Classifica malware: novembre 2011

21 dic
Notizie Virus

Aleksandr Gostev
Denis Maslennikov
Sergej Golovanov
Jurij Namestnikov

Novembre in cifre

Nel corso del mese nei computer degli utenti dei prodotti Kaspersky Lab:

  • sono stati respinti 204.595.286 attacchi della rete;
  • sono stati bloccati 89.001.505 tentativi di infezione via Internet;
  • sono stati individuati e neutralizzati 238.045.358 programmi malware (tentativi di infezione locale);
  • sono state registrate 98.047.245 attivazioni di analisi euristiche.

Per quanto riguarda le minacce più classiche, novembre si è rivelato un mese relativamente tranquillo. Gli autori di programmi dannosi hanno continuato a sviluppare le tecnologie esistenti, mentre i programmatori di virus non hanno fatto registrare invenzioni di rilievo.

L'argomento del mese: DUQU, indagini in corso

A novembre il trojan Duqu, individuato in settembre e reso noto al pubblico in ottobre, è restato saldamente al centro dell'attenzione degli esperti e dei mass media. La principale ragione di tanto interesse è stata l'individuazione del metodo di intrusione di questo programma dannoso nei sistemi attaccati. L'attacco veniva condotto attraverso la posta elettronica per mezzo di un documento MS Word contenente l'exploit per una vulnerabilità in precedenza sconosciuta del sistema operativo Windows. L'errore nel componente di sistema win32k.sys consentiva di eseguire il codice dannoso dal file con i privilegi di amministratore.

Questa scoperta costituisce l'ennesimo parallelo tra Duqu e Stuxnet poiché anche quest’ultimo sfruttava vulnerabilità sino ad allora sconosciute. Già in ottobre abbiamo ipotizzato che l'individuazione del dropper Duqu potesse costituire la chiave principale per svelare il mistero dell'origine del trojan e che il dropper potesse contenere exploit per vulnerabilità simili.

Gli esperti di Kaspersky Lab sono riusciti a individuare l'e-mail originaria con il dropper e l'exploit, inviata ad una vittima in Sudan. L'analisi dettagliata è stata pubblicata nel blogpost. Kaspersky Lab ha aggiunto tempestivamente ai suoi prodotti l'aggiornamento per individuare l'exploit.

È da notare che all'inizio di dicembre la Microsoft non aveva ancora rilasciato la patch per chiudere la vulnerabilità in questione e che quindi il rischio di subire attacchi che la sfruttano è piuttosto elevato.

Oltre alle indagini sulla vulnerabilità abbiamo condotto alcune operazioni legate alla captazione di una serie di server di controllo di Duqu, situati in diversi Paesi del mondo. Purtroppo gli autori di Duqu hanno reagito tempestivamente alla notizia della scoperta della loro attività e il 20 ottobre hanno condotto un'azione globale di "cancellazione delle tracce" su tutti i server. Siamo tuttavia riusciti a ottenere dei dati e quindi le nostre indagini proseguono nella direzione intrapresa.

Tutte le informazioni in nostro possesso confermano che Duqu è stato creato allo scopo di sottrarre e accumulare dati relativi alle attività di una serie di aziende ed enti amministrativi iraniani. Una serie di indizi dimostra che Duqu probabilmente esisteva già negli anni 2007-2008 sotto forma di versioni non ancora messe a punto e che il worm Stuxnet è stato creato sulla base della stessa piattaforma utilizzata per creare Duqu. Inoltre l'elaborazione di Duqu e Stuxnet è probabilmente avvenuta in parallelo, in contemporanea.

Out of the box activity

Nuovi programmi e tecnologie dei cybercriminali

Negli ultimi tempi nei programmi dannosi va aumentando il numero di casi di utilizzo di metodi di steganografia.

In settembre era stato individuato l'utilizzo di file grafici contenenti dei comandi nascosti per controllare la botnet SST. Ricordiamo che il bot SST è una variante del noto e diffuso bot TDSS/TDL.

In novembre abbiamo riscontrato una tecnica analoga nella famiglia dei programmi trojan che minacciano gli utenti delle banche brasiliane. Si tratta del primo caso di utilizzo della steganografia nelle immagini dei trojan latino-americani.

I file, contenenti codici dannosi criptati e delle informazioni aggiuntive, presentavano l'estensione .jpeg, ma per la loro struttura erano in realtà dei file bmp. Per crearli i cybercriminali hanno utilizzato il metodo della cifratura a blocchi.

Utilizzando questa tecnica, i programmatori di virus ottengono in un solo colpo molteplici effetti. In primo luogo, essa consente di compromettere il corretto funzionamento dei sistemi automatici di analisi dell'antivirus: è possibile così che il file venga scaricato, controllato con i programmi antivirus e identificato come "pulito" e con l'andar del tempo il rinvio viene completamente escluso dal controllo. In secondo luogo, gli amministratori dei siti che ospitano questi file dannosi criptati non riescono a riconoscerli come dannosi e, di conseguenza, non intraprendono alcuna contromisura. In terzo e ultimo luogo, alcuni esperti antivirus non hanno il tempo o l'esperienza necessaria per trattare questi file, il tutto a vantaggio ovviamente del cybercriminale.

