Analisi delle attività dei virus informatici e classifica malware - marzo 2012

02 mag
Notizie Virus

Duqu

I nostri esperti stanno conducendo da sei mesi approfondite indagini e ricerche in merito all'evoluzione del famigerato Trojan Duqu. Nel mese di marzo 2012 è stato identificato il linguaggio di programmazione utilizzato dai malintenzionati per sviluppare il codice relativo al framework di cui si avvale il Trojan. Ciò si è reso possibile grazie al contributo della community internazionale dei programmatori, dalla quale sono regolarmente giunte centinaia di supposizioni e ipotesi in materia.

La sezione di codice nocivo, denominata «Duqu Framework», è risultata costituita da un codice sorgente “C” scritto con Microsoft Visual Studio 2008, dotato di opzioni speciali ("/O1" e "/Ob1") utilizzate per ottimizzare la dimensione del codice e l’espansione inline. Gli sviluppatori del codice nel processo di elaborazione del programma nocivo si sono avvalsi di un’estensione personalizzata per combinare la programmazione orientata agli oggetti con C, generalmente indicata come «OO C» (Object Oriented C). I nostri esperti ritengono che la specifica architettura di tipo «event-oriented» sia stata sviluppata come parte del framework, o nel quadro dell'estensione OO C. Si suppone che il codice responsabile delle interazioni con il Command & Control (C&C) server sia stato preso in prestito da un altro progetto software, per poi essere adattato alle esigenze e funzionalità previste nel progetto Duqu. Sulla base di tali elementi, riteniamo che l'elaborazione del codice maligno in questione sia stata realizzata da veri e propri professionisti, un team di sviluppatori di grande esperienza, della cosiddetta «vecchia scuola», i quali hanno voluto creare un framework personalizzato per supportare una piattaforma altamente flessibile. Il codice può essere stato recuperato da operazioni informatiche precedenti e, dopo un'adeguata personalizzazione, riutilizzato per un'opportuna integrazione nel Trojan Duqu. L'approccio di elevata «professionalità» che contraddistingue il modus operandi degli autori di Duqu si ritrova di solito nell'esclusivo ambito dei progetti software altamente specializzati e quasi mai nei processi di elaborazione dei programmi malware di oggi. Ciò testimonia in maniera inequivocabile il fatto che Duqu, al pari di Stuxnet, rappresenta un «prodotto» davvero unico nel suo genere, che spicca in maniera ben distinta nel vasto panorama dei software nocivi attualmente in circolazione.

Quando in un progetto vengono investiti così tanti mezzi e risorse, come è avvenuto nel caso dell'elaborazione e dello sviluppo dei malware Duqu e Stuxnet, è ovvio che le azioni intraprese non possano essere di colpo interrotte e messe definitivamente da parte. Nel mese di marzo, in effetti, è stato individuato «in-the-wild» un nuovo driver, sostanzialmente analogo a quelli precedentemente utilizzati nell'ambito del programma trojan Duqu. I driver già noti ai nostri esperti erano stati creati il 3 novembre 2010 e il 17 ottobre 2011, mentre la data di creazione del nuovo driver sopra menzionato è risultata essere il 23 febbraio 2012. Ciò significa, semplicemente, che dopo una pausa di ben quattro mesi, gli autori di Duqu si sono di nuovo messi al «lavoro».

Le funzionalità presenti nel nuovo driver di Duqu coincidono con quelle rilevate nelle precedenti versioni del malware. Le differenze esistenti a livello di codice non risultano significative, ma testimoniano in maniera evidente l'effettuazione di un preciso lavoro di correzione degli errori commessi dagli sviluppatori del Trojan, lavoro principalmente finalizzato a contrastare il rilevamento del file nocivo da parte delle soluzioni antivirus. Il modulo principale di Duqu, associato al driver, non è stato invece ancora individuato. Maggiori informazioni e dettagli riguardo al trojan Duqu, unitamente ai dati statistici relativi alle vittime colpite da tale malware ed alle sue varianti attualmente note sono disponibili all'interno del nostro blog, all'indirizzo http://www.securelist.com.

La lotta contro la criminalità informatica

Lo smantellamento della seconda botnet Hlux/Kelihos

Gli esperti di Kaspersky Lab, in collaborazione con CrowdStrike Intelligence Team, Dell SecureWorks e i membri di Honeynet Project, hanno smantellato la seconda botnet Hlux/Kelihos. Gli analisti e i ricercatori avevano assegnato alla botnet la denominazione di Kelihos.B, sottolineando come, per la creazione della stessa, i cybercriminali avessero fatto ricorso ad una seconda versione modificata della bot originale.

