Evoluzione delle minacce informatiche nel secondo trimestre del 2013

26 ago 2013
Le nostre classifiche, Notizie Virus

Christian Funk
Denis Maslennikov

Il trimestre in cifre

  • Secondo i dati raccolti tramite il Kaspersky Security Network (KSN), nel corso del secondo trimestre del 2013 i prodotti di Kaspersky Lab hanno rilevato e neutralizzato 983.051.408 oggetti nocivi.
  • Le soluzioni anti-malware di Kaspersky Lab hanno complessivamente respinto ben 577.159.385 attacchi condotti attraverso siti Internet compromessi dislocati in vari paesi.
  • Nell'arco del secondo trimestre del 2013 le nostre soluzioni antivirus hanno bloccato 400.604.327 tentativi di infezione locale sui computer degli utenti facenti parte della rete globale di sicurezza Kaspersky Security Network.
  • Sono state da noi complessivamente individuate 29.695 nuove varianti di programmi malware specificamente creati dai virus writer per infettare i dispositivi mobili.

Il quadro della situazione

Cyber-spionaggio e attacchi mirati

NetTraveler

All’inizio dello scorso mese di giugno gli esperti di Kaspersky Lab hanno annunciato la scoperta di un nuovo significativo capitolo nella storia dello spionaggio informatico globale.

Ci riferiamo, nella fattispecie, a NetTraveler, una famiglia di programmi nocivi utilizzati da sofisticati «attori» del malware - operanti a livello di attacchi APT (Advanced Persistent Threat, minacce informatiche di natura avanzata e persistente) - per infettare i computer di oltre 350 «vittime» di alto profilo, dislocate in 40 diversi paesi. Gli attacchi condotti dal gruppo denominato NetTraveler hanno riguardato sia il settore pubblico che quello privato, incluso varie istituzioni governative, ambasciate, l'industria petrolifera e del gas, centri di ricerca, aziende fornitrici di equipaggiamenti militari e numerosi attivisti.

La minaccia IT in questione, attiva nel torbido panorama del malware mondiale sin dall’anno 2004, è stata appositamente progettata dai virus writer allo scopo di realizzare il furto di dati sensibili riguardanti il settore delle esplorazioni spaziali, le nanotecnologie, la produzione di energia, il nucleare, le apparecchiature laser, la medicina e la sfera delle telecomunicazioni.

Gli aggressori sono riusciti nell’intento di infettare i computer-vittima attraverso l’invio di apposite e-mail di spear-phishing recanti in allegato determinati documenti Microsoft Office nocivi, volti a sfruttare due vulnerabilità frequentemente utilizzate nel mondo del cybercrimine (CVE-2012-0158 e CVE-2010-3333). Nonostante Microsoft abbia già da tempo rilasciato le patch atte a chiudere tali vulnerabilità, al momento attuale queste ultime continuano ad essere ampiamente sfruttate dai malintenzionati nella conduzione di attacchi informatici di natura mirata, in ragione della loro particolare efficacia.

Il nostro team di esperti ha rilevato come i dati sensibili sottratti, provenienti dalle macchine infettate da NetTraveler, riguardassero in particolar modo gli elenchi dei file system e i caratteri digitati dagli utenti, nonché vari tipi di file, quali PDF, fogli di calcolo Excel, documenti Word. Inoltre, gli analisti di Kaspersky Lab hanno osservato come il potente attack-toolkit in questione fosse in grado di installare nel sistema sottoposto a contagio informatico un ulteriore temibile programma malware - sotto forma di backdoor «personalizzabile» - per effettuare, in un secondo momento, il furto di informazioni sensibili di altro genere, come i dettagli di configurazione di un’applicazione e/o file CAD.

Parallelamente all’analisi dei dati rilevati sui server C&C (Command and Control Center), i nostri ricercatori si sono avvalsi delle informazioni ricavate attraverso la rete globale di sicurezza Kaspersky Security Network (KSN) per elaborare ulteriori interessanti dati statistici relativi all’infezione informatica qui analizzata. La TOP-10 delle nazioni maggiormente sottoposte agli attacchi IT portati attraverso il dispiegamento del toolkit NetTraveler è così risultata composta dai seguenti paesi (in ordine decrescente): Mongolia, Russia, India, Kazakhstan, Kirghizistan, Cina, Tajikistan, Corea del Sud, Spagna e Germania.

Winnti

Nella prima metà del mese di aprile dell’anno in corso, Kaspersky Lab ha pubblicato un dettagliato resoconto riguardo ad un’estesa e prolungata campagna di cyber-spionaggio condotta da un gruppo di malintenzionati definito con l’appellativo di “Winnti”. Il gruppo Winnti si è reso responsabile, a partire dall’anno 2009, di numerosi assalti informatici eseguiti nei confronti di società dedite allo sviluppo e alla pubblicazione di giochi per computer; esso ha concentrato la propria attività, in particolar modo, sul furto di certificati digitali del tutto legittimi (poi utilizzati dai malintenzionati per firmare il malware utilizzato nel corso degli attacchi) emessi da vari vendor di software, oltre che sul furto della proprietà intellettuale. Nel corso degli anni, il gruppo di cybercriminali in questione si è ugualmente “specializzato” nella sottrazione illecita del codice sorgente relativo a vari progetti di giochi online.

L’insidioso programma trojan utilizzato per la conduzione di tali attacchi è risultato essere una libreria DLL appositamente elaborata per il sistema operativo Windows a 64 bit. Per di più, essa conteneva un drive dannoso provvisto di regolare firma digitale ed agiva in qualità di perfetto Remote Administration Tool (RAT –Strumento di Amministrazione Remota), con la specifica funzione di fornire agli “attaccanti“ in causa la possibilità di controllare il computer-vittima all’insaputa degli utenti di volta in volta presi di mira. Si è trattato, nella circostanza, di una scoperta particolarmente significativa: il Trojan individuato rappresenta, a tutti gli effetti, il primo programma malevolo per ambienti Microsoft Windows a 64 bit provvisto di firma digitale valida.

Gli esperti di Kaspersky Lab hanno naturalmente provveduto ad analizzare in dettaglio la campagna di spionaggio ordita dal gruppo Winnti, rilevando, in tal modo, che erano state infettate dal malware distribuito dal suddetto raggruppamento di cybercriminali oltre 30 società di gaming, dislocate in varie regioni del globo. Nella maggior parte dei casi, sono rimaste vittima di attacchi portati attraverso il programma trojan qui analizzato, software house produttrici di giochi online ubicate nel Sud-Est Asiatico. Sono state tuttavia ugualmente prese di mira dal gruppo Winnti numerose società di gaming aventi sede in Germania, Stati Uniti, Giappone, Cina, Russia, Brasile, Perù e Bielorussia.

Al momento attuale, il gruppo Winnti risulta essere ancora attivo; le indagini condotte dal team di esperti di Kaspersky Lab sono quindi tuttora in corso.

Follow-up di Winnti: alcuni certificati sottratti riutilizzati nel corso di attacchi contro obiettivi tibetani e uiguri

Trascorsa appena una settimana dalla pubblicazione del nostro report su Winnti, il nostro team di ricercatori ha individuato un exploit Flash all’interno di un sito Internet appositamente allestito per supportare la causa dei bambini-profughi tibetani. Il sito web in questione era stato in precedenza violato dai malintenzionati, con il preciso intento di distribuire in Rete programmi backdoor firmati per mezzo di certificati digitali rubati, abitualmente utilizzati dal gruppo Winnti.

