Classifica malware: aprile 2012

25 mag
Notizie Virus

Aprile in cifre

Nel corso del mese, nei computer degli utenti dei prodotti Kaspersky Lab:

  • sono stati individuati e neutralizzati 280 milioni di programmi malware;
  • sono stati bloccati 134 milioni di tentativi di infezione via Internet (48% del numero complessivo di minacce IT rilevate);
  • sono stati individuati oltre 24 milioni di URL nocivi.

Le cyber-minacce e i temi caldi del mese:

Attacco di massa a Mac OS X -
Advanced Persistent Threat (APT) rivolta agli utenti Mac

L'inusuale livello di attivita riscontrato nel mese di marzo 2012 relativamente alla presenza di programmi nocivi specificamente elaborati per colpire la piattaforma Mac OS X si e rivelato essere, in seguito, solo la punta dell'iceberg. Due significativi eventi, manifestatisi proprio nel corso del mese esaminato nel presente report, hanno modificato per sempre il nostro modo di vedere ed interpretare il panorama delle minacce IT rivolte al sistema operativo Mac OS X; nella fattispecie, il primo episodio ha riguardato lo sfruttamento di massa, da parte dei criminali informatici, dei computer Apple, mentre il secondo ha visto l'utilizzo di Mac OS X come parte di una minacciosa APT (Advanced Persistent Threat).

Flashfake

Iniziamo subito la nostra analisi con la botnet Flashfake, conosciuta con il nome di Flashback. La famiglia di malware denominata Flashfake e stata individuata per la prima volta nel corso del 2011 tramite il rilevamento di un software nocivo classificato come Trojan-Downloader.OSX.Flashfake. Tale insidioso programma veniva distribuito dai malintenzionati sotto forma di aggiornamento per Flash Player; questo spiega quindi l'origine del nome del malware. Dal mese di settembre 2011 fino al mese di febbraio 2012, Flashfake e stato diffuso dai cyber-criminali esclusivamente tramite l'utilizzo di metodi di ingegneria sociale: in sostanza, ai visitatori di vari siti web veniva richiesto di effettuare il download di un falso aggiornamento di Adobe Flash Player.

Nel nostro report di marzo 2012 dedicato al fenomeno malware avevamo segnalato come si stessero utilizzando, al momento, centinaia di migliaia di blog violati - ospitati da WordPress - quale nuovo metodo di distribuzione. Cio ha generato una vera e propria escalation, in quanto, per infettare i computer-vittima, il malware Flashfake stava avvalendosi di pericolosi exploit, con la conseguente creazione dell’estesa botnet Flashfake risultata in seguito composta da oltre 750.000 computer-zombie dotati di sistema operativo Mac OS X.

La banda di cyber-criminali dedita alla distribuzione di Flashfake era in grado di diffondere il malware in questione semplicemente sfruttando il traffico web generato dai blog di WordPress, mediante il ricorso ad un partner program messo a disposizione dalla cyber-gang denominata rr.nu. Circa l' 85% dei blog violati e risultato ubicato negli Stati Uniti; nella circostanza, l'utilizzo del traffico WordPress consentiva alla gang Flashfake di reindirizzare i visitatori dei blog verso determinati siti compromessi, controllati dagli “aggressori” stessi. Non appena l'utente-vittima avesse provveduto a recarsi su uno di tali siti violati, tre diversi exploit avrebbero tentato di infettare il computer del visitatore: CVE 2011-3544, CVE 2008-5353 e CVE 2012-0507, oppure il sito avrebbe cercato di provocare il download e la successiva installazione, da parte dell'utente, di un file JAR provvisto di una falsa firma digitale Apple. Nel caso in cui uno degli exploit in questione fosse stato eseguito, il computer-target sarebbe stato infettato senza bisogno di alcuna interazione da parte dell'utente. Il file JAR “firmato” avrebbe funzionato solo nel caso in cui l'utente avesse accettato di effettuarne l'installazione. Maggiori dettagli tecnici riguardo al processo di installazione e al comportamento di Flashfake possono essere scaricati al seguente indirizzo:

https://www.securelist.com/en/analysis/204792227/The_anatomy_of_Flashfake_Part_1.