Il 21 marzo è stata lanciata una vasta operazione di «sinkholing», realizzata attraverso l'«intromissione» di un apposito sinkhole router nelle stesse «infrastrutture» della botnet Hlux/Kelihos, rete-zombie di tipo peer-to-peer (P2P); in altre parole, è stata attivata la propagazione sincronizzata di un indirizzo IP sinkhole all'interno del network peer-to-peer malevolo. Lo scopo era quello di far sì che le macchine infette asservite alla botnet Hlux/Kelihos iniziassero a comunicare con il router dedicato. In effetti, dopo una settimana dall'inizio di tale operazione, con il dispositivo di sinkholing già interagivano oltre 116.000 bot. In tal modo, veniva del tutto sottratto il controllo dei bot ai titolari della botnet in questione, grazie all'elevata «popolarità» dalla sinkhole-machine all'interno del network P2P maligno Hlux/Kelihos. Ciò permetteva a Kaspersky Lab di poter controllare un vasto numero di computer infetti, scongiurando l'accesso dei bot-operator a questi ultimi. La rete-zombie è stata indebolita, proprio in ragione della progressiva perdita di controllo sulle macchine infette da parte dei cybercriminali.

Generalmente, una volta iniziate le operazioni di intercettazione dei comandi di una botnet, i botmaster che hanno sviluppato la rete-zombie posta sotto attacco cercano di riprendere il controllo della propria creatura, rilasciando una nuova versione del programma bot utilizzato ed avviando una nuova campagna per l'asservimento di nuovi computer-zombie al network nocivo da. Nello scorso mese di settembre, dopo la neutralizzazione della prima botnet Hlux/Kelihos, si era presentato uno scenario del genere; la stessa successione di avvenimenti si è prodotta anche nel mese di marzo 2012.

Una nuova versione del bot — Kelihos.C — (la terza) è stata individuata ad alcuni giorni di distanza dall'avvio dell'operazione di sinkholing. A quanto pare, i botmaster in questione erano già preparati ad una possibile inibizione delle attività svolte dalla loro creatura e sono pertanto passati ad una sorta di «Piano B». In Kelihos.C, così come in Kelihos.B, è stata rilevata una modifica delle chiavi RSA, utilizzate per la codifica di alcune strutture di comunicazione.

Proprio in relazione alla costante release da parte dei titolari delle botnet di nuove versioni, numerosi ricercatori continuano a dichiararsi piuttosto scettici riguardo alla reale efficacia del metodo “sinkhole” al fine di ottenere la neutralizzazione e lo smantellamento delle reti-zombie. Nonostante questo, i nostri esperti sono tutti quanti inclini a pensare che l'esecuzione di operazioni di sinkholing sia comunque in grado di complicare la vita ai proprietari delle botnet; in effetti, questi ultimi dovranno produrre considerevoli sforzi per realizzare la diffusione di nuovi programmi bot e la conseguente infezione di computer degli utenti della Rete. Inoltre, finché le architetture e i protocolli impiegati nelle nuove versioni dei bot non risultano sottoposti a modifiche, il gioco del “gatto col topo” può essere tranquillamente proseguito con ottime possibilità di successo.

L'offensiva nei confronti di ZeuS e dei suoi «padroni»

A metà marzo Microsoft, in collaborazione con NACHA (The Electronic Payments Association) e FS-ISAC (Financial Services – Information Sharing and Analysis Center), organizzazione non-profit che tutela gli interessi del mondo della finanza statunitense, ha condotto un'ulteriore offensiva nei confronti di vari titolari e gestori di botnet, offensiva che è stata battezzata con il nome in codice «Operation B71». Dopo aver ricevuto il via libera da parte delle autorità giudiziarie USA (nella fattispecie dalla Corte Distrettuale di New York), Microsoft ha disattivato alcuni Centri di Comando e Controllo delle botnet più attive ed estese in assoluto, create e sviluppate dai cybercriminali sulla base del sofisticato trojan ZeuS.

La società di Redmond ha mirato all'individuazione dei criminali informatici responsabili dell'elaborazione e della diffusione su scala globale del malware ZeuS e di ulteriori programmi trojan con caratteristiche simili a quelle del famigerato ZeuS, quali SpyEye ed Ice-IX (quest'ultimo creato sulla base di codice sorgente ZeuS «trafugato»).

Microsoft ha sporto denuncia nei confronti di 39 persone anonime, coinvolte nei processi di elaborazione di codici nocivi e nella creazione di botnet basate su tali codici. Solo provvedimenti drastici sono in grado di ridurre i danni provocati dalla diffusione e dall'utilizzo massiccio dei trojan bancari da parte dei malfattori; secondo le stime raccolte da Microsoft, il danno finanziario complessivo prodotto da ZeuS, SpyEye ed Ice-IX ammonterebbe all'iperbolica cifra di circa mezzo miliardo di dollari.

Arrestati i malfattori che hanno fatto uso del trojan-banker «Carberp»

Le forze di polizia della Federazione Russa, in collaborazione con il gruppo di ricerca denominato Group-IB, hanno completato una serie di indagini in merito alle attività criminali condotte da un gruppo di persone coinvolte nel furto di cospicue somme di denaro, realizzato grazie all'uso del noto trojan-banker denominato Carberp. Sulla base dei dati diffusi dall'ufficio stampa del Dipartimento «К» (sezione speciale del Ministero degli Interni russo, dedita alla lotta nei confronti del crimine informatico), è emerso che il gruppo era costituito da otto individui; vittime delle loro azioni criminose sono risultati essere i clienti di decine di istituti bancari russi, per un danno complessivo di circa 60 milioni di rubli illegalmente sottratti. Le indagini si sono concluse con l'arresto dei malfattori.