Si è trattato, nella circostanza, di un evidente esempio di attacco informatico riconducibile alla tipologia denominata “watering hole”; in effetti, gli aggressori hanno in primo luogo ricercato uno dei siti web preferiti dalle potenziali “vittime”, per poi compromettere quest’ultimo iniettando codice nocivo al suo interno, e fare così in modo che i computer degli abituali frequentatori della suddetta risorsa web venissero infettati dal malware dispiegato. Oltre al sito qui sopra citato, sono stati ugualmente colpiti ulteriori siti web correlati alle cause dei popoli tibetano e uiguro, allo scopo di generare la diffusione del malware denominato "Exploit.SWF.CVE-2013-0634.a".

Malware & hacking: le “storie” di sicurezza IT che hanno maggiormente segnato il secondo trimestre del 2013

Il trojan-banker Carberp

Come è noto, nei mesi di marzo ed aprile dell’anno in corso, ha suscitato particolare clamore, sulla scena del malware, l’arresto dei componenti di due distinti gruppi di cybercriminali, accusati in relazione al furto di numerosi account bancari, perpetrato sul territorio di Russia e Ukraina.

Le gang in questione, neutralizzate dalle forze dell’ordine, sono risultate composte sia dagli utilizzatori, sia (presumibilmente) dagli sviluppatori stessi del programma trojan denominato Carberp, esempio classico di malware impiegato sia per organizzare frodi nel settore del banking online, sia per allestire centinaia di botnet in ogni angolo del globo. Per anni, gli autori del trojan in causa hanno attivamente venduto la loro “creatura” tramite certi forum underground, spesso eseguendo ordini “personalizzati”. Ci pare inoltre doveroso ricordare che il trojan-banker Carberp, particolarmente diffuso in Russia - il cui principio operativo ricalca da vicino quello del famigerato trojan ZeuS - è stato inoltre “arricchito” di una specifica versione per dispositivi mobili. Trojan-Spy.AndroidOS.Citmo – tale è la denominazione assegnata dai nostri esperti alla versione mobile di Carberp – è un malware preposto ad intercettare i codici segreti mTAN distribuiti dagli istituti bancari, ed utilizzati dagli utenti del banking online nel processo di perfezionamento delle transazioni bancarie effettuate tramite Internet; i codici mTAN illegalmente carpiti vengono poi trasmessi ai malintenzionati di turno via SMS.

Nel mese di giugno 2013, è stato reso di pubblico dominio un archivio di notevoli dimensioni (2 GB), contenente il codice sorgente di Carberp. In relazione a ciò, i nostri esperti hanno osservato come, negli ultimi tempi, il numero degli attacchi informatici condotti mediante l’utilizzo delle più disparate varianti del trojan Carberp stia progressivamente diminuendo; ad ogni caso, purtroppo, la “storia” di sicurezza IT qui analizzata pare ben lungi dall’esaurirsi. In effetti, così come è avvenuto nei casi precedenti in cui è stato fatto “trapelare” – e conseguentemente reso pubblico – il codice sorgente di programmi malware particolarmente popolari presso le folte schiere dei malintenzionati della Rete, è perfettamente lecito presumere che cyber-gang rivali  possano riciclare in tempi brevi parti di esso, al fine di migliorare le proprie “creazioni” ed espandere, in tal modo, la propria “quota di mercato”. Non è inoltre da escludere che i cybercriminali in questione provvedano a creare le loro proprie varianti di Carberp, così come è successo nel 2011, anno in cui è stato “trafugato” e pubblicato il codice sorgente di ZeuS.

Bitcoin, cose da pazzi…

Nel corso di quest’ultimo anno il valore dei Bitcoin, la celebre moneta elettronica creata solo qualche anno fa (2009), è aumentato in maniera a dir poco clamorosa. Basti pensare che, precedentemente, il valore della singola unità di tale valuta elettronica corrispondeva all’equivalente di meno di un centesimo di dollaro USA, mentre, al momento attuale, il valore della nota moneta virtuale è letteralmente andato alle stelle, collocandosi nel range dei 130 $. Mentre il tasso di cambio della valuta tradizionale è perennemente soggetto ad una certa volatilità, il valore del bitcoin continua ad accrescersi in maniera costante e graduale. Un antico detto recita, più o meno - “Dove ci sono soldi da rubare, lì c’è il crimine”; questo, purtroppo, vale anche per il sistema Bitcoin.

Il bitcoin si è progressivamente affermato in qualità di moneta prediletta per gli scambi commerciali realizzati negli ambienti underground della cybercriminalità, in ragione del fatto che, per sua stessa natura, i movimenti della valuta elettronica in questione risultano di difficile tracciatura da parte delle autorità e delle forze dell’ordine; i bitcoin rappresentano pertanto, agli occhi dei criminali informatici, un metodo di pagamento che offre maggiori “garanzie” e “sicurezza” rispetto a quelli convenzionali e, soprattutto, permette di mantenere totalmente l’anonimato (come è noto, il sistema Bitcoin prevede il possesso ed il trasferimento anonimo delle monete virtuali così denominate).

Nello scorso mese di aprile, il team di analisti e ricercatori operante presso Kaspersky Lab (GReAT - Global Research and Analysis Team) ha scoperto l’esistenza di una particolare campagna nell’ambito della quale i cybercriminali si avvalevano di Skype per distribuire malware preposto all’attività di generazione di bitcoin, tradizionalmente definita con il nome di "mining", termine che richiama il processo di estrazione dell’oro in miniera. Nella circostanza, i malfattori hanno fatto ricorso a metodi di ingegneria sociale quale vettore iniziale per convogliare la suddetta minaccia informatica sui computer-vittima, con il preciso intento di realizzare la successiva installazione - su questi ultimi - di numerosi ulteriori programmi nocivi. Attraverso tale campagna i malfattori sono riusciti ad ottenere, illecitamente, una frequenza di click pari ad oltre 2.000 click per ogni ora. I bitcoin generati sfruttando le macchine compromesse dal malware venivano poi indirizzati verso l’account di proprietà del cybercriminale che si nascondeva dietro la riprovevole truffa ordita ai danni degli utenti.

Un mese dopo, il nostro team di esperti di sicurezza IT ha individuato una vasta campagna di phishing condotta contro Bitcoin da parte di criminali informatici brasiliani. Nella circostanza, i malintenzionati avevano provveduto a violare alcuni siti Internet del tutto legittimi, inserendo iFrame maligni all’interno di pagine web compromesse; la specifica funzione svolta da questi ultimi era quella di lanciare un applet Java nocivo, il quale, a sua volta, avrebbe reindirizzato gli utenti verso un sito web MtGox fasullo, mediante l’utilizzo di file PAC malevoli. MtGox è la nota piattaforma di trading giapponese utilizzata - al momento attuale - per condurre oltre l’80% delle transazioni finanziarie effettuate tramite il sistema Bitcoin. L’evidente scopo di tale campagna di phishing consisteva nel carpire le credenziali di login degli utenti-vittima, per poi realizzare il furto di ingenti quantità di bitcoin, l’ambita moneta virtuale.

Sicurezza web e fughe di dati

Anche nel secondo trimestre dell’anno, così come in precedenza, si sono verificati significativi episodi riguardo a consistenti fughe di dati; i cybercriminali hanno di fatto compromesso notevoli quantità di dati sensibili e confidenziali, incluso, nella fattispecie, le informazioni relative agli utenti.

