Evoluzione delle minacce informatiche nel secondo trimestre del 2014

01 ago 2014
Notizie Virus

David Emm

Roman Unuchek

Victor Chebyshev

Maria Garnaeva

Denis Makrushin



 

Il trimestre in cifre

  • Secondo i dati raccolti tramite il Kaspersky Security Network (KSN), lungo tutto l'arco del secondo trimestre del 2014 i prodotti Kaspersky Lab hanno rilevato e neutralizzato 995.534.410 attacchi dannosi nei confronti dei computer e dei dispositivi mobili degli utenti.
  • Le soluzioni anti-malware di Kaspersky Lab hanno complessivamente respinto ben 354.453.992 attacchi condotti attraverso siti Internet compromessi dislocati in vari paesi.
  • Il nostro anti-virus web ha effettuato il rilevamento di 57.133.492 oggetti nocivi unici (script, pagine web, exploit, file eseguibili, etc.).
  • In totale, sono stati individuati e bloccati, da parte del nostro modulo anti-virus web, 145.386.473 URL unici.
  • Il 44% degli attacchi web bloccati e neutralizzati grazie all'intervento dei prodotti anti-malware di Kaspersky Lab è stato condotto attraverso siti web nocivi dislocati sul territorio di Stati Uniti e Germania.
  • Le nostre soluzioni anti-virus hanno rilevato con successo 528.799.591 incidenti virali che hanno preso di mira i computer degli utenti che prendono attivamente parte al Kaspersky Security Network. Complessivamente, nel corso di tali incidenti, sono stati registrati ben 114.984.065 oggetti nocivi unici, o potenzialmente indesiderabili.
  • Lungo tutto l'arco del secondo trimestre dell'anno corrente, sono stati complessivamente attaccati, da parte del cosiddetto malware bancario, 927.568 computer appartenenti agli utenti dei prodotti Kaspersky Lab. 
  • In totale, attraverso i computer sottoposti ad attacco informatico esplicitamente rivolto alla sfera bancaria, sono state ricevute ben 3.455.530 notifiche riguardo a tentativi di infezione IT condotti mediante l'utilizzo di software nocivi riconducibili alla specifica tipologia del malware finanziario.

Il quadro della situazione

 

Attacchi mirati e campagne di malware

Qualcuno ha avvelenato la ‘pozza d’acqua’

 

Nello scorso mese di aprile abbiamo segnalato il rilevamento di una nuova vulnerabilità "zero-day" individuata in Flash Player, falla di sicurezza che riteniamo sia stata a più riprese sfruttata per la conduzione di attacchi informatici di tipo "water-hole" (l'espressione inglese significa letteralmente “pozza d’acqua", o "abbeveratoio"), eseguiti attraverso un sito web siriano compromesso dal malware.  Il sito Internet in questione (http://jpic.gov.sy), lanciato nell'anno 2011 da parte del Ministero della Giustizia siriano, era stato originariamente progettato con il preciso scopo di fornire ai cittadini un valido strumento per esprimere lamentele e dissenso nei confronti di eventuali episodi di violazione della legge e dell'ordine vigenti nel paese mediorientale.  Nella specifica circostanza, siamo dell'avviso che gli attacchi informatici sopra menzionati siano stati appositamente organizzati e sviluppati allo scopo di prendere di mira determinati dissidenti siriani, fautori di proteste riguardo all'operato del governo. 

Verso la metà del mese di aprile i nostri esperti di sicurezza IT hanno analizzato in dettaglio due nuovi exploit SWF (Shockwave Flash o, semplicemente, Flash), entrambi rilevati in maniera proattiva dai prodotti anti-malware di Kaspersky Lab, i quali non facevano uso di alcuna delle vulnerabilità conosciute sino a quel preciso momento, ma sfruttavano, bensì, una nuova vulnerabilità zero-day, successivamente confermata dalla stessa Adobe (CVE-2014-0515).  La falla di sicurezza in causa è stata localizzata nel componente Pixel Bender (non più supportato da Adobe), comunemente utilizzato per l'elaborazione di video ed immagini.  Mentre il primo dei due exploit sopra citati è provvisto di caratteristiche del tutto standard, ed è pertanto in grado di infettare, in pratica, qualsiasi computer privo di adeguata protezione, il secondo exploit si contraddistingue per il fatto di funzionare esclusivamente su computer in cui risultano installati gli add-in Adobe Flash Player 12 ActiveX e Cisco MeetingPlace Express.  Con ogni probabilità, gli autori del codice maligno in questione confidavano sull'ipotesi che gli sviluppatori avrebbero difficilmente scoperto la vulnerabilità insita nel componente sopra citato, e speravano, pertanto, che in tal modo l'exploit da essi confezionato sarebbe rimasto attivo più a lungo nel tempo.  Ciò sembra testimoniare in maniera inequivocabile il fatto che gli attaccanti non avessero alcuna intenzione di mietere vittime in massa.

