Gli attacchi informatici ad aprile 2012

25 mag
Notizie Virus

Il malware Mac OS X: le mail di massa

Nell’aprile 2012, 700.000 computer Mac OS X in tutto il mondo sono stati infettati dal Trojan  Flashback. Questi computer sono stati riuniti in un’unica botnet, denominata “Flashfake,” che ha consentito ai criminali informatici di installare moduli nocivi all’interno di questi. Uno di questi moduli generava risultati derivanti dai motori di ricerca falsi.  

Nel corso del mese, gli esperti di Kaspersky Lab hanno pubblicato un’analisi dettagliata della modalità di infezione dei computer da parte di Flashfake. Questa analisi indentificava anche la principale fonte dell’infezione Flashfake, nella fattispecie i blog WordPress che erano stati violati dalla fine di febbraio all’inizio di marzo 2012. Circa l’85% di questi blog erano situati nel territorio degli Stati Uniti.  

Il fattore chiave di questa campagna nociva è stato il metodo di attacco utilizzato dai cyber criminali. Questi, infatti, piuttosto che utilizzare semplicemente le tecniche di social  engineering per infettare i computer, hanno iniziato a usare gli exploit che sfruttavano le vulnerabilità Java. Questo ha accelerato l’infezione, portandola al livello di un attacco di massa a computer Mac OS X.

Nuove campagne di spam che utilizzano l’exploit kit Blackhole

Kaspersky Lab ha rilevato due campagne di spam che utilizzavano l’exploit kit Blackhole per installare il malware. Nella prima, oltre 500 account Twitter sono stati compromessi. La campagna di spam inviava infatti link agli utenti che li reindirizzavano verso siti nocivi che contenevano l’exploit kit Blackhole. I siti web installavano sui computer delle vittime delle false notifiche anti-virus, che portavano inevitabilmente gli utenti ad effettuare una scansione del sistema.

 

 

Nella seconda invece, era una campagna email iniziata alla fine di marzo, attraverso la quale venivano inviate email false da parte della US Airways. In questo caso, i cyber criminali inviavano email di phishing con l’intento di portare gli utenti a cliccare su alcuni link che dovevano rimandare a fantomatici ‘dettagli della prenotazione online’. Una volta che l’utente cliccava il link in questione, veniva reindirizzato verso siti web falsi che contenevano exploit kit Blackhole con malware bancari che si installavano sul computer degli utenti e sottraevano le coordinate di accesso bancario. 

Malware mobile

Gli utenti Android in Giappone sotto attacco

All’inizio di aprile, un nuovo tipo di malware Android è stato scoperto in Giappone.  Sfortunatamente, circa 30 applicazioni nocive erano disponibili attraverso Google Play e almeno 70.000 utenti le hanno scaricate. Questo particolare malware era in grado di connettersi ad un server remoto, scaricare file video in formato MP4 e sottrarre informazioni personali da un dispositivo infetto compresi nomi, indirizzi email e numeri di cellulare che venivano poi caricati sul server remoto. Kaspersky Mobile Security ha individuato questo attacco con il nome di Trojan.AndroidOS.FakeTimer.

TigerBot
I malware mobile gestiti attraverso sms stanno diventando sempre più popolari.  Ad aprile, è stata scoperta un’altra  backdoor denominata TigerBot. Questo malware si camuffava e non generava nessun segnale di infezione all’interno del dispositivo. Il telefono infettato consentiva quindi ai cyber criminali di registrare le telefonate, sottrarre le coordinate GPS, inviare sms e cambiare le impostazioni di rete.  Tutte queste funzionalità portavano una serie di danni evidenti ai dispositivi degli utenti. Non esiste nessuna prova della disponibilità di TigerBot su Google Play, ma gli utenti devono comunque prestare la massima attenzione durante l’installazione di qualsiasi applicazione.

 

Kaspersky Mobile Security ha individuate questo attacco con il nome di  Backdoor.AndroidOS.TigerBot.

La versione completa del Malware report di aprile 2012, è disponibile suSecurelist.com.