In Russia le notifiche relative all'arresto di cybercriminali non sono frequenti; è ovvio come tale notizia sia stata accolta con generale soddisfazione. Occorre tuttavia sottolineare come le indagini condotte dalle forze dell'ordine si siano esclusivamente concentrate sulle attività svolte da un unico gruppo di malintenzionati, il quale si è avvalso di codice nocivo già pronto per l'uso (quello relativo al trojan bancario Carberp) ed ha fatto ricorso ai servizi specifici erogati da programmi di “partenariato” (o programmi di “affiliazione”) dediti alla diffusione del malware. Nel comunicato ufficiale emesso dalle autorità di polizia della Federazione Russa, si afferma che il gruppo di persone sottoposte ad arresto risultava composto sia da botmaster, sia dai cosiddetti «muli» preposti al riciclaggio del denaro (nella circostanza al ritiro presso gli sportelli bancomat delle somme illecitamente sottratte). E' quindi evidente come l'autore del programma trojan sopra menzionato e i titolari delle partnership rimangano tuttora in libertà. Tra l'altro, il trojan Carberp continua ad essere venduto sottobanco all'interno di alcuni forum specializzati. Ciò significa che il malware continua ad essere utilizzato da altri gruppi di cybercriminali. In particolar modo, stiamo monitorando le attività condotte nell'ambito di varie botnet basate proprio sulle funzionalità di cui è provvisto il trojan-banker Carberp. Non è stato ancora appurato se tali reti-zombie appartengano ad un solo gruppo o a più gruppi di malintenzionati.

Gli attacchi nei confronti dei singoli utenti

Il bot «incorporeo»

Verso la metà del mese gli esperti di Kaspersky Lab hanno individuato un attacco unico, nel corso del quale i cybercriminali hanno fatto ricorso ad un programma malware in grado di funzionare senza dover provvedere alla creazione di file all'interno del sistema sottoposto ad infezione informatica.

Per la diffusione del codice nocivo è stata sfruttata una rete teaser, comprendente una serie di siti di news russi particolarmente popolari nel web. Assieme ad uno dei teaser, nello script JS del sito veniva caricato un iframe in grado di reindirizzare l'utente verso un sito nocivo contenente un exploit Java, situato nella zona di dominio .EU.

A differenza di quanto avviene nei tradizionali attacchi di tipo “drive-by”, il programmma maligno in questione non veniva caricato sull'hard disk del computer sottoposto ad attacco, ma espletava le proprie funzionalità esclusivamente nell'ambito della memoria operativa del computer-vittima. Agendo né più né meno come un bot, il malware provvedeva ad inviare al server allestito dai malintenzionati le query effettuate dall'utente, così come i dati relativi alla cronologia dei siti visitati da quest'ultimo tramite il proprio browser. Se all'interno dei dati trasmessi venivano individuate informazioni relative all'utilizzo di sistemi di banking online, sul computer infettato veniva installato il trojan Lurk, preposto al furto delle informazioni confidenziali utilizzate dagli utenti per accedere ai sistemi di remote banking allestiti da tutta una serie di istituti bancari russi.

L'attacco informatico in questione ha preso di mira gli utenti russi della Rete. Non escludiamo tuttavia che l'exploit sopra citato e questo stesso bot «incorporeo» possano essere usati dai malintenzionati anche nei confronti degli utenti del banking online ubicati in altri paesi; in effetti, i due malware sopra menzionati possono essere diffusi per mezzo di analoghe reti di banner o reti teaser attive in altre zone del pianeta.

Per la prima volta ci siamo imbattuti in una rara tipologia di malware, ovverosia in una sorta di programma nocivo «immateriale». Si tratta di software nocivi che di fatto non esistono sotto la consueta forma di file su disco, ma funzionano esclusivamente nell'ambito della memoria operativa del computer sottoposto ad attacco ed infettato. Tali circostanze complicano in maniera considerevole il processo di rilevamento di simili malware attraverso l'azione espletata dai programmi antivirus.

Nonostante il fatto che tali programmi «incorporei» siano in grado di poter operare soltanto fino al successivo riavvio del sistema operativo, rimane piuttosto elevata la probabilità che il medesimo utente-vittima possa nuovamente accedere al sito infetto.

Gli esperti di Kaspersky Lab avvertono costantemente gli utenti di come una tempestiva installazione degli aggiornamenti resi disponibili dalle software house possa di fatto costituire l'unico metodo sicuro e affidabile per proteggersi adeguatamente dai programmi nocivi. Nella fattispecie, per l'eliminazione della vulnerabilità CVE-2011-3544, individuata in Java, si raccomanda di procedere quanto prima all'installazione della patch rilasciata da Oracle, il cui download può essere eseguito attraverso il seguente link.