Appare alquanto probabile che le vittime dell'attacco informatico qui sopra descritto venissero reindirizzate verso tali exploit tramite un apposito iframe o uno script collocato all'interno del sito web violato.  Quando nelle pagine del nostro blog dedicato alle tematiche di sicurezza IT abbiamo pubblicato il post riguardante la suddetta vulnerabilità zero-day, erano stati già individuati oltre 30 rilevamenti, prodottisi sui computer di sette diverse persone, tutte quante situate entro i confini del territorio siriano.

E' nostra precisa opinione che l'assalto IT qui esaminato sia stato di fatto accuratamente progettato da attaccanti di calibro elevato, come evidenzia l'utilizzo di exploit zero-day scritti in maniera altamente professionale, utilizzati per compromettere singole risorse informatiche.

I dettagli tecnici relativi agli exploit in questione possono essere reperiti qui.

Cyber-rapina bancaria in Italia (e in Turchia)

Nell'ultima decade dello scorso mese di giugno, sempre all'interno del nostro blog, abbiamo riferito in merito all'indagine condotta dai nostri esperti riguardo ad un vasto attacco informatico portato nei confronti dei clienti di un'importante banca europea, una vera e propria cyber-rapina compiuta su larga scala, capace di generare, complessivamente, il furto di ben mezzo milione di euro, in una sola settimana.

I primi segnali di tale campagna cybercriminale erano stati già individuati nel mese di gennaio, quando è stato da noi scoperto un server sospetto contenente i log relativi a numerose transazioni riconducibili a frodi di natura finanziaria, con tanto di specifici dettagli sia sulle vittime dell'operazione nociva condotta, sia sulle somme di denaro di volta in volta carpite.  Le successive analisi eseguite hanno portato alla luce ulteriori preziose informazioni, le quali hanno permesso di determinare con esattezza l'istituto bancario preso di mira, il sistema di "money mule" organizzato nella circostanza (si intendono, con tale espressione, l'insieme dei “corrieri” dediti al riciclaggio, o lavaggio che dir si voglia, del denaro sporco illecitamente sottratto) messo in atto dall'organizzazione criminosa, i dettagli operativi dell'attacco ed il codice JavaScript relativo alla parte "command-and-control" (C2) della campagna fraudolenta ordita dai malintenzionati.  E' quindi emerso in tutta chiarezza che si trattava, nel caso specifico, della porzione lato server di un'articolata infrastruttura cybercriminale, basata sull'impiego di malware appartenente alla particolare tipologia dei Trojan banker. I nostri analisti hanno assegnato al C2 in questione l'appellativo di ‘luuuk’, sulla base del percorso presente nel pannello di amministrazione utilizzato nell'ambito del server nocivo, ovvero ‘/server/adm/luuuk’.

E' stato inoltre appurato che la campagna fraudolenta qui esaminata era stata allestita dai criminali informatici per prendere di mira esclusivamente i clienti di una sola specifica banca.   Pur non essendo stati in grado di ottenere un sample del malware utilizzato per infettare i computer-vittima, possiamo a ragion veduta affermare che, nella circostanza, i cybercriminali si sono avvalsi di un temibile Trojan bancario, capace di eseguire operazioni di tipo ‘Man-in-the-Browser’ (MitB), allo scopo di carpire illecitamente le credenziali e i dati sensibili delle vittime, mediante un'apposita web injection maligna.  Sulla base delle informazioni disponibili in alcuni dei file di log, è risultato in tutta evidenza come il malware in causa fosse in grado di realizzare in tempo reale il furto di username, password e OTP (One-Time Password), le password da utilizzare una sola volta, valide per una singola sessione di accesso o transazione.

