Sebbene nel mese di dicembre non si siano rilevati casi di infezione significativi, nel corso del mese sono stati respinti 209.064.328 attacchi Web; sono stati bloccati 67.408.107 tentativi di infezione via Internet; sono stati individuati e neutralizzati 196.651.049 programmi malware nei computer degli utenti; ed infine sono state registrate 70.951.950 attivazioni di analisi euristica. La navigazione in Internet continua a presentare dei rischi, mentre i cybercriminali sfruttano attivamente metodi di social engineering per indurre gli utenti ad aprire i link infetti e a scaricare sul proprio computer il programma maligno. La quantità di antivirus fittizi è andata calando negli ultimi tempi, ma i criminali informatici si sono inventati un altro modo per arrivare agli utenti, senza la richiesta di scaricare il file sul computer, e senza dover aggirare la protezione antivirus, raggiungendo lo scopo di reindirizzare l'utente ad un determinato sito in maniera più semplice. Nell'ultimo mese alcuni di questi nuovi “antivirus Internet” sono balzati in testa alle classifiche dei malware individuati nella rete, mentre due di essi si sono addirittura piazzati nella TOP 20 (al 18° e al 20° posto).
Di recente hanno acquisito una certa popolarità i servizi per accorciare gli URL. Tale popolarità è dovuta al fatto che in Twitter la lunghezza dei messaggi è limitata a 140 caratteri. L'utilizzo di tali servizi consente di occultare link infetti. In dicembre, nel corso di uno degli attacchi malware scagliati contro il servizio di microblog Twitter, nella pagina principale, nell'elenco dei temi che più interessano gli utenti, alcuni temi sono saliti artificiosamente di posizione, vale a dire con l'aiuto di malware. Tutti questi temi contenevano link sotto le mentite spoglie di servizi quali bit.ly, alturl.com, ecc. Cliccando su questi link, l'utente veniva reindirizzato, per mezzo di alcuni redirector, alla pagina Web infetta dalla quale il computer scaricava senza dare nell'occhio il programma malware. Alla fine del mese i Kaspersky Lab hanno individuato il mailing IM con messaggi di posta elettronica contenenti link di rimando alla pagina di Facebook nella quale si avvertiva l'utente che sta lasciando il sito del social network. Tuttavia il link era stato manipolato dai criminali in modo tale che quando l'utente, dopo aver cliccato sul link, premeva il pulsante “Continua” nella finestra per uscire da Facebook, veniva reindirizzato alla risorsa maligna.
Oltre all'organizzazione di attacchi fraudolenti in rete e ad attacchi non certo dei più complessi attuati tramite i social network, i cybercriminali lavorano anche all'“artiglieria pesante” dell'arsenale dei malware. Gli autori di uno dei malware più complessi al giorno d'oggi, il rootkit TDSS stanno continuando a perfezionarlo. In dicembre l'ultima versione del rootkit, la TDL-4, aveva cominciato a sfruttare la vulnerabilità CVE-2010-3338, scoperta nel luglio 2010 durante le ricerche compiute sul worm Stuxnet. Nel report di novembre abbiamo scritto che la famiglia dei Trojan-Downloader.Java.OpenConnection sta continuando a crescere. Di norma, questi malware vengono utilizzati dai cybercriminali nell'ultimo stadio dei download drive-by. Tuttavia per scaricare gli oggetti maligni sui computer degli utenti, non sfruttano delle vulnerabilità, ma il metodo OpenConnection della classe URL. Nella classifica di dicembre dei malware individuati in Internet si sono piazzati due rappresentanti del Trojan-Downloader.Java.OpenConnection (al 2° e al 7° posto). Nella fase di picco dell'attività dei programmi di questa famiglia la quantità di singoli utenti sui computer dei quali è stata individuata la presenza del Trojan-Downloader.Java.OpenConnection superava le 40.000 unità al giorno.
Nella TOP 20 dei malware individuati in Internet in dicembre rientra anche l'Exploit.Win32.Pidief.ddl (11° posto), che si presenta come un documento pdf strutturato sulla base di Adobe XML Forms. Tutto il potenziale dannoso del Pidief.ddl è racchiuso nello script JavaScript integrato nello stream XML. Nel modello Adobe XML Forms è presente l'oggetto “event”, che provoca l'esecuzione dello script al verificarsi di un determinato evento. Questo oggetto possiede la proprietà “activity”, responsabile dell'esecuzione dello script. Essa contiene una stringa che indica all'elaboratore quando richiamare lo script. Nel file in questione la stringa contiene l'istruzione “initialize”, vale a dire che, dopo aver aperto il PDF, l'utente inizializza l'avvio dello script maligno, che scarica e lancia altro malware. Con un notevole distacco dai suoi concorrenti, l'adware identificato come AdWare.Win32.HotBar.dh e comprendente i programmi HotBar, Zango e ClickPotato, ha conquistato il 1° posto nella classifica delle minacce L'adware si installa insieme a degli attachment legittimi, dopodiché importuna l'utente con messaggi pubblicitari. Maggiori informazioni su http://www.kaspersky.com/
Nessun commento:
Posta un commento