L’aria inizia a farsi “pesante” anche per gli utenti Internet più esperti e smaliziati, che si avvalgono, abitualmente, di numerosi account registrati in Rete e, per il momento, non sono stati ancora colpiti da spiacevoli episodi di hacking. Il dato incontrovertibile è che, purtroppo, stiamo assistendo ogni mese ad intrusioni di hacker - con conseguenti fughe di dati - che possiamo indubbiamente definire “di alto profilo”.

Analizzeremo, qui di seguito, alcuni episodi di trafugamento di dati avvenuti di recente.

Verso la fine dello scorso mese di maggio, Drupal – la nota piattaforma open source specializzata in servizi di content management - ha notificato ai propri utenti che ignoti hacker erano riusciti ad ottenere l’accesso ad username, indirizzi e-mail e hash delle password. Nella circostanza, gli sviluppatori dei sistemi di gestione contenuti hanno prontamente reagito, resettando per precauzione tutte le password in uso. Fortunatamente, le password degli utenti risultavano per la maggior parte custodite sotto forma di hash; oltre a ciò, era stato opportunamente implementato un apposito “salt” crittografico, ovvero quella stringa di caratteri (bit) casuali che viene di solito aggiunta alla password iniziale prima dell’esecuzione delle procedure di hashing. L’intrusione degli hacker è stata scoperta nel corso di un ordinario controllo di sicurezza IT; è stato appurato che, nella circostanza, i malintenzionati si erano avvalsi di un exploit preposto a colpire un software di terze parti – vulnerabile – installato all’interno del portale web in questione. Secondo quanto dichiarato da Drupal, nell’occasione non sono stati violati o carpiti dati sensibili relativi a carte di credito.

Lo scorso 19 giugno, il web browser Operarilasciava ai propri utenti alcuni aggiornamenti del noto programma di navigazione; tali update si sono di fatto rivelati nocivi, a seguito di un attacco informatico mirato condotto nei confronti delle infrastrutture del network interno facente capo alla software house in questione. Nella circostanza, gli hacker riuscivano ugualmente a sottrarre un certificato digitale (peraltro già obsoleto) in precedenza utilizzato da Opera per firmare il proprio codice. Nonostante tale certificato risultasse quindi già scaduto al momento dell’effettuazione dell’attacco hacker sopra descritto, si sarebbero comunque potute generare serie infezioni informatiche sui computer degli utenti, in quanto non tutte le versioni di Windows hanno la facoltà di gestire in maniera esauriente le procedure di controllo dei certificati digitali. Malgrado il lasso di tempo estremamente limitato in cui il payload nocivo è risultato essere attivo, potrebbero aver comunque ricevuto l’update dannoso varie migliaia di utenti del web browser Opera. Le soluzioni anti-malware di Kaspersky Lab rilevano il programma trojan utilizzato dai cybercriminali nel corso di questo attacco, provvisto di apposite funzionalità di keylogging e furto dati, come Trojan-PSW.Win32.Tepfer.msdu.

Speciale botnet

Attacco botnet globale nei confronti delle installazioni WordPress

All’inizio dello scorso mese di aprile GatorHost ha diffuso informazioni relativamente ad una particolare botnet composta da oltre 90.000 indirizzi IP unici, utilizzata dai cybercriminali per lanciare un violento attacco “brute force” globale nei confronti delle infrastrutture di WordPress, la nota piattaforma CMS (Content Management System), ampiamente utilizzata dagli utenti della Rete di ogni angolo del globo per le ordinarie operazioni di "personal publishing" sul web. Si presume che il principale obiettivo dell’attacco informatico in causa sia stato, a tutti gli effetti, quello di piazzare una temibile backdoor sui server di WordPress, al fine di asservire questi ultimi ai “voleri” della botnet sopra menzionata. In alcuni casi, i malintenzionati sono di fatto riusciti ad “iniettare” con successo all’interno dei suddetti server il famigerato kit di exploit denominato BlackHole.

Ottenere l’accesso ai server di WordPress ed abusare degli stessi può ovviamente rappresentare un motivo di particolare “merito” e vanto per i criminali informatici, in ragione di una larghezza di banda superiore e di prestazioni indiscutibilmente migliori rispetto alla  maggior parte dei computer desktop. Di non minore importanza, poi, agli occhi dei malintenzionati, la “ghiotta” opportunità di poter diffondere ulteriormente il malware distribuito nel corso dell’attacco, attraverso blog ben affermati in Rete, frequentati quotidianamente da un consistente numero di lettori.

Una botnet IRC colpisce una vulnerabilità in Plesk priva di patch

Trascorsi appena due mesi dall’attacco informatico portato da un’estesa rete-zombie nei confronti delle infrastrutture di WordPress, i ricercatori hanno individuato l’esistenza di una botnet IRC volta a sfruttare una determinata vulnerabilità rilevata in Plesk, pannello di controllo hosting largamente diffuso. L’utilizzo di tale vulnerabilità (CVE-2012-1823) da parte dei malintenzionati generava l'esecuzione di codice remoto con privilegi di utente Apache configurato. La falla di sicurezza in questione è stata individuata sia in Plesk 9.5.4 che nelle precedenti versioni del noto pannello di controllo. Secondo Ars Technica, sono risultate sottoposte a rischio di contagio informatico oltre 360.000 installazioni.

La botnet IRC in questione infettava i server web vulnerabili avvalendosi di una backdoor preposta a stabilire la connessione di questi ultimi con il server di comando e controllo gestito dai cybercriminali. E’ di particolare interesse rilevare come lo stesso server C&C ospitasse al suo interno la vulnerabilità Plesk. I ricercatori hanno così utilizzato la vulnerabilità individuata nel server malevolo per monitorare l’attività della botnet; è stato in tal modo scoperto che circa 900 server web infetti stavano effettuando tentativi di connessione con il server di comando, rivelatosi a sua volta pienamente vulnerabile. Al fine di rimuovere l’infezione informatica presente nei server-zombie e smantellare così la nuova botnet allestita dai malintenzionati è stato elaborato un apposito tool.

Malware mobile ancora in sensibile aumento

Un costante aumento in termini di quantità, qualità e varietà

L’OS Android è ormai divenuto di gran lunga il principale obiettivo dei software malevoli appositamente creati dai virus writer per infettare le piattaforme mobili; attualmente, il sistema operativo sviluppato da Google può essere di fatto considerato come l'equivalente di Windows nel segmento mobile.

In pratica, tutti i sample di malware individuati dagli esperti di sicurezza IT nel corso del secondo trimestre del 2013, nel “regno” di smartphone, tablet ed altri dispositivi mobili, sono risultati specificamente rivolti alla piattaforma Android; la stessa identica situazione, peraltro, si era già presentata nel primo trimestre dell’anno corrente. Desideriamo inoltre sottolineare come, proprio alla fine del periodo analizzato nel presente report, sia stata raggiunta una sorta di pietra miliare nel campo del malware “dedicato” ai sistemi operativi mobili; entro il 30 giugno scorso, difatti, è stata superata la fatidica “barriera” delle 100.000 diverse varianti di malware mobile, riconducibili a 629 diverse famiglie di malware.