Tali iniezioni sono piuttosto comuni in tutte le varianti di Zeus (Citadel, SpyEye, IceIX, etc.).  Nel caso specifico da noi analizzato non siamo stati in grado di identificare il vettore dell'infezione informatica; è tuttavia ampiamente risaputo come i Trojan bancari si avvalgano di vari metodi al fine di generare l'infezione dei computer sottoposti ad attacco, incluso lo spam ed i drive-by download.  A seguito della pubblicazione del nostro post, i ricercatori operanti presso Fox-IT InTELL hanno successivamente trasmesso ai nostri esperti varie informazioni potenzialmente collegate alla campagna fraudolenta qui esaminata.  I dati ricevuti hanno di fatto indicato che il server Luuuk potrebbe essere correlato a ZeusP2P (altrimenti noto con la denominazione di Murofet), come avevamo inizialmente sospettato.  Non è tuttavia emersa alcuna prova definitiva in merito, visto che, quando abbiamo condotto la nostra analisi, non abbiamo potuto reperire, sul server, il codice precedentemente iniettato.

Nel corso dell'assalto informatico gli attaccanti hanno utilizzato le credenziali degli utenti, sottratte in precedenza, al fine di controllare il saldo presente sull'account bancario della potenziale vittima ed eseguire poi in maniera automatica le transazioni dannose, operando probabilmente in background durante un’ordinaria sessione di banking online, del tutto legittima.  Questi elementi si rivelano del tutto compatibili con l'impiego di uno degli strumenti maligni (un server VNC) da noi identificato nella circostanza, operante in combinazione con il server nocivo utilizzato dagli attaccanti.

Il denaro illecitamente carpito veniva poi trasferito automaticamente sui conti bancari appositamente allestiti nell'ambito di un articolato sistema di "money mule", ovvero account intestati a vari "muli", o "galoppini", di cui si avvaleva l'organizzazione cybercriminale, oscuri personaggi preposti al riciclaggio del denaro sporco.  A tal proposito, si è rivelato particolarmente curioso ed interessante il sistema di classificazione adottato nei confronti dei "money mule" da parte dei malintenzionati in causa.  Sono in pratica emersi quattro differenti gruppi di money mule, ognuno determinato dall'importo massimo di denaro che i "muli" presenti in ciascuno dei gruppi avrebbero potuto accettare e ricevere sul proprio conto bancario, probabilmente una sorta di riflesso indiretto del grado di fiducia riposto in tali "collaboratori".

In totale, sono state da noi identificate ben 190 vittime delle transazioni finanziarie fraudolente compiute nell'occasione dal gruppo cybercriminale "Luuuk"; la maggior parte di esse sono risultate essere ubicate sul territorio di Italia e Turchia.  Le somme di denaro sottratte a ciascuno degli utenti-vittima oscillavano dai 1.700 € ai 39.000 €, per un importo complessivo di 500.000 euro illecitamente sottratti.

Gli attaccanti, peraltro, avevano già provveduto a rimuovere tutti i componenti sensibili lo scorso 22 gennaio, in pratica appena due giorni dopo l'inizio dell'indagine da noi effettuata.  Sulla base delle effettive attività di transazione nel frattempo svolte, riteniamo che ciò abbia rappresentato, semplicemente, una sorta di cambiamento a livello di infrastrutture utilizzate, anziché, come sarebbe invece più che auspicabile, un totale smantellamento delle operazioni criminose condotte.  Le analisi effettuate in merito dagli esperti di Kaspersky Lab indicano, a tutti gli effetti, come i cybercriminali che si nascondono dietro le trame della campagna truffaldina qui descritta si siano di sicuro rivelati, a modo loro, altamente professionali e particolarmente attivi.  Tra l'altro, essi hanno condotto specifiche attività di natura proattiva, soprattutto a livello di "sicurezza" operativa, modificando rapidamente la tattica criminosa adottata di volta in volta, e rimuovendo poi ogni traccia, non appena scoperti.

Da parte nostra, non appena abbiamo scovato ed identificato il server C2 di comando e controllo, utilizzato dai malintenzionati, ci siamo preoccupati di segnalare tempestivamente la delicata questione di sicurezza IT alla banca coinvolta nella vicenda, così come alle agenzie governative competenti e alle forze dell'ordine.  Attualmente, ci stiamo mantenendo in contatto con le autorità sopra indicate, continuando, nel frattempo, ad investigare in maniera dettagliata sul pesante attacco informatico condotto.

