Nel report del terzo trimestre del 2012, gli esperti di Kaspersky Lab hanno esaminato i cambiamenti nel panorama delle minacce IT. Particolare rilievo hanno assunto le indagini sullo spionaggio informatico, i cambiamenti nella geografia delle minacce e la top 10 delle vulnerabilità. Su ogni computer sono state rilevate una media di otto vulnerabilità e le due più frequenti sono state individuate nei prodotti Oracle Java, rilevate sul 35% e 21,7% dei computer infetti, rispettivamente.
La top 10 include anche cinque prodotti Adobe, due prodotti Apple, QuickTime player e iTunes oltre al popolare Nullsoft Winamp media player. Grazie al sistema di aggiornamento automatico, introdotto nella recente versione del sistema operativo Windows, Microsoft non rientra più nella top 10 delle vulnerabilità.
I casi più significativi del trimestre sono stati i malware Madi, Gauss e Flame.
La campagna Madi è andata avanti per circa un anno e aveva come obiettivo le infrastrutture delle società ingegneristiche, delle organizzazioni governative, delle banche e delle università situate in Medio Oriente. I componenti nocivi sono stati distribuiti attraverso attacchi basati su tecnologie semplici e conosciute ma, nonostante ciò, i criminali informatici sono stati comunque in grado di spiare le proprie vittime per molto tempo. Le applicazioni e i siti che sono stati spiati comprendono gli account di Gmail, Hotmail, Yahoo! Mail, ICQ, Skype, Google+ e Facebook.
Gli attacchi portati nel corso della campagna Madi hanno prodotto l’installazione di programmi Backdoor, scritti in linguaggio Delphi, all’interno dei sistemi informatici presi di mira. I malware in questione potrebbero essere stati creati sia da un programmatore dilettante che da uno sviluppatore professionista con pochissimo tempo a disposizione. Il sofisticato attack-toolkit denominato Gauss è stato recentemente scoperto nel quadro delle febbrili attività intraprese dall'InITU a seguito dell'individuazione del malware Flame.
Il malware più sofisticato, Gauss, è stato classificato dagli esperti come “arma informatica” ed è stato scoperto durante un’indagine condotta dall’International Telecommunication Union (ITU) dopo la scoperta del malware Flame. Gauss è un Trojan “banking” sponsorizzato dagli stati-nazioni dotato di spyware, quindi in grado di sottrarre informazioni dai sistemi di online banking sui computer infetti in Medio Oriente.
Gauss inoltra segretamente ad un server le password inserite o salvate sul browser, file cookie e dettagli di configurazione del sistema infetto. Il malware si basa sulla piattaforma di Flame con cui condivide alcune caratteristiche, come la procedura di infezione dei computer tramite il drive USB.
Gli esperti di Kaspersky Lab hanno inoltre fatto nuove scoperte relative ai server di comando e controllo (C&C) di Flame.
Il codice C&C supporta tre protocolli di comunicazione e gestisce le richieste provenienti da quattro programmi nocivi codificati dagli sviluppatori come SP, SPE, FL e IP. Di questi quattro programmi nocivi, attualmente solo due sono conosciuti: Flame e SPE (miniFlame). Anche la geografia delle minacce mostra importanti cambiamenti. La Russia si è posizionata in cima alla classifica con una percentuale del 23,2%, superando gli Stati Uniti che arrivano al 20,3%.
Nel secondo trimestre, la top 20 dei paesi comprendeva esclusivamente paesi dell’ex Unione Sovietica, Africa e Sud-Est Asiatico. Nel terzo trimestre invece questa classifica ha incluso anche alcuni paesi del sud Europa quali Italia (36,5%) e Spagna (37,4%). La Russia è stata sostituita dal Tajikistan, con il 61,1%. Sottolineiamo, in primo luogo, come in oltre il 50% degli attacchi informatici siano state utilizzate le falle di sicurezza - o per meglio dire le vulnerabilità - individuate all’interno di Java.
TOP-20 relativa agli oggetti infetti rilevati in Internet
Posizione Denominazione %sul totale complessivo degli attacchi
1 Malicious URL 90,70%
2 Trojan.Script.Generic 2,30%
3 Trojan.Script.Iframer 1,60%
4 Trojan-Downloader.SWF.Voleydaytor.h 0,40%
5 Trojan.Win32.Generic 0,40%
6 Exploit.Script.Blocker 0,30%
7 AdWare.Win32.IBryte.x 0,20%
8 Trojan-Downloader.JS.Iframe.cyq 0,20%
9 Exploit.Script.Generic 0,20%
10 Trojan-Downloader.JS.Agent.gsv 0,20%
11 Trojan-Downloader.JS.JScript.bp 0,20%
12 Hoax.HTML.FraudLoad.i 0,20%
13 Trojan-Downloader.Script.Generic 0,10%
14 Trojan.HTML.Redirector.am 0,10%
15 Trojan-Downloader.Win32.Generic 0,10%
16 Trojan-Downloader.JS.Iframe.czo 0,10%
17 AdWare.Win32.ScreenSaver.e 0,10%
18 Backdoor.MSIL.Agent.gtx 0,10%
19 Trojan.JS.Popupper.aw 0,10%
20 Exploit.Java.CVE-2012-4681.gen 0,10%
Secondo i dati resi noti da Oracle, risulta che le varie versioni esistenti della celeberrima virtual machine siano attualmente installate in più di 1,1 miliardi di computer, ubicati in ogni angolo del globo. E’ importante considerare che gli aggiornamenti per la suddetta piattaforma vengono eseguiti solo su espressa richiesta dell’utente, quindi non in modalità automatica; ciò comporta, di riflesso, una maggior durata del ciclo di vita delle vulnerabilità. La versione completa del report “IT Threat Evolution: Q3 2012” è disponibile su securelist.com.
Nessun commento:
Posta un commento