Tra l’altro, è da porre in assoluta evidenza il fatto che, nella circostanza, non sono state conteggiate le singole applicazioni malevoli, bensì i sample di codice nocivo veri e propri. Tali sample di codice dannoso, per di più, vengono utilizzati dai malintenzionati in molteplici app infettate da appositi Trojan; ciò determina, di conseguenza, l’esistenza, sul mercato mobile, di un numero ancor più elevato di applicazioni maligne che, di fatto, attendono solo di essere “debitamente” scaricate dagli utenti dei dispositivi mobili. L’abituale procedimento messo in atto dai cybercriminali prevede innanzitutto il download di applicazioni del tutto legittime, alle quali viene successivamente aggiunto del codice nocivo; in pratica, secondo le losche mire dei malintenzionati, le app violate debbono fungere da veicolo di distribuzione del malware mobile. Le applicazioni in questione, una volta “re-impacchettate” vengono di nuovo caricate negli app store, in special modo in quelli riconducibili a terze parti. I malfattori, ovviamente, prendono di mira soprattutto certe applicazioni che godono di particolare popolarità presso il vasto pubblico degli utenti mobili; è inutile dire che ciò semplifica notevolmente la vita ai cybercriminali, visto che i proprietari dei dispositivi mobili, in genere, ricercano attivamente tali applicazioni.

Dal punto di vista statistico, rispetto ai primi tre mesi del 2013, il trimestre oggetto del presente report ha visto un costante aumento del numero di programmi nocivi presenti sulla scena del malware mobile; complessivamente, sono state individuate 29.695 nuove varianti di software maligni appositamente sviluppati per colpire i dispositivi mobili (ricordiamo, nella circostanza, che nel primo trimestre del 2013, erano state rilevate, in totale, 22.749 nuove varianti di malware mobile). Nello scorso mese di aprile sono state scoperte 7.141 varianti; si è trattato della minor quantità mensile rilevata nel corso del secondo trimestre dell’anno. Nei successivi mesi di maggio e giugno, tuttavia, Kaspersky Lab ha individuato oltre 11.000 nuove varianti di minacce informatiche specificamente rivolte ai dispositivi mobili; per la precisione, ne sono state scoperte – rispettivamente - 11.399 in maggio e 11.155 in giugno. Nel complesso, nell’arco del 2013 abbiamo sinora assistito ad un repentino e consistente aumento del numero di nuove varianti di malware mobile.
 

 
Numero di sample di malware mobile presenti nella nostra “collezione”

Mentre nell’ambito degli attacchi informatici - compiuti attraverso il dispiegamento di programmi maligni per dispositivi mobili - la categoria di malware più diffusa in assoluto continua ad essere rappresentata dai famigerati Trojan-SMS (responsabili dell’invio, non autorizzato da parte dell’utente, di messaggi SMS verso costosi numeri a pagamento), il grafico che riassume le quote percentuali attribuibili alle varie tipologie di malware mobile, presenti nel nostro database di sample, evidenzia un quadro sostanzialmente diverso.

 

La prima posizione della speciale graduatoria da noi stilata risulta difatti occupata dai programmi Backdoor, con una quota pari 32,3% del numero complessivo di malware mobili attualmente in circolazione. Sugli altri due gradini del “podio” virtuale si collocano, rispettivamente, i Trojan (23,2%) ed i Trojan-SMS. Alla quarta piazza del rating troviamo poi la categoria che raccoglie i Trojan-Spy, con un indice pari al 4,9%. In termini di funzionalità e di flessibilità, le caratteristiche che al giorno d’oggi presentano i malware mobili coincidono, in sostanza, con quelle possedute dal malware “tradizionale”, sviluppato per i PC. Analizzando gli attuali sample di malware mobile, è difatti possibile rilevare come anch’essi facciano uso di sofisticate tecnologie di offuscamento, nel tentativo di eludere l’analisi condotta dagli antivirus; inoltre, i malware mobili di ultima generazione risultano spesso provvisti di molteplici payload nocivi, per far sì che l’infezione da essi generata persista il più a lungo possibile nel dispositivo-vittima, per carpire informazioni e dati aggiuntivi, oppure eseguire il download e l’installazione di ulteriori programmi malevoli sugli smartphone e sui tablet presi di mira.

Obad, il Trojan per dispositivi Android più sofisticato di sempre

Nel secondo trimestre del 2013, gli esperti di Kaspersky Lab hanno rilevato l’esistenza di quello che può essere presumibilmente definito il programma Trojan per dispositivi Android più sofisticato sinora individuato nel vasto panorama del malware mobile. Il software nocivo in questione - rilevato dai nostri prodotti come Backdoor.AndroidOS.Obad.a - è difatti in grado di inviare messaggi SMS verso numeri premium, scaricare ed installare ulteriori programmi maligni sul dispositivo da esso infettato e/o trasmetterli via Bluetooth; al tempo stesso, Obad ha la capacità di eseguire da remoto comandi provenienti da una console.

I virus writer resisi responsabili della creazione di Backdoor.AndroidOS.Obad.a hanno in sostanza individuato una falla nel popolare programma DEX2JAR, tipicamente utilizzato dagli analisti per convertire i file APK (Android Package) nel più conveniente formato JAR (Java Archive), con il quale risulta poi decisamente più agevole lavorare nel corso del processo di effettuazione delle analisi. La vulnerabilità scoperta dai cybercriminali impedisce, di fatto, la conversione del bytecode Dalvik in bytecode Java, rendendo in tal modo più difficile e complessa l’esecuzione dell’analisi statica sul Trojan.

I cybercriminali hanno ugualmente scoperto un errore all’interno del sistema operativo Android, relativo all’analisi sintattica (parsing) del file AndroidManifest.xml, presente in ogni applicazione Android ed utilizzato per descrivere la struttura dell’applicazione, definirne i parametri di lancio, etc. Gli autori di malware hanno così modificato AndroidManifest.xml in maniera tale da farlo risultare non conforme allo standard definito da Google; tuttavia, proprio in ragione della suddetta vulnerabilità, il file in questione viene correttamente analizzato dal punto di vista sintattico sullo smartphone. Ciò complica considerevolmente l’esecuzione dell’analisi dinamica sul Trojan.

Gli autori del malware mobile Backdoor.AndroidOS.Obad.a hanno inoltre sfruttato un’ulteriore falla nell’OS Android - in precedenza sconosciuta - la quale consente ad un programma nocivo di poter acquisire i privilegi avanzati di Amministratore del Dispositivo, senza poi figurare nell'elenco delle applicazioni che effettivamente godono di tali privilegi. In pratica, ciò rende impossibile rimuovere il malware in causa dal dispositivo mobile sottoposto a contagio informatico.

Complessivamente, il software malevolo qui analizzato sfrutta ben tre vulnerabilità finora sconosciute. Nel segmento del malware mobile non avevamo sinora incontrato nulla di simile.

I privilegi avanzati di Amministratore del Dispositivo possono essere utilizzati dal Trojan per bloccare brevemente lo schermo del dispositivo mobile (per non più di 10 secondi). Ciò accade, di solito, dopo che il dispositivo ha stabilito una connessione con una rete Wi-Fi gratuita, o dopo l’attivazione del Bluetooth; una volta realizzata la connessione, il malware Obad è in grado di inviare copie di se stesso – così come di altre applicazioni dannose – ad altri dispositivi situati nelle vicinanze. E’ possibile che Backdoor.AndroidOS.Obad.a faccia tutto questo nel tentativo di evitare che l’utente mobile possa in qualche modo accorgersi dell’esecuzione di attività malevole sul proprio smartphone.

Per trasmettere al server C&C le informazioni relative al dispositivo mobile infettato, così come al “lavoro” eseguito, Backdoor.AndroidOS.Obad.a utilizza la connessione Internet attiva sul momento. Se nessuna connessione risulta disponibile, il Trojan effettua una ricerca delle reti Wi-Fi - presenti nei paraggi - che non richiedono alcuna autenticazione e si collega quindi con uno dei network individuati.