Ancora un furto di certificati digitali

Ormai, sempre più spesso ci imbattiamo in programmi malware provvisti di firma digitale. Alla metà di marzo sono stati nuovamente individuati software nocivi firmati con certificati digitali del tutto validi e legittimi; si è trattato, nella circostanza, dei trojan denominati Mediyes. E' stata rilevata una vera e propria moltitudine di file dropper firmati in tempi diversi, dal mese di dicembre 2011 per finire al 7 marzo 2012. In tutti i casi individuati è stato osservato l'utilizzo illecito di un certificato emesso dalla società svizzera “Conpavi AG”. Si tratta di una compagnia che abitualmente collabora con vari organi governativi e amministrativi della Confederazione Elvetica, quali Comuni, Cantoni, etc.

Probabilmente, i malintenzionati sono riusciti nell'intento di infettare un computer (o più computer) appartenente alla società svizzera e quindi sottrarre illegalmente un determinato certificato digitale, che è stato successivamente utilizzato per firmare i file dannosi. (Di tale specifica funzionalità è provvisto il noto spyware ZeuS, che effettua una dettagliata ricerca dei certificati digitali presenti nel computer contagiato e, nel caso in cui riesca a reperirne alcuni, procede all'immediata trasmissione degli stessi ai malintenzionati di turno). Il fatto che nell'incidente virale siano stati coinvolti enti governativi e amministrativi non sembra promettere nulla di buono. Non sappiamo a quali dati sensibili connessi ad esempio alle attività governative territoriali di municipalità e cantoni svizzeri abbiano potuto accedere i malintenzionati.

Il trojan Mediyes custodisce nella cartella di sistema adibita a contenere i driver il proprio driver, la cui funzione è quella di «iniettare» una libreria nociva all'interno del browser. Ne consegue che, nel caso in cui l'utente effettui query nell'ambito dei motori di ricerca Google, Yahoo e Bing, questi ultimi provvederanno a indirizzare il browser verso il server allestito dai cybercriminali, che fornirà in risposta un elenco di link direttamente relazionati al noto programma di partenariato Search123. Attraverso tali link la libreria emulerà di nascosto i click dell'utente, generando profitti illeciti.

Estensioni nocive per il browser Chrome

All'inizio del mese di marzo 2012 gli esperti di Kaspersky Lab hanno individuato un'ulteriore estensione nociva per il browser Google Chrome. L'attacco informatico rilevato dai nostri esperti era rivolto nei confronti degli utenti del social network Facebook residenti in Brasile. Di fatto, però, non vi era nulla che potesse impedire agli stessi cybercriminali di portare attacchi dello stesso genere anche verso utenti Internet ubicati in altri paesi.

All'interno del più esteso social network della Rete erano stati diffusi link sotto forma di suggerimenti per scaricare applicazioni (apparentemente utili) dedicate a Facebook, del tipo: «Modifica il colore di sfondo della tua pagina», oppure «Scopri chi visita la tua pagina» e ancora «Scopri come rimuovere un virus dalla tua pagina Facebook». Nel caso in cui l'utente avesse proceduto all'installazione dell'applicazione, sarebbe stato indirizzato verso il sito Chrome Web Store, dove lo avrebbe atteso, sotto forma di lettore «Adobe Flash Player» fasullo, un'estensione specificamente «dedicata» al browser Google Chrome.

Per l'utente medio della Rete possono risultare di non immediata comprensione tutti i dettagli e le sfumature che accompagnano la pubblicazione delle applicazioni nel marketplace online di Google Chrome. L'utente visualizza semplicemente sul proprio schermo un sito ufficiale allestito dalla società Google e non immagina quindi che da esso possa essere scaricato un programma nocivo. Il problema risiede nel fatto che tutti hanno l’ opportunità di pubblicare estensioni per Google Chrome all'interno del sito web: per far ciò è difatti sufficiente disporre di un semplice account Google. Possedendo tale account e recandosi nell'apposita sezione del Chrome Web Store, è possibile eseguire all'interno del marketplace online di Google l'upload dell'applicazione elaborata e sviluppata con le proprie mani.

Una volta effettuata l'installazione dell'estensione maligna sul computer dell'utente, i malintenzionati avrebbero ottenuto il pieno controllo sull'account Facebook della «vittima». Le dinamiche dell'incidente virale sopra descritto prevedevano difatti che, dopo l'installazione sul computer infettato, l'estensione dannosa provvedesse a scaricare un determinato script nocivo dal centro di comando predisposto dai cybercriminali. Così, quando l'utente si fosse recato sulla propria pagina Facebook, il suddetto script si sarebbe automaticamente inserito all'interno del codice html della pagina web.

In particolar modo, la funzione dei suddetti script nocivi consisteva nel realizzare un vero e proprio accumulo di «Mi piace» sulle pagine di interesse dei malintenzionati, così come nella pubblicazione automatica di messaggi sulle bacheche Facebook degli utenti-vittima. Tra i messaggi falsi individuati, spicca quel particolare messaggio, «pubblicato» a nome dell'utente-vittima stesso, in cui si consigliava agli amici del social network proprio l'installazione dell'estensione in questione.

