricano virus Zbot e Blackhole exploit

Websense ® Security Labs ™ Threatseeker ® ​​Network ha rilevato una nuova campagna e-mail dannosa mascherata come proveniente da Facebook. La campagna sembra essere effettivamente proveniente dalla spam bot Cutwail Pushdo. Pushdo è una delle più grandi botnet spamming su Internet. Questa è rimasta sotto controllo dal 2007, anche se è stata segnalata essere responsabile di una percentuale enorme di spam a livello mondiale. 

E' persino riuscita ad entrare nella Top 5 delle botnet più grandi senza mai raggiungere la prima posizione. Ci sono rapporti di 7,7 miliardi di email spam al giorno, provenienti da questa botnet, che la pone nella Top 2 delle spam botnet più grandi del mondo. "Povero Pushdo, sempre la damigella d'onore, mai la sposa!", commenatno gli esperti dei laboratori di  Trend Micro ®. 

In realtà la botnet Pushdo è una grande e fantasiosa "piattaforma di distribuzione" di software maligni. Una volta che la vittima è infetta, di norma visitando un sito Web dannoso, Pushdo scarica malware eseguibili, molti dei quali sono prodotti da terzi parti. Questo è l'unico tipo di comunicazione con il server di comando e controllo. A settembre 2010, per esempio, circa 5.000 messaggi di spam sono stati inviati agli utenti di Facebook da zombie Cutwail per circa 30 minuti. Ma questa volta, i criminali informatici utilizzano due vettori di attacco: ingegneria sociale e di un exploit kit.

Entrambi finiscono con l'istallare il trojan Zeus / Zbot sulle macchine bersaglio. A meno che non siete stati fuori da Internet negli ultimi anni, probabilmente avrete sentito parlare dell'enorme problema di sicurezza causato dalle botnet. Queste grandi collezioni di computer infetti comandati da capi criminali possono lanciare attacchi coordinati, dannosi ospitare siti web o inviare spam. I clienti Websense sono protetti da questo tipo di attacco con il loro motore Advanced Classification Engine per l'analisi dei dati e la loro suite di tecnologie interna TRITON. Ecco un esempio di una e-mail dannosa in lingua spagnola:

L'email è un falso maligno che appare come proveniente da Facebook.com e recita: “Hi, someone loves your photo comments, please click on the link to see all comments” (“Ciao, a qualcuno piacciono i tuoi commenti alle foto, clicca sul link per vedere tutti i commenti”). Esso fornisce un URL falso travestito da formale collegamento Facebook. Una volta cliccato, l'utente viene reindirizzato a una pagina di attacco e viene richiesto di scaricare ed eseguire un "aggiornamento" da Facebook. L'aggiornamento "file" è una variante del trojan Zeus / Zbot. Al momento della stesura, il file ha avuto "soltanto" un 7% di rilevazione, ma è in costante aumento. L'attacco non è però ancora finito.

Mentre avviene il finto caricamento della pagina Facebook, la macchina dell'utente viene attaccata silenziosamente in background con diversi exploit. L'exploit sono inviati tramite un iframe contenuto nella finta pagina Facebook attacco. Questo processo avviene in silenzio quando la pagina attacco viene caricata. Gli exploit sono caricati da uno dei prevalenti exploit kit oggi in maggior circolazione - il Blackhole exploit kit. Tutti gli attacchi hanno avuto successo. Vine stato scaricato ed installato silenziosamente il trojan Zeus / Zbot sulla macchina dell'utente. Ecco un iframe esempio dalla pagina di attacco su Facebook che punta a sfruttare il Blackhole kit:

Il Black Hole Exploits Kit , è una applicazione web sviluppata in Russia, che incorpora anche un'interfaccia in lingua inglese, e la prima versione (beta al momento) sta cercando di adattarsi al mercato nero da quando è stata distribuita nei primi di settembre 2010. Il suo costo è determinato sulla base di una serie di caratteristiche che cercano di differenziarsi dal resto. Questo modulo offre una visione rapida delle informazioni più rilevanti per un botmaster: numero di computer che fanno parte della rete e dei loro rispettivi paesi, sfrutta con elevati tassi di successo e l'elaborazione delle informazioni di altri.

A differenza di molti altri crimeware di questo stile, Black Hole Exploits Kit utilizza un sistema di licenze pagate a tempo. Ad esempio, l'acquisto di questo crimeware per 1 anno (attualmente il tempo massimo) costa $ 1500, mentre una semi licenza annuale e trimestrale, costa rispettivamente 1.000 dollari e 700 dollari. 

La tendenza segna un lieve incremento graduale ma nei sistemi operativi impegnati che non appartengono alla famiglia di Microsoft. Questo include crimeware per piattaforme basate come GNU / Linux e Mac OS. Altri, come il Siberia Exploit Pack e Eleonore exploit kit includono piattaforme per dispositivi mobili di fascia alta e console di gioco. Inoltre al costo di 50 dollari si può utilizzare in alternativa il sistema di crittografia. 

Questa funzione è un modello per il "servizio" extra offerto dagli sviluppatori di crimeware, come la possibilità di verificare l'integrità dei malware (AVChecker) che si diffondono attraverso crimeware. Per effettuare questa verifica, è spesso usato VirTest , il servizio privato di origine russa che è diventato uno dei preferiti dai criminali non solo per il controllo della reputazione ma anche per la diffusione di malware sfruttati dai pacchetti. 

Ci sono confezioni crimeware diverse che hanno recentemente aderito modulo VirTest, compresa l'ultima versione di SpyEye . Questi exploit hanno il più elevato tasso di successo nello sfruttamento. Il Black Hole exploit kit include un TDS (Traffic Direzione Script) che consente l'indipendenza da altre applicazioni web, permettendo di manipolare arbitrariamente il traffico web, e probabilmente questa funzione attira l'attenzione dei criminali.