Diffusione malware Dicembre 2010

Statistica mensile sulla diffusione del malware a Dicembre 2010

Kaspersky Labs pubblica la statistica di Dicembre 2010.
Non vi sono segnalazioni particolari da segnalare. Tuttavia, in dicembre si è rilevato che:

• sono stati bloccati 209064328 attacchi di rete;
• sono stati impediti 67408107 tentativi di infezione via web;
• sono stati individuati e neutralizzati 196651049 programmi dannosi nei computer degli utenti;
• sono stati riconosciuti 70951950 oggetti tramite analisi euristica.

Le tattiche di attacco rimangono le medesime. La navigazione web rimane sempre rischiosa; il social engineering è ampiamente utilizzato per spingere gli utenti ad aprire link dannosi o a scaricare applicazioni pericolose o fraudolente.

A novembre 2010 è iniziata la registrazione di domini .рф (caratteri cirillici corrispondenti a Federazione Russa). I laboratori Kaspersky Labs hanno controllato la reazione dei cyber criminali alla nascita del nuovo dominio ed hanno rilevato che i malware scelti erano soprattutto dedicati ad operazioni fraudolente. Per ulteriori dettagli sui risultati dell'analisi, fare riferimento all'articolo completo (in lingua inglese). I programmi che si presentano come antivirus stanno spostando la propria piattaforma di diffusione principale su Internet. Non è necessario scaricarli sul computer: è sufficiente che l'utente sia portato a visitare una pagina internet specifica, operazione molto più semplice che superare una protezione antivirus. Numerose applicazioni di questo tipo erano tra i programmi dannosi più diffusi in Internet; due di questi sono entrati nella classifica dei 20 malware più diffusi.

Questo screenshot è tipico di Trojan.HTML.Fraud.ct e fornisce indicazioni su come lavorano i software che si spacciano per antivirus.

Il programma genera una pagina Internet che richiama quella tipica di un sistema operativo Windows. Il seguito è noto: si avvia la simulazione della scansione del computer e quasi immediatamente l'utente viene informato del rilevamento di malware. Se accetta di disinfettare il sistema, viene scaricato un falso programma antivirus che lo informa della necessità di acquistare una licenza per rimuovere il "malware".
La maggior parte dei computer dove è stato rilevato questo programma dannoso si trovano in paesi ad alto sviluppo industriale: USA, Canada, Regno Unito, Germania e Francia, con l'inserimento dell'India probabilmente a causa dell'elevato numero di utenti che utilizzano la lingua inglese.
I servizi di abbreviazione degli URL sono diventati assai diffusi. Possono certamente rivelarsi utili per superare ad esempio il limite di 140 caratteri di Twitter, ma i cyber criminali hanno ben presto iniziato a servirsene per mascherare link pericolosi.

Nel corso di un attacco a Twitter in dicembre, nell'elenco delle tendenze presente nella pagina principale erano presenti diverse voci inserite grazie a programmi dannosi. I link indicati nelle tendenze erano nel formato abbreviato, costruito con servizi come bit.ly ed alturl.com. Dopo numerose redirezioni i link portavano su una pagina web infetta dove veniva scaricato un programma dannoso sul computer dell'utente a sua insaputa. Anche il servizio goo.gl di Google è stato utilizzato all'inizio del mese per diffondere link dannosi su Twitter.

Un altro modo usato per mascherare link dannosi è stato individuato alla fine del mese in un mass mailing instant messenger con link ad una pagina Facebook, che avvertiva gli utenti che stavano uscendo dal sito di social networking. Il link era stato modificato in modo tale che, con un clic sul pulsante 'Continua' presente nella pagina Facebook, si arrivava ad un sito dannoso.
Oltre a preparare attacchi online e sfruttando i social network, i cyber criminali lavarano sull'"artiglieria pesante" del loro arsenale. Gli autori di uno dei programmi dannosi più complessi - il rootkit TDSS - continuano a perfezionare la propria creatura. A dicembre l'ultima variante del rootkit, TDL-4, ha iniziato a sfruttare la vulnerabilità CVE-2010-3338 individuata a giugno 2010 nel corso dell'analisi del worm Stuxnet.
Nell'articolo di novembre abbiamo riferito della crescita esponenziale del ceppo Trojan-Downloader.Java.OpenConnection, che non sfrutta vulnerabilità per scaricare malware sul computer dell'utente ed utilizza invece il metodo OpenConnection di una classe URL.

Due appartententi al ceppo Trojan-Downloader.Java.OpenConnection (2a e 7a posizione) sono nella Top 20 dei programmi dannosi individuati in Internet a dicembre. Nel picco della loro attività, sono stati oltre 40.000 i computer sui quali sono stati rilevati in un periodo di 24 ore.
Come detto, tutti gli appartenenti al ceppo Trojan-Downloader.Java.OpenConnection si basano su una funzionalità standard Java per scaricare ed eseguire file dal web. Al momento questo è uno dei metodi principali di download di programmi dannosi scritti in Java. Fino a che Oracle non corregerà la funzionalità usata da questo ceppo per scaricare file, la sua popolarità continuerà a crescere.

Nella Top 20 dei programmi dannosi in Internet per dicembre è presente Exploit.Win32.Pidief.ddl (11mo posto), che è un documento PDF basato su Adobe XML Forms. Il contenuto dannoso di Pidief.ddl è un JavaScript inserito nello stream XML. L'object model di Adobe XML Forms contiene un oggetto 'evento' che esegue uno script quando si verifica un evento particolare. La proprietà 'activity' dell'oggetto si occupa dell'esecuzione dello script. Questa proprietà contiene una stringa che comunica al parser quando eseguire lo script. La stringa in questo particolare file contiene il termine 'initialize', che comporta l'esecuzione dello script dannoso quando si apre il documento PDF. Lo script scarica ed esegue un altro programma dannoso.
Si tratta del primo caso rilevato della diffusione di massa di documenti PDF malformati che utilizzano Adobe XML Forms. Al primo posto dell'elenco delle minacce basate su web, distanziando notevolmente la concorrenza, si trova AdWare.Win32.HotBar.dh, un programma adware che comprende HotBar, Zango e ClickPotato. Si trova anche al quinto posto dell'elenco nella Top 20 dei programmi dannosi individuati sui computer degli utenti. Solitamente questo tipo di software è installato insieme ad applicazioni legittime per presentare poi all'utente puublicità invasiva.

Leggi l'articolo completo su SecureList (lingua inglese).