Google ha provveduto ad eliminare in tempi rapidi l'applicazione nociva, subito dopo aver ricevuto notifica della sua presenza all'interno del Chrome Web Store. I malintenzionati hanno nel frattempo provveduto a creare nuove simili estensioni e a collocare le stesse nel marketplace online di Chrome.

L'exploit RDP per la vulnerabilità MS12-020

Nel mese di marzo Microsoft ha rilasciato un'ulteriore patch di sicurezza, destinata a chiudere una vulnerabilità individuata nel servizio «Microsoft Terminal Services», noto con il nome di «Remote Desktop». Tale vulnerabilità si è rivelata estremamente critica ed è stata ricondotta a quella serie di vulnerabilità legate all'utilizzo della memoria; MS12-020 riguardava il modo di elaborazione dei pacchetti nella memoria da parte del protocollo RDP. La vulnerabilità in questione risultava presente nel codice eseguito con i diritti del sistema locale.

Essa è stata scoperta dal ricercatore italiano Luigi Auriemma che ha creato un pacchetto di rete in grado di mettere fuori combattimento (Denial of Service) il servizio Remote Desktop. Il ricercatore ha poi provveduto a trasmettere informazioni dettagliate al dipartimento di sicurezza di Microsoft competente in materia. Il percorso seguito da tali informazioni rimane un vero e proprio mistero; ciò che è noto è soltanto il fatto che esse sono trapelate nella Rete globale e al posto in luogo delle generiche e consuete formulazioni da parte della casa di Redmond i potenziali “attaccanti” hanno potuto disporre di un concreto esempio di sfruttamento della vulnerabilità rilevata nel servizio Remote Desktop di Microsoft.

Su Internet si sono così fatti vivi in molti, desiderosi di reperire quanto prima un exploit in grado di sfruttare la vulnerabilità, anche se con intenti diametralmente opposti: alcuni hanno cercato di individuare un exploit per poter condurre attacchi informatici, altri si sono invece mostrati interessati alla questione soltanto dal punto di vista “tecnico”, ovverosia per confermare semplicemente l'effettiva esistenza di un exploit per la vulnerabilità MS12-020 e lanciare così un segnale di reale allarme all'intera comunità IT mondiale. Alcuni ricercatori ed analisti hanno iniziato a prepararsi in vista del possibile dilagare di epidemie informatiche causate da nuovi worm di rete in grado di sfruttare la vulnerabilità sopra descritta.

Gli sviluppatori di exploit, da parte loro, non si sono fatti troppo attendere: sono comparse le prime versioni di codice nocivo volte ad offrire l'accesso non autorizzato in modalità remota, attraverso Remote Desktop, ai computer provvisti di sistema operativo Windows.

Ad ogni modo, una delle prime versioni dell'exploit in questione comparse sulla scena del malware si presentava, a tutti gli effetti, come una vera e propria presa in giro:

La paternità dell'exploit riportato nello screenshot è stata attribuita all'hacker Sabu, membro di Lulzsec, recentemente accusato dai suoi stessi «colleghi» di aver trasmesso all' FBI informazioni riservate riguardo ad altri rappresentanti del noto gruppo di hacktivisti, il cui successivo arresto sarebbe stato realizzato proprio grazie a tale «soffiata».

Il codice nocivo risulta scritto in linguaggio Python e pare utilizzare il modulo <freerdp>, come evidenzia il testo qui sopra riprodotto. Il fatto è che, in realtà, non esiste nessun modulo freerdp per Python noto. E' pur vero che in Rete si può facilmente reperire un'implementazione open source del protocollo Remote Desktop, nota come FreeRDP (http://www.freerdp.com); tuttavia, gli stessi sviluppatori non dispongono di informazioni riguardo alla realizzazione di uno specifico supporto freerdp sulla piattaforma Python. L'«exploit» sopra descritto si è quindi rivelato essere solo una burla.

E' addirittura comparso in Rete un sito web specializzato in materia, il cui nome è di per se un programma: http://istherdpexploitoutyet.com (traduzione: “è già apparso l'exploit RDP?”).

Per quel che ci riguarda, non abbiamo ancora individuato un exploit in grado di consentire l'esecuzione di codice nocivo in modalità remota attraverso il servizio Remote Desktop. La maggior parte delle elaborazioni che si sono manifestate sulla scena non sortivano alcun effetto concreto, oppure conducevano ad un vero e proprio denial of service, producendo il famigerato BSOD (Blue Screen of Death), la schermata blu mostrata dai computer provvisti di sistema operativo Windows quando si verifica un errore di sistema critico. Cogliamo l'occasione per raccomandare a tutti coloro che si avvalgono dell'OS Microsoft Windows di verificare se sui loro sistemi operativi viene utilizzato o meno il servizio Remote Desktop. Qualora il protocollo RDP risultasse effettivamente abilitato, occorrerà allora installare il più rapidamente possibile l'apposita patch rilasciata da Microsoft, nonché riflettere sul fatto se il servizio sopra menzionato risulti davvero indispensabile nel sistema operativo impiegato.