Occorre sottolineare come la chiave di volta del successo ottenuto da tale campagna sia rappresentata non solo dal nuovo metodo di distribuzione del malware adottato dai cyber-criminali, ma anche dal genere di exploit utilizzato. E' di particolare interesse osservare come tali exploit fossero tutti rivolti allo sfruttamento di vulnerabilita individuate in Java; nella circostanza, come e noto, l'implementazione e la distribuzione di patch di sicurezza dedicate al sistema operativo Mac OS X avrebbero dovuto essere realizzate da Apple, anziche eseguite direttamente da Oracle. Tale fattore ha generato un consistente ritardo nel rilascio delle necessarie patch di sicurezza destinate agli end user della piattaforma Mac OS X. Ad esempio, la vulnerabilita CVE 2012-0507 e stata chiusa da Oracle lo scorso 14 febbraio, con il rilascio di un'apposita patch dedicata a tutte le altre piattaforme; Apple, dal canto suo, non ha provveduto a mettere a disposizione la propria sino al 3 aprile scorso, lasciando in tal modo, per lungo tempo, gli utenti Mac OS X esposti all'azione nociva del malware. Come e noto, Java non viene installato di default sul sistema operativo Lion, anche se ogni utente puo decidere in seguito di effettuarne l'installazione in maniera autonoma. Ad ogni caso, quando la patch e stata rilasciata, e risultato che la stessa era in sostanza disponibile solo per gli utenti provvisti di OS Lion e Snow Leopard.

Il risultato di tutto cio e che sono stati infettati da Flashfake i computer di oltre 700.000 utenti, di cui addirittura il 58% ubicati negli Stati Uniti d'America. Da parte sua, Kaspersky Lab ha provveduto ad allestire un apposito sito di verifica, Flashbackcheck.com, il quale ha consentito agli utenti di poter controllare se i loro computer fossero stati gia infettati o meno dal Trojan Flashback/Flashfake, mettendo al contempo a disposizione un apposito tool di disinfezione per rimuovere il malware dai dispositivi Mac OS X.

  1. The anatomy of Flashfake. Part 1
  2. Flashfake Mac OS X botnet confirmed
  3. Flashfake Removal Tool and online-checking site
  4. OS X Mass Exploitation - Why Now?
SabPub, la nuova Advanced Persistent Threat (APT)

Nel mese di aprile e stata identificata una APT utilizzata in maniera particolarmente attiva dai cyber-criminali, denominata SabPub; tale Advanced Persistent Threat si caratterizzava in primo luogo per il fatto di utilizzare due diversi tipi di Trojan Backdoor per realizzare l'infezione informatica sui computer degli utenti. Il primo dei due Trojan in questione, creato nel mese di febbraio 2012, al fine di accedere al sistema informatico sottoposto ad attacco si avvaleva di un exploit contenuto in documenti Microsoft Word. La seconda variante di SabPub, elaborata dai virus writer nel mese di marzo, risultava specificamente preposta ad attaccare la piattaforma Mac OS X, sfruttando una vulnerabilita individuata nella Java Virtual Machine. Una volta infettato il computer-vittima, il Trojan Backdoor in questione - creato ad hoc dagli autori di malware - era in grado di realizzare degli screenshot relativi alla sessione di lavoro condotta sul momento dall'utente, nonche di eseguire determinati comandi sul computer sottoposto ad assalto. Attualmente, il gruppo di malintenzionati che si cela dietro l'APT SabPub sta ancora continuando a prendere attivamente di mira i computer degli utenti.

Utilizzo dei famigerati kit di exploit BlackHole in nuove campagne di spam nocivo

La campagna di spam lanciata su Twitter

Gli analisti di Kaspersky Lab hanno scoperto una nuova campagna di spam nocivo attualmente condotta nel quadro del celebre social network Twitter, la quale e gia riuscita a compromettere oltre 500 account. Gli spammer che tengono le fila di tale campagna hanno provveduto ad inviare agli utenti dei link nocivi sapientemente nascosti, preposti ad effettuare il redirecting verso siti web dannosi che ospitano il tristemente noto kit di exploit BlackHole. Attraverso tali siti, sui computer-vittima e stato installato uno specifico scareware, sotto forma di false notifiche anti-virus, volte ad indurre l'utente ad effettuare una scansione falsa del proprio sistema informatico, alla ricerca di eventuali infezioni. Nella circostanza, gli utenti che si avvalgono dei prodotti per la sicurezza IT elaborati da Kaspersky Lab sono risultati adeguatamente protetti sin dall'inizio stesso di tale campagna di spam nocivo, in quanto le suddette minacce erano gia state rilevate ed identificate come Trojan-FakeAV.Win32.Agent.dqs e Trojan-FakeAV.Win32.Romeo.dv.

