Kaspersky Lab presenta la situazione malware al mese novembre 2011

Kasperky Lab ha pubblicato il rapporto mensile dei malware in circolazione e attacchi in rete a novembre 2011. Nel corso del mese nei computer degli utenti dei prodotti Kaspersky Lab:

• sono stati respinti 204.595.286 attacchi della rete;
• sono stati bloccati 89.001.505 tentativi di infezione via Internet;
• sono stati individuati e neutralizzati 238.045.358 programmi malware (tentativi di infezione locale);
• sono state registrate 98.047.245 attivazioni di analisi euristiche.

Per quanto riguarda le minacce più classiche, novembre si è rivelato un mese relativamente tranquillo. Gli autori di programmi dannosi hanno continuato a sviluppare le tecnologie esistenti, mentre i programmatori di virus non hanno fatto registrare invenzioni di rilievo.

TOP 10 dei malware in Internet

L'argomento del mese: DUQU, indagini in corso

A novembre il trojan Duqu, individuato in settembre e reso noto al pubblico in ottobre, è restato saldamente al centro dell'attenzione degli esperti e dei mass media. La principale ragione di tanto interesse è stata l'individuazione del metodo di intrusione di questo programma dannoso nei sistemi attaccati. L'attacco veniva condotto attraverso la posta elettronica per mezzo di un documento MS Word contenente l'exploit per una vulnerabilità in precedenza sconosciuta del sistema operativo Windows. L'errore nel componente di sistema win32k.sys consentiva di eseguire il codice dannoso dal file con i privilegi di amministratore.

Questa scoperta costituisce l'ennesimo parallelo tra Duqu e Stuxnet poiché anche quest’ultimo sfruttava vulnerabilità sino ad allora sconosciute. Già in ottobre abbiamo ipotizzato che l'individuazione del dropper Duqu potesse costituire la chiave principale per svelare il mistero dell'origine del trojan e che il dropper potesse contenere exploit per vulnerabilità simili. Gli esperti di Kaspersky Lab sono riusciti a individuare l'e-mail originaria con il dropper e l'exploit, inviata ad una vittima in Sudan. L'analisi dettagliata è stata pubblicata nel blogpost. Kaspersky Lab ha aggiunto tempestivamente ai suoi prodotti l'aggiornamento per individuare l'exploit.

È da notare che all'inizio di dicembre la Microsoft non aveva ancora rilasciato la patch per chiudere la vulnerabilità in questione e che quindi il rischio di subire attacchi che la sfruttassero è stato piuttosto elevato. Oltre alle indagini sulla vulnerabilità Kasperky Lab ha condotto alcune operazioni legate alla captazione di una serie di server di controllo di Duqu, situati in diversi Paesi del mondo. Purtroppo gli autori di Duqu hanno reagito tempestivamente alla notizia della scoperta della loro attività e il 20 ottobre hanno condotto un'azione globale di "cancellazione delle tracce" su tutti i server. Kasperky Lab tuttavia sono riusciti a ottenere dei dati e quindi le loro indagini proseguono nella direzione intrapresa.

Nuovi programmi e tecnologie dei cybercriminali

Negli ultimi tempi nei programmi dannosi va aumentando il numero di casi di utilizzo di metodi di steganografia. In settembre era stato individuato l'utilizzo di file grafici contenenti dei comandi nascosti per controllare la botnet SST. Ricordiamo che il bot SST è una variante del noto e diffuso bot TDSS/TDL. In novembre Kaspersky ha riscontrato una tecnica analoga nella famiglia dei programmi trojan che minacciano gli utenti delle banche brasiliane. Si tratta del primo caso di utilizzo della steganografia nelle immagini dei trojan latino-americani. I file, contenenti codici dannosi criptati e delle informazioni aggiuntive, presentavano l'estensione .jpeg, ma per la loro struttura erano in realtà dei file bmp.

Per crearli i cybercriminali hanno utilizzato il metodo della cifratura a blocchi. Utilizzando questa tecnica, i programmatori di virus ottengono in un solo colpo molteplici effetti. In primo luogo, essa consente di compromettere il corretto funzionamento dei sistemi automatici di analisi dell'antivirus: è possibile così che il file venga scaricato, controllato con i programmi antivirus e identificato come "pulito" e con l'andar del tempo il rinvio viene completamente escluso dal controllo. In secondo luogo, gli amministratori dei siti che ospitano questi file dannosi criptati non riescono a riconoscerli come dannosi e, di conseguenza, non intraprendono alcuna contromisura. In terzo e ultimo luogo, alcuni esperti antivirus non hanno il tempo o l'esperienza necessaria per trattare questi file, il tutto a vantaggio ovviamente del cybercriminale.

Minacce per i dispositivi mobili: i trojan SMS si diffondono in tutto il mondo

A metà luglio Kasperky si era dedicato all'argomento dei "mittenti di SMS pornografici" che sfruttavano costosi messaggi SMS per abbonare gli utenti ai più svariati servizi. Queste applicazioni erano rivolte agli utenti di USA, Malesia, Paesi Bassi, Gran Bretagna, Kenia e Sudafrica. In novembre Kaspersky ha individuato dei trojan SMS che prendevano di mira gli utenti di alcuni Paesi europei e del Canada. I programmi dannosi inviano dal dispositivo infettato quattro SMS a un numero breve a pagamento. Questa famiglia di trojan viene individuata da Kaspersky come Trojan-SMS.AndroidOS.Foncy.