Ovviamente, sarà nostra cura comunicare l'eventuale comparsa di un exploit in grado di poter sfruttare la vulnerabilità MS12-020 e quindi capace di realizzare l'esecuzione di codice nocivo da remoto; per il momento è possibile verificare sul sito web http://rdpcheck.com se il server Internet risulta vulnerabile ad un potenziale attacco RDP.

Le minacce per MAC

Nel mese di marzo 2012 è stata osservata un'attività senza precedenti dei programmi malware creati dai virus writer per colpire la piattaforma MAC OS. Probabilmente, l'avvenimento più eclatante è legato ad una campagna di spam indirizzata verso gli account e-mail di organizzazioni non governative correlate al Tibet, campagna individuata dalla società statunitense AlienVault Labs; nel corso di tale mailing di massa sono stati diffusi, nelle e-mail box prese di mira, link preposti a condurre gli utenti verso un exploit JAVA, denominato Exploit.Java.CVE-2011-3544.ms. Si tratta di un particolare exploit in grado di installare sui computer-vittima vari tipi di programmi malware, a seconda del sistema operativo di cui l'utente si avvale. Nella circostanza, sui computer degli utenti MAC OS veniva installato il malware Backdoor.OSX.Lasyr.a, mentre sui computer degli utenti Windows veniva iniettato il software malevolo Trojan.Win32.Inject.djgs (tale trojan è poi risultato essere provvisto di firma, tramite un certificato digitale scaduto emesso dalla società cinese «WoSign Code Signing Authority»). Sottolineiamo come, per la conduzione dei loro attacchi, i malintenzionati si siano avvalsi degli stessi server per comandare e controllare l'attività di entrambi i programmi nocivi.

Tale attacco non ha costituito l'unico esempio di utilizzo di programmi malware da parte di cybercriminali cinesi nel corso di attacchi diretti ad organizzazioni tibetane. Solo una settimana più tardi, in seno ad una campagna di spam analoga, è stato individuato uno specifico file DOC, classificato da Kaspersky Lab come Exploit.MSWord.CVE-2009-0563.a. Tale exploit era preposto ad infettare i computer degli utenti MAC OS X tramite il programma Backdoor.OSX.MaControl.a. E' significativo rilevare come il software sopra citato ricevesse gli abituali comandi, da distribuire sui computer infettati, dal server <freetibet2012.xicp.net>, situato entro i confini del territorio cinese.

Nel corso del mese analizzato è stata individuata una nuova variante del malware Backdoor.OSX.Imuler, del quale avevamo già riferito nell'analogo report del mese di settembre 2011. I software dannosi riconducibili a tale famiglia di malware vengono diffusi in Rete sotto forma di file provvisti di estensioni innocue. Nell'ambito dell'attacco informatico condotto durante il mese di marzo 2012, i malintenzionati hanno inviato ai destinatari dei messaggi e-mail di spam delle foto erotiche con estensione .JPG, le quali celavano file maligni eseguibili, sapientemente mascherati.

Il mese di marzo è stato caratterizzato da un ulteriore significativo elemento di novità: i programmi maligni appartenenti alla famiglia Trojan-Downloader.OSX.Flashfake hanno difatti iniziato ad utilizzare Twitter in qualità di server di comando e controllo. Per realizzare la diffusione dei suddetti software malevoli i malintenzionati si sono avvalsi di ben 200.000 blog violati, ospitati da WordPress.

Le minacce per i dispositivi mobili

Il Trojan bancario per la piattaforma Android

Circa un anno e mezzo fa veniva individuata la versione mobile del noto programma trojan ZeuS, soprannominata ZitMo (ZeuS-in-the-Mobile). L'obiettivo principale del trojan era rappresentato dal furto dei codici segreti utilizzati per l'autenticazione delle transazioni mobili (mTAN), codici trasmessi dalla banca sul telefono del cliente per mezzo di appositi messaggi SMS. Come è noto, da allora, lo specifico segmento popolato da simili minacce mobile si è rivelato in costante aumento; tuttavia, fino a marzo 2012, non era stato ancora rilevato nessun ulteriore programma nocivo appositamente sviluppato per dispositivi mobile in grado di effettuare direttamente il furto dei dati (login e password) utilizzati per l'identificazione dell'utente nell'ambito dei sistemi di banking online.

