Classifica malware - Ottobre 2011

09 nov 2011
Notizie Virus

Aleksandr Gostev
Denis Maslennikov
Jurij Namestnikov

Ottobre in cifre

Nel corso del mese nei computer degli utenti dei prodotti Kaspersky Lab:

  • sono stati respinti 161.003.697 attacchi di rete;
  • sono stati bloccati 72.207.273 tentativi di infezione via Internet;
  • sono stati individuati e neutralizzati 205.822.404 programmi malware (tentativi di infezione locale);
  • sono state registrate 80.900.079 attivazioni di analisi euristiche.

Nuovi programmi e tecnologie dei cybercriminali

Duqu, la nuova reincarnazione di Stuxnet

Senza ombra di dubbio in ottobre l'evento che ha suscitato più clamore nell'industria dei prodotti antivirus è stata la notizia relativa all'individuazione del programma trojan Duqu. L'analisi condotta dagli esperti del laboratorio di ricerca ungherese Crysys, ha messo in evidenza una serie di corrispondenze tra il codice del trojan e quello del worm Stuxnet, uno degli esempi più eclatanti di "cyber-arma". La somiglianza tra i due programmi nocivi è talmente marcata da poter avallare l'ipotesi che dietro questi due programmi si nasconda lo stesso gruppo di cybercriminali o che gli sviluppatori di Duqu abbiano utilizzato i codici sorgente di Stuxnet (che, nonostante una serie di voci ufficiose, non sono mai stati resi noti al pubblico).

A differenza di Stuxnet, che conteneva un codice per modificare i parametri di funzionamento di motori ad alta frequenza e che probabilmente è stato creato per mettere fuori uso le centrali di uno stabilimento iraniano di arricchimento dell'uranio, Duqu non è dotato di un funzionale che gli consente di operare con i sistemi industriali. Oltre al modulo principale che consente al trojan di funzionare e che permette l'interazione con il server di controllo, i file di Duqu individuati in Ungheria nel corso delle indagini sul primo caso di infezione reso noto, contenevano anche il modulo di un trojan-spia, in grado di intercettare i dati digitati con la tastiera, fare degli screenshot, raccogliere informazioni sul sistema ecc. Di conseguenza i dati sottratti potevano essere trasmessi sul server di controllo del trojan, situato allora in India. Il fatto che Duqu appaia chiaramente destinato allo spionaggio industriale, e non al sabotaggio industriale come invece era nel caso di Stuxnet, ha immediatamente destato una serie di domande sul suo vero scopo.

Nel corso delle loro indagini gli esperti di Kaspersky Lab non sono solo riusciti a individuare nuove vittime di Duqu, tra l'altro in prevalenza situate in Iran (il che richiama alla memoria la storia di Stuxnet e porta a istituire dei parallelismi), ma anche a trovare dei nuovi file di Duqu mai visti fino a quel momento. Ciò conferma la nostra ipotesi che gli sviluppatori di Duqu stiano proseguendo la loro "operazione" e che l'oggetto dei loro precisissimi attacchi (a differenza delle infezioni di massa di Stuxnet) siano degli obiettivi scelti accuratamente. Inoltre per ciascuno degli obiettivi contro i quali viene sferrato l'attacco si utilizza un apposito set di file del trojan. È probabile anche che vengano utilizzati degli altri moduli, non solo il trojan-spia di cui abbiamo parlato poc'anzi, ma anche moduli con una qualsiasi altra funzione.

Attacchi a singoli utenti

Bundestrojan: i limiti dell'ammissibile

In ottobre in Germania ha suscitato grande scalpore lo scandalo relativo all'individuazione di un backdoor utilizzato dalla polizia tedesca nel corso delle indagini per intercettare il traffico vocale e i messaggi inviati dai computer di persone sospette. L'indagine condotta dall'organizzazione di hacker tedesca Chaos Computer Club (CCC), alla quale hanno partecipato anche gli esperti di Kaspersky Lab in Germania, ha dimostrato che il trojan non ha per obiettivo la sola intercettazione dei messaggi inviati su Skype, ma che è indirizzato anche a tutti i browser più diffusi, a diverse applicazioni di messaggistica immediata e ai programmi di telefonia IP (VoIP), quali ICQ, MSN Messenger, Low-Rate Voip, paltalk, SimpPro, sipgate X-Lite, VoipBuster e Yahoo! Messenger. Inoltre è stato stabilito che il backdoor è in grado di funzionare con le versioni a 64 bit di Windows.