Dopo il primo avvio, l’applicazione maligna provvede quindi a raccogliere tutta una serie di informazioni sullo smartphone contagiato dal malware, ovvero l’indirizzo MAC del dispositivo Bluetooth, il nome dell’operatore, il numero di telefono e l’IMEI, il saldo presente nell’account dell’utente-vittima, l’ora locale, ed infine se sono stati ottenuti i privilegi di Amministratore del Dispositivo oppure i privilegi di superutente (root). Tutte le informazioni sopra citate vengono trasmesse al server di comando e controllo. Inoltre, il malware in questione fornisce al server di comando gli elenchi aggiornati dei numeri premium e dei prefissi da utilizzare per l’invio dei messaggi SMS, una lista di attività ed un elenco dei server di comando e controllo (C&C ). Durante la prima sessione di connessione il Trojan provvede ad inviare al server di comando sia un elenco di numeri - sia un elenco di C&C - totalmente vuoti; nel corso di tale sessione Obad potrà così ricevere un elenco aggiornato dei numeri premium, così come una nuova lista degli indirizzi relativi ai server C&C.

I cybercriminali possono ugualmente controllare il Trojan da essi dispiegato mediante l’utilizzo di messaggi di testo: il Trojan può in effetti ricevere dal server malevolo stringhe chiave preposte a definire determinate azioni da eseguire (key_con, key_url, key_die). Obad ricercherà così tali stringhe chiave nei messaggi di testo in entrata. Di fatto, ogni messaggio in arrivo viene controllato per verificare la presenza, all’interno di esso, di una qualsiasi delle stringhe chiave sopra citate. Nel caso in cui venga identificata una delle chiavi in causa, il Trojan eseguirà l'azione corrispondente: key_con – connessione immediata al server; key_die – rimozione delle attività dal database; key_url – passaggio ad un server C&C diverso (nella circostanza, il testo dovrebbe includere il nuovo indirizzo del server di comando e controllo). Questo permette ai cybercriminali di creare un nuovo server C&C e di inviare tramite SMS il relativo indirizzo con una chiave key_url; una volta compiuta tale operazione, tutti i dispositivi mobili infettati si connetteranno con il nuovo server malevolo.

Il Trojan, quindi, riceve i comandi impartiti dal server C&C e provvede ad inserirli immediatamente in un apposito database. Ogni record del database contiene il numero sequenziale dell’istruzione, l’orario di esecuzione specificato dal server ed i relativi parametri. Forniamo, qui di seguito, l’elenco delle azioni che possono essere eseguite dal Trojan una volta ricevuti i relativi comandi:

  • Inviare un messaggio di testo. I parametri includono il numero di destinazione ed il testo che deve essere inviato. Le risposte vengono eliminate.
  • Ping.
  • Ottenere il saldo dell’account telefonico via USSD.
  • Operare come un proxy server.
  • Connettersi all’indirizzo specificato.
  • Scaricare ed installare un file proveniente dal server.
  • Inviare al server un elenco delle applicazioni installate nel dispositivo.
  • Inviare informazioni relative ad un’applicazione specificata dal server di comando.
  • Inviare al server i dati relativi ai contatti dell’utente.
  • Remote Shell. Eseguire i comandi specificati dal cybercriminale tramite console.
  • Inviare un file a tutti i dispositivi Bluetooth individuati.

FakeDefender: il Ransomware per Android

Nello scorso mese di giugno si è sparsa la voce che il ransomware aveva raggiunto anche il segmento dei dispositivi mobili; si trattava, più precisamente, di una sorta di crossover tra un antivirus fasullo ed un ransomware. L’app associata è denominata “Free Calls Update”. Una volta installata e lanciata sullo smartphone, tale applicazione malevola cerca di ottenere i diritti di amministratore del dispositivo, in maniera tale da poter essere poi in grado di modificare a proprio piacimento le impostazioni presenti sull’apparecchio e, oltretutto, abilitare/disabilitare la connessione WiFi e la connessione Internet 3G. Il relativo file di installazione viene eliminato non appena il processo di installazione stesso risulta terminato ed eseguito con successo; tutto questo, nell’evidente tentativo, da parte dei malintenzionati, di ostacolare l’attività del reale programma anti-malware eventualmente installato nel sistema sottoposto a contagio informatico. Di per se stessa, l’applicazione malevola in questione altro non è se non un falso antivirus, il quale, come al solito, finge di eseguire l’abituale scansione in cerca di malware, per poi mostrare l’avvenuto “rilevamento”, sul dispositivo mobile preso di mira, di un cospicuo numero di minacce IT, in realtà del tutto inesistenti. In tal modo, il software malevolo cerca di indurre l’utente-vittima a procedere all’acquisto di un’apposita “licenza” per poter usufruire della “versione completa” del “prezioso software antivirus”; si tratta, in sostanza, dell’identico procedimento abitualmente messo in atto da tali programmi maligni nei confronti degli utenti PC.

Durante la navigazione, l’applicazione mostra una finestra di pop-up, tramite la quale si cerca di intimorire l’utente, avvisandolo riguardo al fatto che un non ben precisato malware sta tentando di realizzare il furto di contenuti pornografici dal telefono in uso; tale finestra si dimostra persistente e, in pratica, blocca gradualmente il funzionamento dell’intero dispositivo mobile. In effetti, FakeDefender non consente di eliminare l’app malevola in causa, né di poter lanciare altre applicazioni, qualora siano stati precedentemente acquisiti dal malware i diritti di amministratore del dispositivo.

Le statistiche

Tutti i dati statistici riportati nel presente resoconto trimestrale sono stati ottenuti attraverso le speciali soluzioni anti-virus implementate nel Kaspersky Security Network (KSN), grazie all'attività svolta da vari componenti ed elementi di sicurezza IT, impiegati per assicurare un'efficace e pronta protezione nei confronti dei programmi malware. Essi sono stati ricevuti tramite gli utenti di KSN che hanno previamente fornito l'assenso per effettuare la trasmissione di dati statistici ai nostri analisti. A questo sofisticato sistema di scambio di informazioni su scala globale, riguardo alle pericolose attività condotte dal malware, prendono parte vari milioni di utenti dei prodotti Kaspersky Lab, ubicati in 213 diversi paesi e territori del globo.

Le minacce in Internet

I dati statistici esaminati in questo capitolo del nostro consueto report trimestrale sull’evoluzione del malware sono stati ottenuti sulla base delle attività svolte dall'anti-virus web, preposto alla protezione dei computer degli utenti nel momento in cui dovesse essere effettuato il download di codice nocivo da una pagina web infetta. Possono risultare infetti sia i siti Internet appositamente allestiti dai cybercriminali, sia le risorse web il cui contenuto viene determinato dagli stessi utenti della Rete (ad esempio i forum), così come i siti legittimi violati.

Oggetti infetti rilevati in Internet

Nel secondo trimestre del 2013 le soluzioni anti-malware di Kaspersky Lab hanno complessivamente respinto ben 577.159.385 attacchi condotti attraverso siti Internet compromessi dislocati in vari paesi.

