La maggior parte dei programmi malware, particolarmente complessi, nasconde la propria presenza nel sistema e operano a insaputa dell'utente. Tuttavia per attuare i suoi schemi fraudolenti, la cybercriminalità ha bisogno della partecipazione attiva dell'utente. Per poter sfuggire alle trappole dei cybercriminali è pertanto di estrema importanza che l'utente conosca quali sono gli approcci utilizzati.
I cybercriminali sfruttano spesso la diffusione di certi servizi Internet o di determinati prodotti. Anche la popolarità di cui godono i prodotti «Kaspersky Lab» non è sfuggita all'attenzione dei cybercriminali e in gennaio se ne
avuta una chiara conferma. Come anche in passato si continua a registrare un'attiva diffusione di programmi adware. Senza richiedere il consenso dell'utente, l'
AdWare.Win32.WhiteSmoke.a, che si è aggiudicato il 12° posto nella classifica dei programmi malware riscontrati in Internet, aggiunge sulla scrivania del PC lo shortcut «Improve your PC». Dopodiché, quando l'utente vi clicca sopra, si apre una pagina con l'invito ad «eliminare dal computer eventuali errori» che compromettono le prestazioni del PC. Se l'utente accetta l'invito, sul suo computer si installa un programma denominato RegistryBooster 2011 che effettua una scansione del computer e si offre di eliminare a pagamento i problemi individuati.
Il componente del diffuso
adware FunWeb Hoax.Win32.ScreenSaver.b, sebbene alla sua prima apparizione nella TOP 20 dei malware bloccati nei computer degli utenti, si è piazzato subito al 4° posto. Ricordiamo che FunWeb fa parte di una famiglia di adware, i rappresentanti della quale figurano ininterrottamente da un anno nelle classifiche dei malware più diffusi. Questi adware predominano nei Paesi anglofoni, quali gli Stati Uniti, il Canada, la Gran Bretagna e anche l'India. Per l'ennesima volta invitiamo gli utenti a
non ignorare gli aggiornamenti critici. Nella TOP 20 di gennaio delle minacce più diffuse bloccate nei computer degli utenti si è piazzato l'
Exploit.JS.Agent.bbk (al 20° posto) che sfrutta la vulnerabilità
CVE-2010-0806. Sebbene questa vulnerabilità sia già stata riparata alla fine del marzo 2010 (la patch è disponibile a
questo indirizzo, oltre che dall'Agent.bbk viene anche sfruttata da altri malware presenti nella TOP 20 (al 6° e al 1° posto). Ciò significa che la breccia nel software non è ancora stata chiusa in molti computer e continua quindi ad essere efficacemente sfruttata dai cybercriminali.
Il download di file per mezzo di malware Java con il
metodo OpenConnection, che ha cominciato ad essere utilizzato dai cybercriminali nell'ottobre dell'anno scorso, risulta attualmente essere uno dei metodi di download maggiormente diffusi. Nel corso del mese di gennaio nei computer degli utenti dei prodotti «Kaspersky Lab»:
- sono stati respinti 213.915.256 attacchi della rete;
- sono stati bloccati 68.956.183 tentativi di infezione via Internet;
- sono stati individuati e neutralizzati 187.234.527 programmi malware (tentativi di infezione locale);
- sono state registrate 70.179.070 attivazioni di analisi euristiche.
In gennaio, nella TOP 20 dei malware più diffusi in Internet, si piazzano (rispettivamente al 9° e al 20° posto) due nuovi rappresentanti della famiglia
Trojan-Downloader.Java.OpenConnection. Se si utilizzano le
ultime versioni di JRE (ambiente operativo Java), all'avvio del pericoloso applet Java l'utente riceve un relativo avviso. Per evitare eventuali infezioni del computer, è sufficiente quindi annullarne l'avvio. In gennaio ha fatto la sua comparsa un nuovo e-mail worm, l'
Email-Worm.Win32.Hlux, che si diffonde tramite la notifica della ricezione di una cartolina elettronica d’auguri. Nella notifica è contenuto il link alla pagina dove viene suggerito di scaricare Flash Player per una corretta visione della e-card.
A prescindere dalla risposta dell'utente, il worm tenta di infiltrarsi nel suo computer: trascorsi cinque secondi dall'apertura della finestra di dialogo l'utente viene reindirizzato alla pagina contenente un set di exploit e i programmi della famiglia
Trojan-Downloader.Java.OpenConnection che cominciano ad avviare Hlux sul suo computer. Il worm, oltre ad autodiffondersi per posta elettronica, svolge la funzione di bot e collega il computer infetto alla botnet. Hlux si collega al centro di controllo della botnet, esegue i suoi comandi e, in particolare, invia dello spam farmaceutico. Il bot comunica con il centro di controllo mediante i proxy server della rete Fast-Flux. Se il computer infetto possiede un indirizzo IP esterno, può essere utilizzato come nodo della rete Fast-Flux. La grande quantità di computer infetti consente ai cybercriminali di cambiare molto frequentemente gli indirizzi IP dei domini nei quali vengono collocati i centri di controllo della botnet. In gennaio i cybercriminali hanno cominciato ad utilizzare un altro modo per accedere alle tasche dei possessori di telefoni cellulari.
Il nuovo
Trojan-SMS.J2ME.Smmer.f si diffonde secondo la modalità ormai consueta dei malware Java per piattaforme mobili ossia per mezzo di spam SMS contenenti un link di rinvio a una «cartolina virtuale». Dopo esser stato installato sul telefono, il trojan invia gratuitamente un SMS a due diversi numeri. Come viene conseguito quindi il guadagno illecito? I due numeri vengono utilizzati da un operatore di telefonia cellulare per trasferire soldi da un conto all'altro. Nel primo messaggio inviato dal trojan, vengono indicati la somma che verrà prelevata dal conto del possessore del telefono infetto (200 rubli, circa 5 euro) e il numero utilizzato dai cybercriminali per ricevere i soldi, mentre il secondo SMS viene inviato per confermare il trasferimento del denaro. Ci siamo già imbattuti in un simile tipo di frode due anni or sono: allora la truffa interessava gli utenti indonesiani, oggi i cybercriminali hanno preso di mira la Russia. Maggiori informazioni su
http://www.kaspersky.com/.