Lo spyware ‘legale’ diviene mobile

Nello scorso mese di giugno sono stati da noi pubblicati i risultati relativi alla nostra ultima ricerca condotta riguardo al software “legale” denominato Remote Control System (RCS), sviluppato dalla nota società italiana HackingTeam.  Di fatto, non è certo la prima volta in cui abbiamo specificamente focalizzato le nostre attenzioni sul software prodotto da questa azienda.  Ad ogni caso, sono di sicuro intervenuti sviluppi particolarmente significativi da quando, nel mese di aprile 2013, fu pubblicato il nostro precedente articolo riguardo a RCS.

Innanzitutto, i nostri esperti hanno individuato una singolare caratteristica di tale programma, la quale può essere utilizzata per rilevare la fingerprint (impronta digitale) inerente ai server di comando e controllo (C2) di cui si avvale, in tutto il mondo, il software Remote Control System.  In effetti, quando ad un server RCS viene indirizzata una determinata richiesta, quest’ultimo risponde con il seguente messaggio di errore:

1

Siamo stati in grado di utilizzare tale metodo per effettuare la scansione dell'intero spazio IPv4, e questo ci ha permesso di determinare con certezza tutti gli indirizzi IP relativi ai server C2 del software RCS, ubicati in tutto il mondo.  In totale, ne sono stati rilevati ben 326; la maggior parte di essi è risultata situata negli Stati Uniti, nel Kazakhstan ed in Ecuador.  La lista completa può essere consultata al seguente link.  Per numerosi indirizzi IP è stata identificata una precisa correlazione con determinate “entità governative”, sulla base delle informazioni WHOIS via via recuperate.  Di certo, non possiamo essere pienamente sicuri del fatto che i server situati sul territorio di uno specifico paese vengano poi di fatto utilizzati proprio dalle autorità e dalle forze dell'ordine di quel paese stesso; in tutto ciò, si possono tuttavia individuare un filo logico ed un senso ben precisi: tale situazione, dopo tutto, permetterebbe di evitare qualsiasi problema di natura legale connesso a specifiche circostanze transnazionali, così come di scongiurare il rischio che tali server possano essere in qualche modo "sequestrati" da altri.

In secondo luogo, gli esperti di Kaspersky Lab hanno individuato una serie di moduli per malware mobile, provenienti da HackingTeam, e destinati alle piattaforme Android, iOS, Windows Mobile e BlackBerry.  Essi vengono tutti quanti controllati tramite l'utilizzo di un identico tipo di configurazione; si tratta, ovviamente, di un'ottima indicazione riguardo al fatto che tali moduli presentano evidenti correlazioni tra di loro ed appartengono alla medesima famiglia di prodotti.  Non costituisce di sicuro motivo di particolare sorpresa il fatto che i nostri esperti si siano mostrati particolarmente interessati proprio ai moduli relativi ai sistemi operativi mobili Android ed iOS, vista la grande popolarità e la vasta diffusione di tali piattaforme presso il pubblico degli utenti.

I moduli in questione vengono installati medianti appositi infector (agenti infettanti), speciali programmi eseguibili appositamente sviluppati sia per Windows che per Mac OS, i quali sono in grado di girare, tuttavia, soltanto su computer infetti, già sottoposti a contagio informatico.   Il modulo destinato al sistema operativo iOS supporta, da parte sua, esclusivamente dispositivi mobili sottoposti, in precedenza, a procedure di jailbreaking.  Di fatto, tale specifica caratteristica ne limita considerevolmente le capacità di diffusione; ad ogni caso il particolare metodo di infezione utilizzato da RCS fa sì che un attaccante possa eseguire un tool (quale, ad esempio, Evasi0n) che consente di avviare da remoto una procedura di jailbreaking direttamente attraverso il computer infettato in precedenza, al quale venga di fatto collegato lo smartphone, purché, ovviamente, il dispositivo mobile non risulti bloccato.

Il modulo appositamente predisposto per il sistema operativo iOS permette all'hacker di accedere ai dati custoditi sul dispositivo mobile (incluso e-mail, contatti, cronologia delle chiamate telefoniche, pagine web ospitate nella cache), così come di attivare segretamente il microfono e di realizzare regolari scatti attraverso la fotocamera in dotazione.  Tutto ciò garantisce il completo controllo dell'intero ambiente, sia interno che prospiciente al computer-vittima.