The Top 20 detectable Le minacce in Internet

RankDenominazione *% sul totale complessivo degli attacchi**
1Malicious URL91.52%
2Trojan.Script.Generic3.61%
3Trojan.Script.Iframer0.80%
4AdWare.Win32.MegaSearch.am0.54%
5Exploit.Script.Blocker0.41%
6Trojan-Downloader.Script.Generic0.27%
7Exploit.Java.Generic0.16%
8Trojan.Win32.Generic0.16%
9Exploit.Script.Blocker.u0.12%
10AdWare.Win32.Agent.aece0.11%
11Trojan-Downloader.JS.JScript.cb0.11%
12Trojan.JS.FBook.q0.10%
13Trojan-Downloader.Win32.Generic0.09%
14Exploit.Script.Generic0.08%
15Trojan-Downloader.HTML.Iframe.ahs0.05%
16Packed.Multi.MultiPacked.gen0.05%
17Trojan-Clicker.HTML.Iframe.bk0.05%
18Trojan.JS.Iframe.aeq0.04%
19Trojan.JS.Redirector.xb0.04%
20Exploit.Win32.CVE-2011-3402.a0.04%

 

*Oggetti infetti neutralizzati sulla base dei rilevamenti effettuati dal componente anti-virus web; le informazioni sono state ricevute tramite gli utenti dei prodotti Kaspersky Lab che hanno previamente fornito l'assenso per effettuare la trasmissione di dati statistici ai nostri analisti.

**Quota percentuale sul totale complessivo degli attacchi web rilevati sui computer di utenti unici.

Come si evince dalla tabella qui sopra riportata, al primo posto della speciale TOP-20 dedicata agli oggetti nocivi rilevati in Internet figurano per l'ennesima volta gli URL maligni - ovverosia quei link che conducono a programmi malware di vario tipo - con una quota pari al 91,55% del volume complessivo dei rilevamenti eseguiti dal modulo anti-virus web (+ 0,08% rispetto all'analogo valore riscontrato nel primo trimestre del 2013). In precedenza, tali oggetti infetti venivano da noi identificati con la denominazione generica “Blocked”. Si tratta, in sostanza, di indirizzi Internet inseriti nella nostra blacklist, relativi ad un consistente numero di siti malevoli verso i quali vengono reindirizzati gli ignari utenti-vittima; in genere, tali pagine web contengono kit di exploit, bot, trojan “estorsori”, etc. Nella maggior parte dei casi, gli utenti giungono sui siti web dannosi dopo aver visitato con il proprio browser risorse Internet del tutto legittime - ma violate dai cybercriminali - all'interno delle quali i malintenzionati hanno provveduto ad iniettare pericolosi codici maligni, spesso sotto forma di script nocivi (tale tipologia di attacco informatico viene definita dagli esperti di sicurezza IT con l'appellativo di “drive-by download”). Al tempo stesso, esiste in Rete un ragguardevole numero di siti web malevoli creati espressamente dai malfattori per lanciare pericolosi attacchi nei confronti dei computer-vittima. E’ facile quindi comprendere come risulti di fondamentale importanza poter disporre, sul proprio computer, di un’efficace soluzione anti-malware. Oltre a ciò, le infezioni informatiche possono prodursi anche quando gli utenti cliccano in maniera volontaria su collegamenti ipertestuali potenzialmente pericolosi, ad esempio nel momento in cui essi procedono alla ricerca sul web dei più svariati contenuti pirata.

Così come in precedenza, sono entrati a far parte della TOP-5 della classifica esaminata nel presente capitolo del report trimestrale sulle attività del malware gli oggetti maligni rilevati nei computer degli utenti come Trojan.Script.Generic (2° posto) e Trojan.Script.Iframer (3° posto). Tali software nocivi vengono abitualmente bloccati e neutralizzati dalle nostre soluzioni di sicurezza IT durante i tentativi di conduzione di attacchi di tipo “drive-by”, i quali rappresentano, al giorno d’oggi, uno dei metodi in assoluto più diffusi per generare infezioni informatiche sui computer-vittima. La quota relativa a Trojan.Script.Generic ha fatto registrare un incremento pari allo 0,82%, mentre l'indice attribuibile a Trojan.Script.Iframer è di fatto aumentato dello 0,07% rispetto all'analogo valore riscontrato nel trimestre precedente.

In sostanza, la TOP-20 del secondo trimestre del 2013 relativa agli oggetti infetti rilevati in Internet risulta interamente composta da programmi malware che, in un modo o nell'altro, vengono abitualmente utilizzati dai cybercriminali per condurre attacchi drive-by nei confronti degli utenti.

Paesi nelle cui risorse web si celano maggiormente i programmi malware

I dati statistici qui di seguito riportati evidenziano in quali paesi risultano “fisicamente” collocati i siti web dai quali vengono scaricati i software nocivi che infestano la Rete. Per determinare l'origine geografica degli attacchi informatici portati tramite web è stato applicato il metodo che prevede la debita comparazione del nome di dominio con il reale indirizzo IP nel quale tale dominio risulta effettivamente collocato; si è allo stesso modo fatto ricorso all'accertamento della collocazione geografica di tale indirizzo IP (GEOIP).

Rileviamo in primo luogo come, relativamente al secondo trimestre del 2013, l' 83% delle risorse web utilizzate per la distribuzione di programmi malevoli da parte dei malintenzionati della Rete risulti concentrato in una ristretta cerchia di dieci paesi, evidenziati nel grafico qui sotto rappresentato. L'indice sopra menzionato ha fatto pertanto complessivamente registrare, nel corso dell’ultimo trimestre, un incremento di 2 punti percentuali.

 
Distribuzione geografica delle risorse web contenenti programmi maligni (ripartizione per paesi) - Situazione relativa al secondo trimestre del 2013

Sottolineiamo come le quote relative a tutti i paesi presenti nella TOP-10 analizzata in questo capitolo del report trimestrale dedicato all’evoluzione del malware evidenzino solo lievi variazioni rispetto all'analogo rating stilato per il primo trimestre dell'anno in corso. La leadership della speciale graduatoria che fornisce il quadro esatto della ripartizione geografica degli hosting maligni presenti sul territorio dei vari paesi del globo è andata nuovamente ad appannaggio degli Stati Uniti (24,4%), mentre la Russia (20,7%) continua ad occupare il secondo gradino del “podio” virtuale. Osserviamo inoltre come l'Irlanda non faccia più parte della TOP-10 in questione. Per contro, all'interno della graduatoria relativa al secondo trimestre dell'anno compare il Vietnam; il paese del Sud-est asiatico, con una quota pari a 2,1 punti percentuali, si è insediato alla settima piazza del rating qui analizzato.

Paesi i cui utenti sono risultati sottoposti ai maggiori rischi di infezioni informatiche diffuse attraverso Internet

Al fine di valutare nel modo più definito possibile il livello di rischio esistente riguardo alle infezioni informatiche distribuite via web - rischio al quale risultano sottoposti i computer degli utenti nei vari paesi del globo - abbiamo stimato la frequenza con la quale, nel corso del trimestre qui analizzato, gli utenti dei prodotti Kaspersky Lab, ubicati nelle varie regioni geografiche mondiali, hanno visto entrare in azione il modulo anti-virus specificamente dedicato al rilevamento delle minacce IT presenti nel World Wide Web. Evidenziamo come l’indice in questione non dipenda, ad ogni caso, dal numero di utenti del Kaspersky Security Network presenti in un determinato paese.