Finestra principale di app hot

Secondo i messaggi che Kaspersky ha reperito nei forum, i primi casi di infezione si sono verificati all'inizio di settembre. Pare che qualcuno abbia scaricato un'applicazione per monitorare i propri messaggi SMS/MMS, le telefonate e il traffico delle chiamate. Dopo averlo lanciato, il programma visualizzava sullo schermo del dispositivo un messaggio che informava dell'incompatibilità con la versione del sistema operativo Android utilizzato dall'utente. Dopodiché il credito dell'utente veniva depauperato. Ricordiamo che prima che apparissero i malware della famiglia Trojan-SMS.AndroidOS.Foncy, i trojan SMS avevano attaccato principalmente gli utenti russi e cinesi. Oggi i trojan SMS rappresentano una delle fonti di guadagno più facili per i cybercriminali.

Minacce MacOS

Al giorno d'oggi è difficile sorprendere gli utenti di Windows mettendo trojan e worm nei siti che diffondono versioni pirata di popolari programmi, mentre al contrario per gli utenti di MacOS un attacco del genere è ancora una novità. Così alla fine di ottobre sui torrent tracker che diffondono versioni pirata di programmi per il Мас, è stato individuato un nuovo programma, battezzato Backdoor.OSX.Miner, che possiede contemporaneamente diverse funzioni dannose:

1. apertura di un accesso remoto al computer infetto;
2. raccolta di informazioni sulla cronologia dei siti visitati utilizzando il browser Safari;
3. creazione di screenshot delle schermate;
4. sottrazione del file wallet.dat dai clienti BitCoin;
5. lancio non autorizzato del miner BitCoin.

Questo malware si sta diffondendo in parallelo mediante diversi torrent tracker, quali publicbt.com, openbittorrent.com e thepiratebay.org. Secondo le stime di Kaspersky alla fine di novembre il malware Backdoor.OSX.Miner ha infettato decine di sistemi Mac.

Esempio di torrent tracker che diffonde il Backdoor.OSX.Miner

Manomissione della banca dati Steam

La storia degli attacchi e delle violazioni dei servizi di Sony Playstation Network all'inizio dell'anno è tornata a fare notizia dopo che in novembre è stato individuato un caso simile con un'altra azienda produttrice di videogiochi: il servizio Steam della Valve. Agendo nell'anonimato, gli hacker sono riusciti a crackare il forum del servizio e a inviare una gran quantità di messaggi contenenti link di collegamento a filmati che illustravano come crackare i videogiochi. La Valve ha disattivato il server per risolvere il problema e nel corso delle indagini è stata appurata la manomissione del database Steam. La direzione di Valve si è raccomandata di controllare le transazioni effettuate con le carte di credito e di leggere con attenzione gli estratti conti delle carte.

La banca dati compromessa conteneva informazioni quali i nomi degli utenti, le password hashed e salted, i dati relativi all'acquisto di giochi, gli indirizzi di posta elettronica degli utenti, gli indirizzi di fatturazione e i dati crittati delle carte di credito. L'incidente ha costretto la direzione di Valve a rivolgersi con una lettera a tutti gli utenti del servizio, informandoli del problema individuato. Nella lettera è stato comunicato che l'azienda non ha scoperto prove che dimostrino che gli hacker siano riusciti a mettere le mani su numeri criptati delle carte di credito e dati personali degli utenti, ma "le indagini proseguono". Fino ad ora non ci sono state comunicazioni relative all'utilizzo da parte dei cybercriminali delle carte di credito degli utenti del servizio Steam.

TOP 10 degli hosting dannosi

Ancora problemi con i certificati

Questo è stato un anno ricco di incidenti per i centri di certificazione, a cominciare da quello accaduto alla Comodo per proseguire poi con quanto è successo di recente alla olandese DigiNotar. Certificati trafugati sono stati inoltre individuati in programmi dannosi, tra cui anche il trojan Duqu. Il problema della perdita di credibilità dei certificati digitali in circolazione è attualmente un problema gravissimo per il quale non sono ancora stati trovate soluzioni. In novembre è stata la volta di un altro centro di certificazione olandese, la KPN, che, dopo aver comunicato di esser rimasta vittima di un attacco da parte degli hacker, ha interrotto l'emissione di certificati. La violazione è imputabile a una breccia individuata nel server web della KPN, che serve l'infrastruttura a chiave pubblica (PKI). L'attacco è stato condotto non meno di 4 anni fa.

Un incidente ancora più grave ha interessato il centro malese di certificazione Digicert (CA Digicert Malaysia). Il centro è stato infatti cancellato da tutti i produttori di browser e dalla Microsoft dall'elenco dei centri convenzionati. Questa misura, che colpisce per la sua severità, si è resa necessaria dopo la scoperta dell'emissione da parte della Digicert di 22 certificati con chiavi deboli a 512 bit e di certificati privi delle necessarie estensioni che definiscono le restrizioni per l'utilizzo dei certificati e delle informazioni sulla scadenza della validità. Jerry Bryant, rappresentante della Microsoft, ha fatto sapere che sebbene non si abbiano indizi che confermino che i cybercriminali siano riusciti a rubare anche solo uno di questi certificati, le chiavi deboli hanno permesso di crackarne alcuni. Rapporto completo di Kaspersky: http://newsroom.kaspersky.eu/fileadmin/user_upload/en/Downloads/PDFs/Kaspersky_Lab_press_release_Malware_November.pdf Fonte: Kaspersky Lab Via: Securlist