E-mail di phishing provenienti dalla compagnia aerea US Airways

All'inizio del mese di aprile 2012 gli esperti di Kaspersky Lab hanno riferito in merito ad una singolare campagna e-mail di phishing che aveva gia avuto inizio negli ultimi giorni del mese di marzo, campagna nel corso della quale i destinatari dei messaggi di posta elettronica indesiderati ricevevano e-mail fasulle provenienti, in apparenza, dalla compagnia aerea statunitense US Airways. I cyber-criminali provvedevano ad inviare tali e-mail di phishing nel tentativo di indurre gli utenti dei sistemi di posta a cliccare sui link nocivi contenuti all'interno di messaggi in cui venivano offerti “precisi dettagli riguardo alla prenotazione online effettuata”, incluso le opzioni di check-in previste per il volo riservato. Qualora gli utenti avessero cliccato su uno dei link malevoli presenti nel messaggio, essi sarebbero stati condotti a loro insaputa verso un sito web fasullo contenente il kit di exploit BlackHole, in tal caso provvisto di una forma avanzata del famigerato malware Zeus (GameOver). I Trojan-banker, come e noto, si autoinstallano all'interno del sistema sottoposto ad infezione informatica, per poi effettuare il furto delle credenziali bancarie degli utenti-vittima. I suddetti messaggi di spam sono stati inviati in quantita davvero massicce; nella circostanza, i cyber-criminali hanno subdolamente agito con il preciso intento di sottrarre risorse finanziarie appartenenti a persone le quali avevano effettivamente prenotato uno o piu voli con la compagnia aerea US Airways (aumentando in tal modo sensibilmente la probabilita che i destinatari delle e-mail nocive potessero di fatto cliccare sui link dannosi predisposti).

Il malware mobile

Gli utenti Android sotto attacco in Giappone

Al momento, la maggioranza dei malware mobile “dedicati” alla piattaforma Android risulta essere allestita per regioni geografiche ben distinte e specifiche; in altre parole, a seconda del paese in cui sono insediati, i cyber-criminali provvedono a creare vari tipi di programmi nocivi volti a colpire gli utenti del paese o dell'area geografica in cui essi stessi risiedono. In sostanza, la probabilita che il dispositivo mobile di un utente Android ubicato in Russia possa essere infettato da malware “prodotto” in Cina e quantomai remota. Cio non significa che il numero delle infezioni generate - cosi come l'entita dei profitti realizzati dai malfattori - non sia in costante crescita.

Il Giappone non costituisce un'eccezione alla “regola”, relativa alla specifica “appartenenza” geografica dei malware mobile creati dai virus writer del pianeta; anzi, nel paese del Sol Levante tale genere di attivita cyber-criminale sembra essere in decisa espansione. Ad esempio, all'inizio di aprile 2012 e stato scoperto un nuovo tipo di malware elaborato per colpire il sistema operativo Android, sviluppato, nella fattispecie, da autori di virus mobile giapponesi, ed avente quale target i dispositivi Android in uso in Giappone. Tale programma viene rilevato dai prodotti Kaspersky Lab come Trojan.AndroidOS.FakeTimer.

E' risultato che, all'interno di Google Play erano state rese involontariamente disponibili, per gli utenti, una trentina di applicazioni nocive di vario tipo dedicate al sistema operativo Android; ne e conseguito che ben 70.000 utenti hanno provveduto ad effettuare il download di almeno una di esse. Precisiamo che si tratta di un particolare genere di malware in grado di potersi connettere ad un server remoto. Nel caso in cui il processo di connessione abbia esito positivo, il codice nocivo in questione provvede a scaricare un file video in formato MP4; esso e ugualmente capace di realizzare il furto delle informazioni sensibili custodite nel dispositivo infettato, tra cui i nominativi della lista dei contatti, gli indirizzi e-mail ed i numeri di telefono presenti nella contact list dell'utente-vittima. Tale malware esegue poi l'upload dei dati carpiti su un server remoto.

TigerBot: ancora un altro SMS bot

Il malware per dispositivi mobile controllato tramite messaggi SMS sta attualmente guadagnando un livello di popolarita sempre maggiore presso le folte schiere dei malintenzionati. Nel corso del mese e stata ad esempio scoperta un'altra backdoor, denominata TigerBot. Si tratta di un malware che riesce a mascherarsi e nascondersi perfettamente all'interno del dispositivo mobile contagiato, non fornendo in alcun modo, sulla schermata iniziale (home screen) dello smartphone, il minimo segnale o indizio della propria esistenza. Nel caso in cui l'utente-vittima effettui un controllo della lista dei processi in esecuzione sul proprio dispositivo mobile, non sara nemmeno in grado di poter identificare come ‘System’ il nome del processo eseguito da TigerBot. Il malware in questione provvede a registrare un receiver denominato “android.provider.Telephony.SMS_RECEIVED”, al fine di intercettare tutti i messaggi SMS in entrata e controllare se gli stessi sono provvisti o meno di apposito comando speciale.