A metà marzo, invece, è stato individuato un programma malware preposto all'intercettazione e al furto non solo degli SMS contenenti i codici mTAN, ma anche dei dati necessari per i processi di autenticazione del banking online. Tale software nocivo è stato codificato dagli esperti di Kaspersky Lab con la denominazione di Trojan-SMS.AndroidOS.Stealer.a. L'utente-vittima che avvia l'applicazione nociva visualizza una finestra apparentemente destinata alla generazione di token di sicurezza. Per ottenere tale «generazione», viene richiesto all'utente di inserire la propria chiave, necessaria per ricevere l'autorizzazione iniziale nel sistema di banking online. Una volta compiuta tale operazione, il malware provvede a generare un token fasullo (si tratta di un numero casuale vero e proprio), mentre i dati introdotti vengono dirottati sul numero di telefono e sul server remoto predisposti dai malintenzionati, assieme ai codici IMEI (International Mobile Equipment Identification) e IMSI (International Mobile Subscriber Identification). Oltre a ciò, il programma malware è in grado di ricevere determinati comandi da un server remoto (riguardanti principalmente il furto dei codici segreti mTAN).

E' inutile dire che ci attendevamo, prima o poi, la comparsa di un simile software nocivo nel panorama del malware mobile; alcuni suoi tratti caratteristici hanno attirato in particolar modo le attenzioni dei nostri esperti. Ad esempio, tutti i sample del trojan mobile che siamo riusciti ad ottenere, sono risultati mirati verso gli utenti di istituti bancari spagnoli. E' piuttosto singolare osservare come uno dei server remoti che gestisce tale malware sia risultato collocato nella zona di dominio .ru.; al momento attuale il nome di dominio non è attivo. Inoltre, il numero di telefono al quale venivano inoltrati i dati sensibili illegalmente carpiti agli utenti è risultato essere russo e apparteneva ad uno degli operatori telefonici regionali. Sulla base di tali elementi è lecito presupporre che alla creazione del programma abbiano partecipato virus writer di lingua russa.

Gli attacchi nei confronti delle reti informatiche e dei siti web di grandi società, enti e organizzazioni

Spionaggio «spaziale»

Durante il mese di marzo sono stati resi noti alcuni attacchi hacker nei confronti di enti e agenzie che si occupano di programmi, ricerche ed esplorazioni spaziali.

Sottolineiamo la particolare rilevanza e l'elevato interesse suscitato dal report relativo agli incidenti virali prodottisi in ambiente NASA. La relazione è stata presentata dall'Ispettore Generale dell'agenzia aerospaziale americana in occasione di una audizione di fronte al Comitato di Scienza, Astronautica e Tecnologia operante presso il Congresso degli Stati Uniti.

Nel corso di tale audizione, svoltasi presso gli headquarter della NASA, è stato riferito in merito ad un attacco informatico riconducibile al mese di novembre 2011, nel corso del quale gli «attaccanti» (con indirizzi IP provenienti dalla Cina) hanno ottenuto un accesso alla rete del Jet Propulsion Laboratory (JPL). E' inoltre risultato che, nel corso del 2011, sono stati condotti nei confronti della NASA 47 attacchi mirati, dei quali soltanto 13 hanno avuto esito positivo per i cybercriminali. Nel periodo 2010-2011 il numero totale di incidenti informatici connessi all'accesso non autorizzato ai sistemi dell'agenzia aerospaziale statunitense, o che hanno portato all'installazione di software dannosi, è ammontato ad oltre 5.400 casi.

In aggiunta agli attacchi hacker, la NASA ha patito, con una certa regolarità, numerose perdite di computer portatili contenenti informazioni confidenziali. Dall'anno 2009 in poi ne sono stati “smarriti” quasi una cinquantina, incluso l'ultimo incidente verificatosi nel mese di marzo, che ha fatto registrare la perdita di un notebook contenente informazioni relative agli algoritmi utilizzati nell'ambito delle operazioni di controllo e gestione della ISS, la celebre Stazione Spaziale Internazionale.

L'Agenzia Aerospaziale Giapponese (JAXA), da parte sua, ha pubblicato i risultati di un'indagine condotta in merito ad un incidente virale prodottosi nell'estate del 2011, il quale è stato individuato soltanto nel mese di gennaio 2012.

Nel mese di luglio 2011 uno dei collaboratori della JAXA ha ricevuto un'e-mail contenente un file nocivo. Il software anti-virus installato nel computer del dipendente non era stato aggiornato e quindi, una volta aperta l'e-mail, si è prodotta l'infezione nel sistema. Gli hacker hanno ottenuto l'accesso a tutte le informazioni custodite nel computer infettato e sono stati potenzialmente in grado di monitorare a distanza i dati che sarebbero apparsi sullo schermo del computer sottoposto a contagio da virus informatico. Fortunatamente, secondo quanto dichiarato dall'Agenzia Aerospaziale Giapponese, nel computer non risultavano presenti informazioni di natura sensibile o segreta. Nonostante il computer in questione avesse accesso alle operazioni di monitoraggio del veicolo spaziale cargo denominato H-II Transfer Vehicle (HTV), preposto al rifornimento della International Space Station (ISS), gli «attaccanti» non hanno ottenuto accesso non autorizzato a quest'ultimo.

Ulteriori analisi hanno rivelato che i malintenzionati non hanno fatto uso dei dati di autorizzazione, carpiti illegalmente nel computer del dipendente, al fine di accedere ad altri sistemi gestiti dalle agenzie JAXA e NASA. E' stata considerata come non particolarmente significativa la perdita di un database contenente all'incirca 1.000 indirizzi di posta elettronica facenti capo all'ente aerospaziale giapponese.