RankPaese%
1Armenia53.92%
2Federazione Russa52.93%
3Kazakhstan52.82%
4Tagikistan52.52%
5Azerbaijan52.38%
6Vietnam47.01%
7Moldavia44.80%
8Bielorussia44.68%
9Ukraina43.89%
10Kirghizistan42.28%
11Georgia39.83%
12Uzbekistan39.04%
13Sri Lanka36.33%
14Grecia35.75%
15India35.47%
16Thailandia34.97%
17Austria34.85%
18Turkey34.74%
19Libia34.40%
20Algeria34.10%

 

I 20 paesi* nei quali si è registrato il maggior numero di tentativi di infezione dei computer degli utenti tramite Internet**. Situazione relativa al secondo trimestre del 2013.

*Nell'effettuare i calcoli statistici non abbiamo tenuto conto di quei paesi in cui il numero di utenti delle soluzioni anti-virus di Kaspersky Lab risulta ancora relativamente contenuto (meno di 10.000 utenti).

**Quote percentuali relative al numero di utenti unici sottoposti ad attacchi web rispetto al numero complessivo di utenti unici dei prodotti Kaspersky Lab nel paese.

Le prime dieci posizioni della graduatoria relativa ai paesi i cui utenti sono risultati sottoposti con maggiore frequenza ai rischi di infezioni informatiche diffuse attraverso il World Wide Web risultano interamente occupate da paesi ubicati nello spazio geografico post-sovietico, ad eccezione del Vietnam, collocatosi al sesto posto della speciale classifica da noi elaborata. La seconda piazza del rating qui esaminato è andata ad appannaggio della Russia, con una quota pari al 52,9% di utenti unici sottoposti ad attacchi web. Segnaliamo inoltre che, nel secondo trimestre del 2013, hanno fatto il loro ingresso nella seconda metà della TOP-20 in questione Libia (34,4%), Austria (34,9%) e Thailandia (35%).

In base al livello di «contaminazione» informatica cui sono stati sottoposti i computer degli utenti nel trimestre preso in esame, risulta possibile suddividere i vari paesi del globo in gruppi distinti.

  1. Rileviamo, innanzitutto, come nel secondo trimestre del 2013 nessun paese sia entrato a far parte del Gruppo a massimo rischio, che comprende quelle nazioni in cui oltre il 60% degli utenti della Rete - almeno una volta - si è imbattuto negli insidiosi malware circolanti in Internet.
  2. Gruppo ad alto rischio. Tale gruppo - contraddistinto da quote che vanno dal 41% al 60% - risulta composto dai primi 10 paesi presenti nella TOP-20 (3 paesi in meno rispetto all'analoga graduatoria relativa al trimestre precedente). Di esso fanno parte il Vietnam e tutta una serie di paesi ubicati nello spazio geografico post-Unione Sovietica, quali Armenia (53,9%), Russia (52,9%), Kazakhstan (52,8%), Moldavia (44,8%), Bielorussia (44,7%) e Ukraina (43,9%).
  3. Gruppo a rischio. Esso è relativo agli indici percentuali che spaziano nel range 21% - 40%. Complessivamente, sono entrati a far parte di questo terzo gruppo ben 82 paesi, tra cui Italia (29,2%), Germania (33,7%), Francia (28,5%), Sudan (28,2%), Spagna (28,4%), Qatar (28,2%), Stati Uniti (28,6%), Irlanda (27%), Gran Bretagna (28,3%), Emirati Arabi Uniti (25,6%) e Paesi Bassi (21,9%).
  4. Gruppo dei paesi nei quali la navigazione in Internet risulta più sicura. Per ciò che riguarda il secondo  trimestre del 2013, figurano in tale gruppo 52 paesi, i quali presentano quote comprese nella forchetta 9-21%. Gli indici percentuali più bassi in assoluto (quote inferiori al 20%), relativamente al numero di utenti sottoposti ad attacchi informatici attraverso il web, sono stati registrati per i paesi africani, nazioni caratterizzate - come è noto - da un debole sviluppo delle infrastrutture Internet. Rappresentano quindi un’eccezione, nell’ambito della categoria relativa ai paesi nei quali il surfing in Rete risulta più sicuro, la Danimarca (18,6%) ed il Giappone (18,1%).

 
Quadro globale dei paesi i cui utenti sono risultati sottoposti al rischio di infezioni informatiche attraverso Internet - Situazione relativa al 2° trimestre del 2013

In media, nel corso del trimestre qui preso in esame, il 35,2% del numero complessivo di computer facenti parte del Kaspersky Security Network ha subito almeno un attacco informatico durante la quotidiana navigazione in Internet da parte degli utenti della Rete. Sottolineiamo infine come, rispetto al primo trimestre del 2013, la quota percentuale media di computer sottoposti ad attacchi durante l'esplorazione del web - e, di conseguenza, esposti al rischio di pericolose infezioni informatiche - abbia fatto complessivamente registrare un decremento pari al 3,9%.

Minacce informatiche locali

Il presente capitolo del nostro consueto report trimestrale dedicato all'evoluzione delle minacce informatiche analizza i dati statistici ottenuti grazie alle attività di sicurezza IT svolte dal modulo antivirus (preposto ad effettuare la scansione dei file presenti sul disco rigido al momento della loro creazione o quando si vuole accedere ad essi), unitamente alle statistiche relative ai processi di scansione condotti sui vari supporti rimovibili.

Oggetti maligni rilevati nei computer degli utenti

Nell'arco del secondo trimestre del 2013 le nostre soluzioni antivirus hanno bloccato 400.604.327 tentativi di infezione locale sui computer degli utenti facenti parte della rete globale di sicurezza Kaspersky Security Network.

Oggetti maligni rilevati nei computer degli utenti: TOP-20

RankDenominazione% di utenti unici sottoposti ad attacco*
1DangerousObject.Multi.Generic34.47%
2Trojan.Win32.Generic28.69%
3Trojan.Win32.AutoRun.gen21.18%
4Virus.Win32.Sality.gen13.19%
5Exploit.Win32.CVE-2010-2568.gen10.97%
6AdWare.Win32.Bromngr.i8.89%
7Trojan.Win32.Starter.lgb8.03%
8Worm.Win32.Debris.a6.53%
9Virus.Win32.Generic5.30%
10Trojan.Script.Generic5.11%
11Virus.Win32.Nimnul.a5.10%
12Net-Worm.Win32.Kido.ih5.07%
13HiddenObject.Multi.Generic4.79%
14Net-Worm.Win32.Kido.ir4.27%
15Exploit.Java.CVE-2012-1723.gen3.91%
16AdWare.Win32.Yotoon.e3.62%
17AdWare.JS.Yontoo.a3.61%
18DangerousPattern.Multi.Generic3.60%
19Trojan.Win32.Starter.lfh3.52%
20Trojan.WinLNK.Runner.ea3.50%

 

I dati statistici sopra indicati sono stati elaborati sulla base dei rilevamenti effettuati dai moduli anti-virus OAS (scanner on-access) e ODS (scanner on-demand). Le informazioni sono state ricevute tramite gli utenti dei prodotti Kaspersky Lab che hanno previamente fornito l'assenso per effettuare la trasmissione di dati statistici ai nostri analisti.

*Quote percentuali relative agli utenti unici sui computer dei quali l'anti-virus ha rilevato l'oggetto maligno. Le quote indicate si riferiscono al totale complessivo degli utenti unici dei prodotti Kaspersky Lab, presso i quali sono stati eseguiti rilevamenti da parte dell'anti-virus.

Così come in precedenza, le prime tre posizioni della speciale graduatoria relativa al secondo trimestre del 2013 sono andate ad appannaggio dei tre oggetti maligni che tradizionalmente detengono la leadership del rating qui analizzato, peraltro con un notevole margine percentuale rispetto ai diretti “concorrenti”.