Il modulo appositamente sviluppato per la piattaforma Android risulta protetto da DexGuard, dotato di specifiche funzioni di ottimizzatore/offuscatore; la relativa analisi si è pertanto rivelata di particolare difficoltà.  Siamo stati tuttavia in grado di poter determinare che esso si relaziona perfettamente alla funzionalità del modulo iOS, ed offre, al tempo stesso, un supporto aggiuntivo per poter intercettare e dirottare le informazioni provenienti dalle seguenti applicazioni: ‘com.tencent.mm’, ‘com,google,android,gm’, ‘android,calendar’, ‘com,facebook’, ‘jp,naver,line,android’ e ‘com,google.android,talk’.

L'elenco completo delle funzioni può essere consultato qui.

I nuovi dati raccolti evidenziano in maniera inequivocabile l'elevato grado di sofisticatezza attualmente posseduto da tali strumenti di sorveglianza.  La policy adottata da Kaspersky Lab in relazione a tool del genere è estremamente chiara.  Da parte nostra, cerchiamo di rilevare, e ci adoperiamo per risolvere, qualsiasi attacco malware, indipendentemente dall'origine dello stesso o dallo scopo per il quale l'attacco è stato lanciato.  Per noi, non esiste in alcun modo il concetto di malware "giusto" e di malware "sbagliato"; in passato, tra l'altro, abbiamo pubblicato specifici avvertimenti riguardo ai rischi connessi all'utilizzo del cosiddetto spyware "legale".  E' tuttavia assolutamente indispensabile che tali strumenti di sorveglianza non cadano nelle mani sbagliate; è per tale motivo che l'industria della sicurezza IT non può praticare alcun tipo di eccezione, quando si tratta di individuare il malware.

 

MiniDuke reloaded

All'inizio del 2014 abbiamo assistito al riattivarsi di MiniDuke, la nota campagna APT (Advanced Persistent Threat, minacce informatiche di natura avanzata e persistente) risalente, in origine, ai primi mesi del 2013.  Ricordiamo, a tal proposito, come l'analoga campagna iniziale si fosse contraddistinta, sulla scena del malware mondiale, in maniera davvero particolare, per tutta una serie di motivi.  La prima versione di MiniDuke comprendeva, in effetti, una backdoor personalizzata scritta "alla vecchia maniera", nel linguaggio di programmazione Assembler.   L'attacco informatico, inoltre, veniva gestito mediante l'utilizzo di un'apposita infrastruttura di comando e controllo (C2), del tutto inusuale: nella circostanza, si faceva in effetti ampiamente ricorso a percorsi ridondanti multipli, incluso numerosi account Twitter. Gli sviluppatori erano poi soliti trasferire in forma nascosta i loro file eseguibili aggiornati, occultando gli stessi all'interno di appositi file GIF.

Gli specifici target della nuova operazione MiniDuke (ugualmente conosciuta con gli appellativi di TinyBaron e CosmicDuke) sono rappresentati da funzionari che agiscono presso istituzioni governative e diplomatiche, così come da operatori del settore energetico, militare e delle telecomunicazioni.  In maniera piuttosto inusuale, a dire il vero, l'elenco delle "vittime" della nuova campagna APT include ugualmente personaggi coinvolti nel traffico e nella rivendita di sostanze illegali, quali steroidi e ormoni. La ragione di tutto ciò non traspare tuttavia in maniera evidente.  E' forse possibile che la backdoor personalizzabile sia disponibile sotto forma di "spyware legale".  Oppure, più semplicemente, tale programma malware, risultando magari disponibile nell’ambito del cosiddetto mercato underground, potrebbe essere stato acquistato da varie società concorrenti nel settore farmaceutico, per compiere poi operazioni di spionaggio reciproco.

La nuova campagna MiniDuke è rivolta a paesi di tutto il mondo, incluso Austria, Belgio, Francia, Germania, Ungheria, Paesi Bassi, Spagna, Ukraina e Stati Uniti.

Uno dei server nocivi da noi analizzati custodiva peraltro un lungo elenco di "vittime", lista addirittura risalente al mese di aprile 2012.  Sono stati complessivamente individuati, all'interno del server, ben 265 diversi identificativi, assegnati a vittime riconducibili a 139 IP unici: la distribuzione geografica degli obiettivi dell'operazione APT in causa comprendeva, tra l'altro, Georgia, Russia, Stati Uniti, Gran Bretagna, Kazakhstan, India, Bielorussia, Cipro, Ukraina e Lituania.