Lo scandalo è nato non solo dal fatto che già cinque Stati federali tedeschi hanno confessato di utilizzare questo trojan, ma anche perché le leggi federali del Paese permettono alle autorità di tutela giuridica solo di intercettare il traffico Skype delle persone sospette. Inoltre, come abbiamo appurato, il Backdoor.Win32.R2D2 (noto anche con il nome di "0zapftis") è in grado di "spiare" uno spettro molto più ampio di programmi.

Si è scoperto che un esemplare del trojan oggetto dell'indagine è stato installato dalla polizia sul notebook di una persona sospetta nel corso dei controlli effettuati all'aeroporto di Monaco. In seguito nei documenti del sito WikiLeaks sono stati scoperti materiali che dimostrano che lo sviluppo del trojan è stato commissionato all'azienda tedesca DigiTask per un costo di oltre 2 milioni di euro.

La storia di R2D2 ha sollevato ancora una volta la questione dell'esistenza di programmi trojan cosiddetti "governativi" e interrogativi sulla legittimità del loro utilizzo. Vale la pena osservare che la nostra azienda, come la maggior parte dei vendor di prodotti antivirus, assume in merito a questa questione una posizione rigida: individuiamo e continueremo a individuare tutti i programmi nocivi, a prescindere da chi li ha creati e a quale scopo.

Minacce per i dispositivi mobili: Android domina la classifica

Statistica

In ottobre è accaduto un evento importante per il mondo delle minacce mobile. Secondo i nostri dati statistici il numero approssimativo di malware per Android ha superato quello dei malware per la piattaforma J2ME (secondo questo indice Android aveva già superato Symbian verso la metà dell'estate). Ricordiamo che gli ultimi due anni sono stati dominati dal programma nocivo per Java 2 Micro Edition (J2ME). Abbiamo scritto diffusamente sulle ragioni che stanno alla base e non ci soffermeremo su di esse in questa sede. Tuttavia, una crescita tanto rapida e significativa dei malware per Android è indice del fatto che nel prossimo futuro l'attenzione sarà rivolta principalmente a questo sistema operativo.

Parliamo ora di cifre: alla fine di ottobre abbiamo individuato 1.916 varianti di programmi nocivi per Android, appartenenti a 92 diverse famiglie. Per quanto riguarda la piattaforma J2ME, sono state individuate 1.610 varianti appartenenti a 60 famiglie. Per quanto riguarda la suddivisione delle varianti individuate in tutte le piattaforme mobili, la situazione si presenta nel seguente modo:

top20_october2011_pic01_it

Il numero totale delle minacce mobili individuate dall'inizio della loro esistenza ha raggiunto alla fine di ottobre la cifra di 4.053 varianti appartenenti a 289 diverse famiglie.

Antammi

Purtroppo su Android Market i programmi dannosi appaiono con una certa frequenza. In ottobre, in seguito alla relativa comunicazione di Kaspersky Lab, dal sito di questo on-line shop per la vendita di applicazioni è stato eliminato l'ennesimo malware da noi individuato con il nome di Trojan-Spy.AndroidOS.Antammi.b.

Il malware si rivolge al pubblico di lingua russa. Su Android Market si può trovare una grande quantità di diverse applicazioni per scaricare suonerie. Anche Antammi.b contiene un funzione che consente di scaricare suonerie per il telefono (inviando SMS pagamento) e che sottrae praticamente tutti i dati personali dell'utente: contatti (che per esempio vengono copiati nella scheda di memoria SD nel file /sdcard/bestringtones/contacts.txt), archivi SMS, coordinate GPS ecc. Dopodiché il programma dannoso invia le informazioni relative al lavoro effettuato a una casella postale di Gmail e carica i dati sottratti sul server.

Questa applicazione nociva ha fatto la sua comparsa nell'online-shop ufficiale all'inizio di settembre e da allora Antammi.b è stato scaricato da 5.000 utenti.

Minacce per MacOS: individuato un nuovo funzionale

Nella metà di ottobre è stata individuata una nuova versione del trojan per il sistema operativo Mac OS X Flashfake, il Trojan-Downloader.OSX.Flashfake.d. La funzione principale del malware, vale a dire il download di file, è rimasta invariata. Come in precedenza il malware si mimetizza sotto le mentite spoglie di un file per l'installazione di Adobe Flash Player, tuttavia nel programma è stata sviluppata anche una funzione del tutto nuova per i malware per OSX.