Sul primo gradino del “podio” virtuale si sono collocati i programmi malware classificati con la denominazione di DangerousObject.Multi.Generic; la quota percentuale ad essi attribuibile è risultata pari al 34,47% del numero totale di utenti unici dei prodotti Kaspersky Lab presso i quali, durante il secondo trimestre dell’anno in corso, sono stati eseguiti rilevamenti da parte del nostro modulo anti-virus (tale indice è in sostanza quasi raddoppiato rispetto all’analogo valore riscontrato nel primo trimestre del 2013, ovvero 18,51%). Simili software dannosi vengono rilevati con l'ausilio delle nuove ed avanzate tecnologie «in-the-cloud», le quali intervengono proprio quando non esiste ancora, all'interno di un database anti-virus, la firma di un determinato programma nocivo, né risulta possibile l'applicazione del metodo di rilevamento euristico, mentre la società produttrice di soluzioni anti-malware - nella fattispecie Kaspersky Lab - dispone già, nella propria «nuvola telematica», delle informazioni relative all'oggetto maligno in questione. Di fatto, vengono in tal modo individuati i programmi malware più recenti.

La seconda piazza della graduatoria sopra riportata risulta occupata dal malware denominato Trojan.Win32.Generic (28,69%); esso viene individuato tramite analizzatore euristico, nel corso delle procedure di rilevamento proattivo effettuate su un cospicuo numero di software nocivi. Al terzo posto del rating in questione troviamo poi Trojan.Win32.AutoRun.gen (21,18%). Vengono classificati con tale denominazione determinati programmi malware che si avvalgono del meccanismo di autorun.

Paesi nei quali i computer degli utenti sono risultati sottoposti al rischio più elevato di infezioni informatiche locali

E' stata da noi determinata la ripartizione per singoli paesi delle quote percentuali di utenti del Kaspersky Security Network sui computer dei quali, nel corso del secondo trimestre del 2013, sono stati bloccati tentativi di infezione informatica di natura «locale». Le cifre ricavate dalle elaborazioni statistiche da noi eseguite riflettono pertanto i valori medi relativi al rischio di contaminazione «locale» esistente sui computer degli utenti nei vari paesi del globo. La graduatoria da noi stilata si riferisce esclusivamente a quei paesi in cui, al momento attuale, si contano oltre 10.000 utenti delle soluzioni anti-virus di Kaspersky Lab. In media, nel 29,9% del totale complessivo dei computer facenti parte del Kaspersky Security Network (KSN) - in pratica in un computer su tre - è stato individuato perlomeno una volta un file dannoso, residente nel disco rigido o in supporti rimovibili collegati al computer; tale valore ha fatto registrare una diminuzione dello 1,5% rispetto all’analogo indice riscontrato nel trimestre precedente.

RankPaese%
1Vietnam59.88%
2Bangladesh58.66%
3Nepal54.20%
4Mongolia53.54%
5Afghanistan51.79%
6Sudan51.58%
7Algeria50.49%
8India49.46%
9Pakistan49.45%
10Cambogia48.82%
11Repubblica Popolare Democratica del Laos48.60%
12Maldive47.70%
13Djibouti47.07%
14Iraq46.91%
15Mauritania45.71%
16Yemen45.23%
17Indonesia44.52%
18Egitto44.42%
19Marocco43.98%
20Tunisia43.95%

 

Livello di «contaminazione» informatica rilevato nei computer degli utenti KSN* - TOP-20 dei paesi sottoposti al rischio più elevato di infezioni informatiche locali**. Dati relativi al secondo trimestre del 2013

*Nell'effettuare i calcoli statistici non abbiamo tenuto conto di quei paesi in cui il numero di utenti delle soluzioni anti-virus di Kaspersky Lab risulta ancora relativamente contenuto (meno di 10.000 utenti).

**Quote percentuali relative al numero di utenti unici sui computer dei quali sono state bloccate e neutralizzate minacce informatiche locali, rispetto al numero complessivo di utenti unici dei prodotti Kaspersky Lab nel paese.

Desideriamo sottolineare come, per il quinto trimestre consecutivo, le prime venti posizioni del rating qui sopra riportato risultino quasi interamente occupate da paesi ubicati nel continente africano, in Medio Oriente e nel Sud-Est asiatico. La leadership della speciale graduatoria è andata ad appannaggio del Vietnam (59,9%). Il Bangladesh - collocatosi sul primo gradino del "podio" virtuale dell'analogo rating relativo al trimestre precedente - nel periodo oggetto del presente report ha fatto registrare un indice pari al 58,7% di utenti unici sottoposti al rischio di infezioni informatiche locali; la quota relativa al popoloso paese del subcontinente indiano è quindi ulteriormente diminuita (- 9,1% rispetto all'analogo valore riscontrato nel primo trimestre dell'anno in corso).

Così come per le infezioni informatiche che si diffondono attraverso il World Wide Web, anche relativamente alle minacce IT che si manifestano localmente sui computer degli utenti, risulta possibile stilare una sorta di graduatoria «geografica», suddividendo i vari paesi del globo in categorie ben distinte, a seconda del livello di «contaminazione» informatica che ha contraddistinto questi ultimi nel corso del secondo trimestre dell'anno.

  1. Massimo livello di rischio di infezione informatica (indice superiore al 60%). Fortunatamente, per ciò che riguarda il secondo  trimestre del 2013, nessun paese figura in tale gruppo.
  2. Elevato livello di rischio di infezione informatica: di questo secondo raggruppamento, la cui forbice percentuale spazia dal 41 al 60%, fanno parte ben 34 paesi, tra cui Vietnam (59,9%), Bangladesh (58,7%), Nepal (54,2%), India (49,5%) e Iran (42,6%).
  3. Medio livello di rischio di infezione informatica (21-40%): il terzo gruppo annovera invece 77 nazioni, tra cui Libano (40%), Cina (36,7%), Qatar (34,1%), Russia (30,5%), Ukraina (30,1%), Spagna (23,9%), Italia (21,2%), Cipro (21,6%).
  4. Minimo livello di rischio di infezione informatica. Nel secondo trimestre dell’anno in corso sono entrati a far parte di tale gruppo (quota di utenti unici pari o inferiore al 21%) 33 nazioni, tra cui Francia (19,6%), Belgio (17,5%), Stati Uniti (17,9%), Gran Bretagna (17,5%), Australia (17,5%), Germania (18,5%), Estonia (15,2%), Paesi Bassi (14,6%), Svezia (12,1%), Danimarca (9,7%) e Giappone (9,1%).

 
Quadro mondiale relativo al rischio del prodursi di infezioni informatiche “locali” sui computer degli utenti ubicati nei vari paesi. Situazione relativa al secondo trimestre del 2013

La TOP-10 qui sotto inserita si riferisce a quei paesi che vantano in assoluto le quote percentuali più basse in termini di rischio di contagio dei computer degli utenti da parte di infezioni informatiche locali:

RankPaese%
1Giappone9.01%
2Danimarca9.72%
3Finlandia11.83%
4Svezia12.10%
5Repubblica Ceca12.78%
6Martinica13.94%
7Norvegia14.22%
8Irlanda14.47%
9Paesi Bassi14.55%
10Slovenia14.70%

 

Rispetto a quanto rilevato riguardo al primo trimestre del 2013, sono entrati a far parte della TOP-10 qui sopra riportata due nuovi paesi, ovvero Martinica e Slovenia; le “new entry” hanno comportato l’esclusione da tale classifica di Svizzera e Nuova Zelanda.