Kaspersky Lab pubblica il report sull’attività dei virus a marzo 2011


Spesso i cybercriminali non disdegnano sfruttare eventi tragici per raggiungere i loro scopi. Moltissime persone in Giappone hanno perso i loro cari e le loro case, mentre tutto il mondo segue con il fiato sospeso lo sviluppo degli eventi presso la centrale nucleare Fukushima 1 anch'essa colpita dal terremoto.

Ma i cybercriminali e i programmatori di virus non si fermano davanti a nulla e con sprezzante cinismo diffondono link maligni nei siti che riportano le notizie di attualità, creano pagine web infettate il cui contenuto è in un modo o nell'altro attinente alla tragedia che si è abbattuta sul Giappone e inviano «spam nigeriano» con richieste strappalacrime nelle quale si invoca l'aiuto finanziario dei destinatari mediante il trasferimento di denaro sul conto del mittente.

Per esempio in una delle e-mail di spam erano contenuti dei presunti link per collegarsi alle ultime notizie sul Giappone. In realtà, cliccando sui link, gli utenti attivavano un attacco drive-by per mezzo di pacchetti di exploit. Se l’attacco andava a segno sui computer degli utenti veniva scaricato il Trojan-Downloader.Win32.CodecPack.


Per ciascun membro di questa famiglia sono rigorosamente registrati tre centri di controllo ai quali il trojan si rivolge e dai quali riceve degli elenchi di file maligni da scaricare e installare sul computer dell'utente. In una della pagine web individuate come infette i visitatori venivano invitati a scaricare un filmato sugli eventi accaduti in Giappone, ma anziché riprodurre il video l'utente scaricava sul suo computer un backdoor.

I cybercriminali più lesti si danno invece da fare su Twitter, sul quale, già il giorno successivo alla notizia, sono apparsi link maligni a presunte informazioni sul decesso di Elisabeth Taylor. La quantità di exploit Java è piuttosto elevata: in totale ha infatti inciso per circa il 14% sul numero totale degli exploit individuati.

Nella TOP 20 dei malware riscontrati in Internet si sono piazzati tre exploit Java. Inoltre due di questi, l'Exploit.Java.CVE-2010-0840.d (15° posto) e l'Exploit.Java.CVE-2010-0840.c (19° posto), sono exploit nuovi che sfruttano la vulnerabilità CVE-2010-0840 di Java. Ricordiamo che già il mese scorso era stato segnalato lo sfruttamento di questa falla.


Secondo i dati delle statistiche KSN, i creatori di malware continuano a cambiare gli exploit che sfruttano nel corso degli attacchi drive-by per eludere i rilevamenti degli antivirus. I programmatori di virus reagiscono con velocità sorprendente alle comunicazioni di nuove vulnerabilità. Ne è un esempio l'exploit della vulnerabilità di Adobe Flash Player, la cui individuazione è stata comunicata da Adobe in data 14 marzo.

La vulnerabilità è contenuta nella libreria authplay.dll ed è stata valutata come critica. A marzo una delle principali notizie è stata la scoperta della botnet Rustock. Ricordiamo che la rete creata da Rustock contava alcune centinaia di migliaia di computer infetti e che per estendersi utilizzava lo spam. L'operazione di chiusura della botnet è stata organizzata da Microsoft e dalle autorità degli Stati Uniti.

Il 17 marzo Microsoft ha reso nota la chiusura dei server di controllo della botnet. I malware per Android non sono più una rarità. In marzo i cybercriminali sono riusciti a diffonderli sotto forma di applicazioni legittime in Android Market. Il Report security completo di Kaspersky Lab a marzo 2011 è disponibile a questo indirizzo.

Nessun commento:

Posta un commento