Due anni fa la Apple aveva aggiunto al sistema operativo Mac OS X il sistema di protezione contro i programmi nocivi Xprotect. In sostanza si tratta di un semplice scanner di firme digitali che dal 31 maggio di quest'anno, dopo quanto è accaduto con MacDefender, verifica quotidianamente la presenza di eventuali aggiornamenti per la banca dati relativa ai programmi dannosi. Il Trojan-Downloader.OSX.Flashfake.d è in grado di mettere fuori uso la protezione di Xprotect, danneggiando i file di archivio principali. Dopodiché la protezione non riesce più a ricevere gli aggiornamenti della Apple, annullando così l'efficacia di Xprotect. I programmatori non avevano previsto alcun meccanismo di autoprotezione per impedire l'eventualità che questa protezione integrata nel sistema operativo potesse essere disattivata.

In tal modo il file dannoso Trojan-Downloader.OSX.Flashfake.d, una volta installatosi sul computer, non solo si autoprotegge da eventuali tentativi di eliminazione, ma rende vulnerabile il sistema mettendolo alla mercé di altri programmi dannosi che la protezione integrata dovrebbe individuare. Tutto ciò rende questo trojan ancora più pericoloso degli altri rappresentati delle famiglie di malware per OSX.

top20_october2011_pic02_it


Aumento della quantità di malware per OSX nel 2011 (statistica per varianti)

La comparsa di nuovi programmi dannosi per il sistema operativo Mac OS X è legata in primo luogo all'aumento della popolarità di cui godono i computer Apple. Purtroppo gli utenti del sistema operativo Mac OS X dedicano troppa poca attenzione alla sua protezione e non su tutti i computer è installato un programma antivirus. Le tecnologie utilizzate per i meccanismi di protezione integrati appaiono obsolete. Per questo motivo il segmento dei computer Apple diventa facile preda degli sviluppatori di virus.

Attacchi alla rete di società e a grandi organizzazioni

Ottobre è stato costellato di eventi nel settore degli attacchi rivolti alle società e alle autorità governative.

Giappone: sotto il mirino degli hacker

In primo luogo sono apparsi nuovi dati sull'attacco rivolto in agosto alla Mitsubishi Heavy Industries di cui abbiamo parlato nello scorso report.

Nel corso delle indagini condotte dalla polizia di Tokio si è accertato che sugli 83 computer oggetto dell'attacco sono stati individuati circa 50 diversi programmi nocivi. Solo su uno di questi computer ne sono stati individuati "solo" 28. È stato inoltre appurato che gli hacker hanno inviato oltre 300.000 messaggi ai sistemi infetti. L'indagine sulle origini dell'attacco ha rivelato ancora un computer infetto, di proprietà della Society of Japanese Aerospace Companies (SJAC). È proprio da questo computer che gli hacker hanno inviato le e-mail dannose alle loro vittime nelle aziende Mitsubishi Heavy e Kawasaki Heavy. Coloro che hanno condotto l'attacco si sono inoltre rivolti a questo stesso computer mediante un proxy server situato negli Stati Uniti, avendo cura di far scomparire tutte le tracce che avrebbero potuto far risalire alla loro ubicazione. Gli esperti giapponesi continuano tuttavia a ritenere che la pista da seguire sia quella cinese.

Dapprima era stato annunciato che non erano state sottratte informazioni di natura riservata, ma dopo circa un mese di indagini sull'accaduto la stampa ha comunicato che gli hacker sono riusciti a rubare dati relativi allo sviluppo di caccia a reazione nonché progetti e disegni di centrali elettriche nucleari.

Il Giappone figura ancora una volta nel bollettino di questo mese nel corso del quale è stato individuato un attacco mirato sferrato ai membri della camera bassa del Parlamento giapponese e a una serie di missioni diplomatiche di questo Paese in tutto il mondo. In Parlamento sono stati infettati 32 computer e gli hacker hanno avuto la possibilità (che forse hanno colto) di accedere alla corrispondenza elettronica dei parlamentari. Sono stati inoltre scoperti virus nei computer delle ambasciate giapponesi in Francia, in Olanda, a Miami, negli Stati Uniti, in Canada, in Cina e nella Corea del Sud. I programmi dannosi comunicavano con due server situati in Cina che i cybercriminali avevano già utilizzato in precedenza per gli attacchi rivolti alla Google.

Stati Uniti: nuovi dettagli su vecchi casi

In ottobre negli Stati Uniti , anch'essi sempre presenti quando si parla di cybercriminalità, nel corso di alcune sessioni straordinarie del Congresso è stata fatta luce sui dettagli di una serie di attacchi tra cui anche quelli legati alla violazione dei sistemi della RSA avvenuta nel mese di marzo. È stato comunicato che probabilmente altre centinaia di diverse società situate in tutto il mondo sono state vittima di casi simili e di attacchi da parte dello stesso gruppo di hacker. Ricordiamo che anche in questo caso gli esperti sono propensi a ritenere che si tratti di una minaccia di origine cinese.