Marzo in cifre

Nel corso del mese, nei computer degli utenti dei prodotti Kaspersky Lab:

  • sono stati individuati e neutralizzati oltre 370 milioni di programmi malware;
  • di questi, 200 milioni (55%) sono riconducibili a tentativi di infezione via Internet;
  • sono stati individuati oltre 42 milioni di URL nocivi.

Le minacce in Internet: marzo 2012

I dati statistici di seguito indicati sono stati elaborati sulla base dei rilevamenti effettuati dal modulo Anti-Virus Web e sono stati acquisiti tramite gli utenti dei prodotti Kaspersky Lab che hanno fornito il consenso per effettuare la trasmissione di dati statistici ai nostri analisti.

Nell'effettuare i calcoli statistici non abbiamo tenuto conto di quei paesi in cui il numero di utenti delle soluzioni anti-virus di Kaspersky Lab risulta relativamente contenuto (meno di 10.000 utenti).

Mappa dei paesi nei quali gli utenti sono risultati maggiormente sottoposti al rischio di infezioni durante la navigazione in Internet

 

TOP 10 dei paesi nei quali gli utenti sono risultati maggiormente esposti al rischio di infezioni mediante Internet

 

# Country % * Change in ranking
1 Russian Federation 55.50% 0
2 Armenia 49.30% 1
3 Kazakhstan 47.80% 1
4 Belarus 47.10% 1
5 Azerbaijan 46.30% 1
6 Ukraine 43.30% 1
7 Sudan 41.00% New
8 Uzbekistan 40.30%
9 Ivory Coast 39.90% -7
10 Bangladesh 39.40% -
* Quote percentuali relative al numero di utenti unici sui computer dei quali, nel periodo analizzato nel report, sono state bloccate e neutralizzate minacce informatiche provenienti dal web, rispetto al numero complessivo di utenti unici dei prodotti Kaspersky Lab nel paese.

TOP 10 dei paesi i cui utenti sono sottoposti al minor rischio di infezioni informatiche via Web

 

# Paese % * Variazione in classifica
1 Taiwan 10.10% -
2 Benin 12.60% 1
3 Giappone 12.90% -1
4 Hong Kong (regione amministrativa speciale della Repubblica Popolare Cinese) 12.90% 2
5 Macao (regione amministrativa speciale della Repubblica Popolare Cinese) 13.60% 2
6 Burkina Faso 14% New
7 Myanmar 14.80% New
8 Nuova Zelanda 15% 1
9 Porto Rico 15.30% New
10 Danimarca 15.50% -2
* Quote percentuali relative al numero di utenti unici sui computer dei quali, nel periodo analizzato, sono state bloccate e neutralizzate minacce informatiche provenienti dal web, rispetto al numero complessivo di utenti unici dei prodotti Kaspersky Lab nel paese.

TOP 10 delle zone di dominio nelle quali sono localizzati i programmi malware

 
Ripartizione per zone di dominio delle fonti degli attacchi via web*

* Quote percentuali relative al numero di attacchi unici provenienti da risorse Internet localizzate in una determinata zona di dominio, rispetto al numero complessivo di attacchi rilevati dal componente Anti-Virus Web, provenienti dall'insieme delle zone di dominio esistenti.

TOP 10 dei paesi nelle cui risorse web sono stati ospitati programmi dannosi

(World distribution of infected sites and malware hostings)

 
Ripartizione per paesi delle fonti degli attacchi via web*

* Per determinare l'origine geografica dell'attacco informatico è stato applicato il metodo che prevede la comparazione del nome di dominio con il reale indirizzo IP nel quale tale dominio risulta effettivamente collocato; si è fatto ricorso all'accertamento della collocazione geografica di tale indirizzo IP (GEOIP)..

TOP 10 dei malware in Internet

 

# Denominazione del malware rilevato dall'Anti-Virus Web Variazione in classifica
1 Malicious URL 85.71% 0
2 Trojan.Script.Iframer 4.03% 0
3 Trojan.Script.Generic 2.74% 1
4 Trojan.Win32.Generic 0.30% 1
5 Trojan-Downloader.Script.Generic 0.28% -1
6 Trojan-Downloader.JS.JScript.ag 0.26% Novità
7 Trojan-Downloader.JS.JScript.ai 0.19% Novità
8 Trojan.JS.Popupper.aw 0.18% 2
9 Trojan.JS.Iframe.zy 0.15% Novità
10 Trojan-Downloader.JS.JScript.ax 0.14% Novità
* Quote percentuali relative al numero di incidenti virali unici rilevati dal modulo Anti-Virus Web sui computer degli utenti..

 
Ripartizione degli exploit rilevati dal modulo Anti-Virus Web sui computer degli utenti, in base alle varie applicazioni risultate sottoposte ad attacco*

* Quote percentuali relative al numero complessivo di attacchi web respinti, provenienti da exploit