Il Web sotto assedio

15 apr
Notizie Virus

Kaspersky Lab ha pubblicato un articolo tecnico per illustrare il funzionamento di un particolare metodo di diffusione del malware, il cosiddetto Drive-by Download. L’articolo, scritto dal Security Evangelist Ryan Naraine, spiega come è possibile scaricare virus e altri malware da un sito Internet senza che l’utente si accorga di nulla.

I cybercriminali installano un exploit su un loro server. Su alcuni siti web viene quindi caricato un codice che re-indirizza gli utenti verso il server infetto; gli utenti vengono solitamente indirizzati verso questi siti tramite messaggi spam o tramite dei link all’interno di forum e chat. Mentre in passato i cybercriminali creavano loro stessi dei siti web infetti, oggi preferiscono compromettere siti legittimi installandoci di nascosto degli exploit o un codice in grado di lanciare attacchi via browser. Questa metodologia rende i drive-by download ancor più pericolosi.

Su alcuni siti di hacker vengono venduti veri e propri kit di exploit, che servono poi come “motore” per i drive-by download. Questi kit contengono exploit in grado di sfruttare le vulnerabilità di diversi tipi di applicazioni, inclusi i browser. Se un exploit va a buon fine, viene installato di nascosto un Trojan che permette all’hacker di avere il controllo del computer. A questo punto il cybercriminale può utilizzare il computer infetto per effettuare attacchi DoS o per sottrarre informazioni personali dell’utente.

Secondo la società di sicurezza ScanSafe, il 74% di tutto il malware rilevato nel terzo trimestre del 2008 è stato installato compromettendo dei siti web. Ciò significa che siamo in presenza di un’epidemia su larga scala causata da malware drive-by download. In un arco temporale di 10 mesi, il Google Anti-Malware Team ha rilevato più di 3 milioni di URL in grado di diffondere malware drive-by download.

L’epidemia di malware drive-by download viene in gran parte attribuita alla mancata installazione di patch in ambienti Windows. A parte qualche sporadica eccezione, gli exploit in circolazione sfruttano vulnerabilità già conosciute e per le quali sono già disponibili delle patch. Il miglior modo per difendersi da questo tipo di minaccia è prestare attenzione all’installazione delle patch di tutte le applicazioni. E’ importante, inoltre, avere a disposizione una soluzione antivirus efficace e mantenerla costantemente aggiornata. Soprattutto, è necessario che la soluzione antivirus disponga di un sistema di analisi del traffico web che permetta di rilevare con precisione eventuali problemi legati ai drive-by download.

La versione completa dell’articolo è disponibile al link.

Questo materiale può essere riprodotto in forma integrale citandone la fonte originale (autore e azienda).