Minacce per i dispositivi mobili: i trojan SMS si diffondono in tutto il mondo

A metà luglio ci eravamo dedicati all'argomento dei "mittenti di SMS pornografici" che sfruttavano costosi messaggi SMS per abbonare gli utenti ai più svariati servizi. Queste applicazioni erano rivolte agli utenti di USA, Malesia, Paesi Bassi, Gran Bretagna, Kenia e Sudafrica.

In novembre abbiamo individuato dei trojan SMS che prendevano di mira gli utenti di alcuni Paesi europei e del Canada. I programmi dannosi inviano dal dispositivo infettato quattro SMS a un numero breve a pagamento. Questa famiglia di trojan viene da noi individuata come Trojan-SMS.AndroidOS.Foncy.

Secondo i messaggi che abbiamo reperito nei forum, i primi casi di infezione si sono verificati all'inizio di settembre. Pare che qualcuno abbia scaricato un'applicazione per monitorare i propri messaggi SMS/MMS, le telefonate e il traffico delle chiamate. Dopo averlo lanciato, il programma visualizzava sullo schermo del dispositivo un messaggio che informava dell'incompatibilità con la versione del sistema operativo Android utilizzato dall'utente. Dopodiché il credito dell'utente veniva depauperato.

Ricordiamo che prima che apparissero i malware della famiglia Trojan-SMS.AndroidOS.Foncy, i trojan SMS avevano attaccato principalmente gli utenti russi e cinesi. Oggi i trojan SMS rappresentano una delle fonti di guadagno più facili per i cybercriminali. Purtroppo l'utilizzo "dannoso" di numeri brevi e SMS costosi ha cominciato a diffondersi in tutto il mondo e siamo convinti che si tratti di una tendenza destinata a perdurare.

Minacce MacOS

Al giorno d'oggi è difficile sorprendere gli utenti di Windows mettendo trojan e worm nei siti che diffondono versioni pirata di popolari programmi, mentre al contrario per gli utenti di MacOS un attacco del genere è ancora una novità. Così alla fine di ottobre sui torrent tracker che diffondono versioni pirata di programmi per il Мас, è stato individuato un nuovo programma, battezzato Backdoor.OSX.Miner, che possiede contemporaneamente diverse funzioni dannose:

  1. apertura di un accesso remoto al computer infetto;
  2. raccolta di informazioni sulla cronologia dei siti visitati utilizzando il browser Safari;
  3. creazione di screenshot delle schermate;
  4. sottrazione del file wallet.dat dai clienti BitCoin;
  5. lancio non autorizzato del miner BitCoin.

Questo malware si sta diffondendo in parallelo mediante diversi torrent tracker, quali publicbt.com, openbittorrent.com e thepiratebay.org.

20ka_dec

Esempio di torrent tracker che diffonde il Backdoor.OSX.Miner

Secondo le nostre stime alla fine di novembre il malware Backdoor.OSX.Miner ha infettato decine di sistemi Mac.

Attacchi nella rete di società e grandi organizzazioni

Manomissione della banca dati Steam

La storia degli attacchi e delle violazioni dei servizi di Sony Playstation Network all'inizio dell'anno è tornata a fare notizia dopo che in novembre è stato individuato un caso simile con un'altra azienda produttrice di videogiochi: il servizio Steam della Valve. Agendo nell'anonimato, gli hacker sono riusciti a crackare il forum del servizio e a inviare una gran quantità di messaggi contenenti link di collegamento a filmati che illustravano come crackare i videogiochi. La Valve ha disattivato il server per risolvere il problema e nel corso delle indagini è stata appurata la manomissione del database Steam.

La banca dati compromessa conteneva informazioni quali i nomi degli utenti, le password hashed e salted, i dati relativi all'acquisto di giochi, gli indirizzi di posta elettronica degli utenti, gli indirizzi di fatturazione e i dati crittati delle carte di credito.

L'incidente ha costretto la direzione di Valve a rivolgersi con una lettera a tutti gli utenti del servizio, informandoli del problema individuato. Nella lettera è stato comunicato che l'azienda non ha scoperto prove che dimostrino che gli hacker siano riusciti a mettere le mani su numeri criptati delle carte di credito e dati personali degli utenti, ma "le indagini proseguono". Fino ad ora non ci sono state comunicazioni relative all'utilizzo da parte dei cybercriminali delle carte di credito degli utenti del servizio Steam. Tuttavia, la direzione di Valve si è raccomandata di controllare le transazioni effettuate con le carte di credito e di leggere con attenzione gli estratti conti delle carte.

Ancora problemi con i certificati

Questo è stato un anno ricco di incidenti per i centri di certificazione, a cominciare da quello accaduto alla Comodo per proseguire poi con quanto è successo di recente alla olandese DigiNotar. Certificati trafugati sono stati inoltre individuati in programmi dannosi, tra cui anche il trojan Duqu. Il problema della perdita di credibilità dei certificati digitali in circolazione è attualmente un problema gravissimo per il quale non sono ancora stati trovate soluzioni.