L'analisi condotta dai nostri esperti ha rivelato come gli aggressori stessero di fatto cercando di estendere il loro campo operativo, eseguendo lo scanning di intervalli di indirizzi IP ed ulteriori server ubicati sul territorio di Azerbaijan, Ukraina e Grecia.

Il malware esegue attività di spoofing relativamente ad applicazioni particolarmente diffuse, appositamente progettate per funzionare in background; questo può ad esempio riguardare le informazioni sui file, le relative icone e persino la dimensione dei file stessi.  Il programma backdoor viene compilato utilizzando 'BotGenStudio', un framework personalizzabile che permette agli aggressori di attivare e disattivare i vari componenti nel momento stesso in cui il bot viene costruito.  I vari componenti del malware in questione possono essere classificati in base alle loro specifiche funzioni.

(1) Persistenza.  Il malware è in grado di avviarsi ad orari prestabiliti, attraverso Windows Task Scheduler, oppure nel momento in cui viene attivato il salvaschermo.

(2) Ricognizione.  MiniDuke provvede non soltanto a realizzare il furto dei file provvisti di estensioni specifiche; il malware in causa, in effetti, raccoglie ugualmente le password, i dati relativi alla cronologia, le informazioni di rete, gli elenchi degli indirizzi, le informazioni visualizzate dall'utente-vittima sul proprio schermo (vengono eseguiti appositi screenshot, ogni cinque minuti), al pari di ulteriori dati sensibili.

Ad ogni vittima viene assegnato un ID univoco, il quale consente, in seguito, di trasmettere aggiornamenti specifici per ognuno dei singoli target presi di mira.  Il malware oggetto del presente capitolo del report viene abitualmente protetto mediante un apposito loader, debitamente offuscato e personalizzato, preposto a consumare in maniera pesante le risorse della CPU, per un periodo di almeno 3-5 minuti, prima di avviare l'esecuzione del relativo payload.  Tali circostanze rendono di fatto particolarmente difficile l'analisi di MiniDuke.  Per di più, il malware in causa "drena" ugualmente quelle risorse che risulterebbero necessarie al software di sicurezza al fine di emulare l'esecuzione del malware stesso. In aggiunta all'impiego di un proprio offuscatore, MiniDuke pratica inoltre un uso davvero massiccio della crittografia e della compressione, basandosi sugli algoritmi RC4 e LZRW. Tali funzionalità vengono peraltro implementate con modalità leggermente diverse rispetto alle versioni standard; riteniamo, a ragion veduta, che ciò sia stato deliberatamente realizzato, dagli attaccanti, allo scopo di fuorviare i ricercatori.

Una delle parti più sofisticate e tecnologicamente più avanzate del malware qui esaminato riguarda lo storage dei dati.  La configurazione interna del malware risulta a sua volta codificata, compressa e serializzata alla stregua di una struttura particolarmente complessa, del tutto simile ad una sorta di registro, la quale presenta varie tipologie di record, incluso stringhe, parti intere e vari riferimenti interni.

(3) Esfiltrazione.  Il malware MiniDuke implementa numerosi metodi per realizzare il trasferimento dei dati sottratti, incluso l'upload via FTP e tre diversi tipi di comunicazione basati sul protocollo HTTP.  Quando viene effettuato l'upload di un file sul server di comando e controllo (C2), tale file viene suddiviso in piccole porzioni (aventi una dimensione di circa 3KB), le quali vengono successivamente compresse, codificate e collocate all'interno di un apposito contenitore, per il conseguente processo di trasferimento e caricamento dei dati sul server. Nel caso in cui si tratti di un file di grandi dimensioni, quest'ultimo, dopo essere stato debitamente "sminuzzato", può essere addirittura piazzato all'interno di diverse centinaia di container, i quali verranno poi tutti quanti caricati sul server nocivo, in maniera del tutto indipendente l’uno dall’altro.  E' altamente probabile che queste "porzioni" di dati vengano in seguito analizzate sintatticamente, decodificate, decompresse, estratte e riassemblate sul lato attaccante.  Mentre un simile metodo può ovviamente generare un eccesso di attività di per se stesse macchinose, tali layer di elaborazione aggiuntiva sembrano tuttavia poter assicurare che solo pochissimi ricercatori ed analisti riusciranno poi a giungere ai dati originali; tali procedure, inoltre, offrono una maggiore affidabilità nei confronti di eventuali errori di rete.