Sono stati inoltre resi noti fatti relativi agli attacchi rivolti a due satelliti negli anni 2007-2008. Gli hacker, che restano ancora nell'anonimato, si sono ripetutamente intromessi nel lavoro di ricerca scientifica dei satelliti Landsat-7 e Terra AM-1. Ufficialmente non è stato comunicato se gli hacker siano riusciti a sottrarre delle informazioni o se siano riusciti a compromettere il lavoro dei satelliti. Secondo le dichiarazioni delle autorità americane i satelliti che hanno subito gli attacchi non giocano un ruolo essenziale nella sicurezza nazionale degli USA, ma il fatto stesso che gli attacchi siano riusciti desta una certa preoccupazione. In linea di principio, una volta avuto accesso al controllo del satellite, gli hacker possono metterlo fuori uso o compromettere i dati che vengono trasmessi per mezzo suo.

In tutto sono stati registrati quattro attacchi nel corso dei quali i cybercriminali hanno ottenuto l'accesso al controllo dei satelliti per qualche minuto. Probabilmente gli attacchi sono stati possibili dopo aver fatto breccia nei sistemi informatici di una stazione terrestre di controllo dei satelliti situata in Norvegia.

In tale contesto il caso relativo all'individuazione di un virus nei sistemi di controllo degli aerei pilotati in automatico in una delle basi americane appare davvero curioso. Il programma trojan volto a "sottrarre le password di accesso agli account degli utenti" era stato individuato in settembre sui dischi fissi portatili e sui computer del centro del sistema terrestre di controllo che fornisce supporto per le operazioni di pilotaggio remoto. Secondo quanto rivelato da una fonte anonima nel Ministero della difesa americano, il trojan era stato creato per sottrarre i dati di accesso agli account degli utenti di una serie di videogiochi online e probabilmente è capitato per caso nel sistema anziché nel corso di un attacco mirato. Ad ogni modo quanto accaduto mette in evidenza ancora una volta un comportamento negligente nei confronti della protezione che è inammissibile in settori nei quali le questioni relative alla sicurezza sono di importanza vitale.

Classifiche di ottobre

TOP 10 dei malware in Internet

1Malicious URL82,47%0
2Trojan.Script.Iframer2,25%+1
3Trojan.Win32.Generic1,41%+4
4Trojan.Script.Generic1,18%0
5Exploit.Script.Generic1,03%+2
6AdWare.Win32.Shopper.il0,46%Novità
7Trojan-Downloader.Script.Generic0,46%+1
8AdWare.Win32.Eorezo.heur0,32%-3
9Trojan.JS.Popupper.aw0,27%Novità
10AdWare.Win32.Shopper.jq0,23%Novità

TOP 10 dei Paesi nelle cui risorse sono stati ospitati programmi nocivi

1Stati Uniti25,43%0
2Federazione russa22,68%0
3Germania10,46%0
4Paesi Bassi10,09%0
5Ucraina7,52%+1
6Regno Unito4,58%-1
7Isole Vergini, britanniche3,86%+1
8Cina3,35%-1
9Giappone1,87%Novità
10Romania1,76%0

TOP 10 degli hosting nocivi

1stats1.in16,59%
2ru-download.in8,61%
372.51.44.908,39%
4e46l.cc8,20%
5adult-se.com7,88%
6rx-downloader.in7,88%
7lxtraffic.com5,10%
8literedirect.com4,75%
9au.imgfarm.com4,48%
10tizerplatform.com3,79%

TOP 10 delle zone di dominio nocive

1com29549282
2ru11275285
3in3229968
4info2284435
5net2096213
6org1625163
7me1382158
8tv962598
9cc649231
10biz387681

10 Paesi nei quali gli utenti sono maggiormente esposti al rischio di infezione mediante Internet

1Federazione Russa36,9%0
2Armenia33,7%0
3Bielorussia31,0%+1
4Irak30,8%+5
5Mongolia30,2%Novità
6Ucraina28,8%+1
7Sudan27,7%+3
8Kazakistan26,9%-5
9Corea (Repubblica di)26,9%-1
10Azerbaigian26,7%-4

© 1997 - 2014 Kaspersky Lab ZAO.

Produttore leader di Software Antivirus.
Kaspersky Lab Italia - P.IVA 09923201009