In novembre è stata la volta di un altro centro di certificazione olandese, la KPN, che, dopo aver comunicato di esser rimasta vittima di un attacco da parte degli hacker, ha interrotto l'emissione di certificati.

La violazione è imputabile a una breccia individuata nel server web della KPN, che serve l'infrastruttura a chiave pubblica (PKI). L'attacco è stato condotto non meno di 4 anni fa.

Più conosciuta per la sua attività nel settore delle telecomunicazioni, quattro anni fa la KPN ha acquistato la Getronics. L'ex Getronics, così come la DigiNotar, è autorizzata a emettere certificati. Come la DigiNotar, anche KPN è autorizzata a emettere certificati "speciali" per i servizi pubblici e governativi dei Paesi Bassi. KPN è un centro di certificazione più grande della DigiNotar e dopo la manomissione dei server DigiNotar, la maggior parte delle organizzazioni olandesi si è rivolta ai servizi KPN.

Per il momento non è chiaro se si possa escludere una violazione dei server del centro di certificazione. Inoltre, ci si deve chiedere com'è stato possibile che l'utility che ha condotto l'attacco DDoS sia riuscita a passare inosservata per quattro anni.

È interessante osservare che la dichiarazione della KPN può essere interpretata come una conferma implicita del fatto che i certificati già emessi rimangono validi a prescindere.

Un incidente ancora più grave ha interessato il centro malese di certificazione Digicert (CA Digicert Malaysia). Il centro è stato infatti cancellato da tutti i produttori di browser e dalla Microsoft dall'elenco dei centri convenzionati. Questa misura, che colpisce per la sua severità, si è resa necessaria dopo la scoperta dell'emissione da parte della Digicert di 22 certificati con chiavi deboli a 512 bit e di certificati privi delle necessarie estensioni che definiscono le restrizioni per l'utilizzo dei certificati e delle informazioni sulla scadenza della validità.

Jerry Bryant, rappresentante della Microsoft, ha fatto sapere che sebbene non si abbiano indizi che confermino che i cybercriminali siano riusciti a rubare anche solo uno di questi certificati, le chiavi deboli hanno permesso di crackarne alcuni.

Si deve sottolineare che in novembre sono stati individuati programmi dannosi firmati con il certificato del Malaysian Agricultural Research and Development Institute, un ente governativo. Secondo le informazioni fornite dai rappresentanti dell'istituto, il certificato era stato trafugato. Resta solo una domanda a cui rispondere: se si sapeva che il certificato era stato trafugato, perché non lo si è revocato a tempo debito?

Classifica di novembre

TOP 10 dei malware in Internet

1 Malicious URL 81,41% 0
2 Trojan.Script.Iframer 4,57% 0
3 Trojan.Script.Generic 1,67% 1
4 Trojan.Win32.Generic 0,74% -1
5 Trojan-Downloader.Script.Generic 0,61% 2
6 Trojan.JS.Popupper.aw 0,37% 3
7 Exploit.Script.Generic 0,36% -2
8 Trojan.JS.Agent.bwi 0,24% Novità
9 Exploit.Java.CVE-2010-4452.a 0,21% Novità
10 AdWare.Win32.Screensaver.i 0,16% Novità


TOP 10 dei Paesi nelle cui risorse sono stati ospitati programmi dannosi

1 Stati Uniti 26,72% 0
2 Germania 14,52% 1
3 Federazione russa 12,58% -1
4 Paesi Bassi 11,67% 0
5 Ucraina 6,69% 0
6 Isole Vergini, britanniche 3,99% 1
7 Cina 3,64% 1
8 Romania 2,11% 2
9 Великобритания 1,45% -3
10 Regno Unito 1,11% Novità

TOP 10 degli hosting dannosi

1 adv-downloader.in 11,83%
2 72.51.44.90 10,69%
3 rm-download.in 7,22%
4 69.170.135.91 6,71%
5 livestaticforus.info 6,37%
6 rx-downloader.in 6,04%
7 youtubedownload.altervista.org 3,91%
8 origin-ics.clickpotato.tv 3.87%
9 tizerplatform.com 3,60%
10 advancedadv.net 3,46%

TOP 10 delle zone di dominio dannose

1 com 35509894
2 ru 14482880
3 info 5891872
4 co.in 5221964
5 in 4197274
6 net 3493864
7 org 1971202
8 me 1953502
9 tv 536867
10 pl 384305

10 Paesi nei quali gli utenti sono maggiormente esposti al rischio di infezione mediante Internet

1 Federazione russa 44,88% 0
2 Armenia 39,21% 0
3 Corea (Repubblica di) 38,03% 6
4 Kazakistan 36,86% 4
5 Bielorussia 35,39% -2
6 Ucraina 33,43% 0
7 Azerbaigian 33,14% 3
8 Sudan 28,76% -1
9 Uzbekistan 28,63% Novità
10 Moldavia 28,13% Novità