I vari comandi disponibili possono portare alla registrazione delle conversazioni telefoniche intrattenute dall'utente, al furto delle coordinate GPS; possono generare l'invio di messaggi SMS o apportare modifiche relativamente alla configurazione di rete. Tali specifiche caratteristiche e funzionalita possono causare gravi perdite di informazioni. Sottolineiamo come il malware analizzato sia ugualmente in grado di provvedere all'operazione di riavvio dei telefoni infetti, anche se cio e meno probabile che possa accadere, in quanto tale attivita fornirebbe subito all'utente-vittima un segnale piu che evidente riguardo alla presenza di un possibile problema sul proprio dispositivo mobile.

Fortunatamente, non e emersa alcuna prova sul fatto che TigerBot fosse (o sia) disponibile all'interno di Google Play; ricordiamo tuttavia quanto sia importante prestare la massima attenzione e adottare la massima cautela nel momento in cui si procede all'installazione, sul proprio dispositivo mobile, di una qualunque applicazione, proveniente da qualsiasi fonte.

Kaspersky Mobile Security, la suite di sicurezza per smartphone, rileva la minaccia IT come Backdoor.AndroidOS.TigerBot.

Le classifiche di aprile 2012

*I dati statistici di seguito indicati sono stati elaborati sulla base dei rilevamenti effettuati dal modulo anti-virus; sono stati ricevuti tramite gli utenti dei prodotti Kaspersky Lab che hanno fornito il consenso per effettuare la trasmissione di dati statistici ai nostri analisti.

Le minacce nel Web

Mappa dei paesi nei quali gli utenti sono risultati maggiormente sottoposti al rischio di infezioni durante la navigazione in Internet

TOP 10 delle zone di dominio nelle quali sono risultati dislocati i programmi malware

Ripartizione per zone di dominio delle fonti degli attacchi via web*

* Quote percentuali relative al numero di attacchi unici provenienti da risorse Internet dislocate in una determinata zona di dominio, rispetto al numero complessivo di attacchi rilevati dal componente Anti-Virus Web, provenienti dall'insieme delle zone di dominio esistenti.

TOP 10 dei paesi nelle cui risorse web sono stati ospitati programmi dannosi

(Ripartizione globale dei siti infetti e degli hosting nocivi)

TOP 10 dei malware in Internet

# Denominazione del malware rilevato dall'Anti-Virus Web % sul numero complessivo di attacchi* Variazione in classifica
1 Malicious URL 87,60% 0
2 Trojan.Script.Iframer 2,90% 0
3 Trojan.Script.Generic 2,40% 0
4 Trojan.JS.Popupper.aw 0,40% 4
5 Trojan.Win32.Generic 0,30% -1
6 Trojan.JS.Agent.bxw 0,30% Novita
7 Exploit.Script.Blocker 0,30% Novita
8 Trojan-Downloader.Win32.Generic 0,20% Novita
9 Trojan-Downloader.Script.Generic 0,20% -4
10 Trojan.JS.Redirector.ux 0,20% Novita

Ripartizione degli exploit rilevati dal modulo Anti-Virus Web sui computer degli utenti, in base alle varie applicazioni risultate sottoposte ad attacco

* Quote percentuali relative al numero complessivo di attacchi web respinti, provenienti da exploit

 

Numero di nuove firme rilasciate per le minacce IT rivolte al sistema Mac OS X, Marzo-Aprile 2012

TOP 20 dei paesi nei quali gli utenti sono risultati maggiormente esposti al rischio di infezioni mediante Internet

# Paese % * Variazione in classifica
1 Federazione Russa 50,00% -
2 Armenia 47,10% -
3 Bielorussia 45,00% 1
4 Kazakhstan 44,40% -1
5 Azerbaijan 42,90% -
6 Uzbekistan 42,70% 2
7 Sudan 41,90% -
8 Ucraina 40,30% -2
9 Moldavia 36,00% Novita
10 Bangladesh 35,90% -1

TOP 10 dei paesi i cui utenti sono risultati sottoposti al minor rischio di infezioni informatiche via Web

# Paese % * Variazione in classifica
1 Burkina Faso 6,8238 5
2 Mali 6,8483 Novita
3 Benin 7,8883 -1
4 Giappone 8,1372 -1
5 Taiwan 9,577 -4
6 Lussemburgo 10,2856 Novita
7 Danimarca 11,1927 4
8 Sudafrica 11,7979 Novita
9 Senegal 11,9672 Novita
10 Costa d'Avorio 11,979 Novita

Nell'effettuare i calcoli statistici non abbiamo tenuto conto di quei paesi in cui il numero di utenti delle soluzioni anti-virus di Kaspersky Lab risulta ancora relativamente contenuto (meno di 10.000 utenti).

* Quote percentuali relative al numero di utenti unici sui computer dei quali sono state bloccate e neutralizzate minacce informatiche provenienti dal web, rispetto al numero complessivo di utenti unici dei prodotti Kaspersky Lab nel paese.