Come generalmente avviene per qualunque minaccia APT, risulta virtualmente impossibile effettuare l'attribuzione della stessa a precisi responsabili.  Nella specifica circostanza, per quanto gli aggressori utilizzino a più riprese la lingua inglese, emergono indubbie indicazioni sul fatto che non si tratti in alcun modo della lingua madre di questi ultimi. Abbiamo individuato certe stringhe, all'interno di un blocco di memoria aggiunto al componente utilizzato per la funzionalità di persistenza, le quali suggeriscono come gli attaccanti possano essere, di fatto, russi.  Ciò è ugualmente testimoniato dall'utilizzo della codifica Codepage 1251 nella webshell utilizzata degli attaccanti per compromettere gli host C2; tale codifica viene in effetti normalmente impiegata per il rendering dei caratteri cirillici.  La medesima webshell era stata precedentemente osservata durante le operazioni condotte nell'ambito di un'altra estesa campagna APT, denominata Turla, Snake od Uroburos.

I truffatori online: la loro personale Coppa [del Mondo] è quasi traboccata!

 

E' ormai noto come i truffatori di ogni latitudine siano costantemente alla ricerca di nuove opportunità per far soldi nascondendosi in maniera alquanto subdola dietro le quinte dei principali avvenimenti sportivi che si svolgono di volta in volta sulla scena internazionale; nella circostanza, la Coppa del Mondo FIFA 2014, evento planetario atteso con ansia dagli appassionati di football di ogni angolo del globo, non ha certo rappresentato un'eccezione a tale specifica "regola".  Nel periodo che ha preceduto l'inizio del Campionato del Mondo, abbiamo a più riprese messo in evidenza ed illustrato le varie modalità adottate da truffatori senza scrupoli per cercare di raggirare coloro che - magari pieni di entusiasmo, ma privi delle sempre più necessarie attenzioni - si apprestavano a recarsi in Brasile per assistere allo svolgimento del torneo di calcio in assoluto più prestigioso al mondo.

Un metodo alquanto praticato dai frodatori della Rete - con il preciso intento di sottrarre denaro in maniera illecita alle potenziali vittime - è di sicuro rappresentato dagli attacchi di phishing.  Pare in effetti essere una cosa del tutto normale ed ordinaria, per i phisher, compromettere siti Internet del tutto legittimi, per collocare poi al loro interno pagine web fraudolente appositamente confezionate per realizzare la truffa.  I phisher insediati entro i confini del vasto territorio brasiliano, però, sono andati ben oltre tali pratiche illecite, organizzando, di fatto, insidiosi e sofisticati attacchi informatici che gli utenti comuni, non particolarmente esperti, non potevano di certo individuare con facilità.  In primo luogo, i malintenzionati in questione hanno provveduto a registrare vari domini utilizzando indebitamente, nell'occasione, i nomi di noti marchi ed aziende locali - incluso società fornitrici di carte di credito, banche e negozi online. Non contenti, i cybercriminali si sono spinti notevolmente oltre.  I phisher brasiliani, in effetti, oltre a pubblicare in Rete siti web dannosi progettati e realizzati in maniera decisamente professionale, hanno pensato bene di conferire alle pagine web truffaldine un aspetto di autenticità e di legittimità ancora maggiore, provvedendo ad acquistare, nella circostanza, appositi certificati SSL presso note Autorità di Certificazione, quali Comodo, EssentialSSL, Starfield, Register.com ed altre ancora.  Chiaramente, un sito Internet provvisto di ordinario certificato SSL, del tutto "legittimo", rischia di trarre facilmente in inganno persino gli stessi consumatori esperti, ben consapevoli delle delicate tematiche di sicurezza IT esistenti.

2

Nella specifica occasione, ovviamente, i phisher hanno ugualmente approfittato della relativa facilità con cui, attualmente, si può provvedere all'acquisto dei suddetti certificati, per poi distribuire un temibile malware accompagnato da "regolare" firma digitale. L'operazione di phishing qui descritta ha avuto inizio con l'invio di allettanti messaggi e-mail in cui si comunicava al destinatario la fantomatica vincita (presso chissà quale immaginaria lotteria...) degli ambiti biglietti per assistere ad alcuni incontri di calcio previsti nel ricco programma della Coppa del Mondo Brasil 2014; il fatto è che l'invitante link contenuto nei messaggi dannosi avrebbe in realtà soltanto condotto l'incauto utente verso il download di un temibile Trojan bancario:

3

Certi messaggi di posta, riconducibili a tale mailing di massa, presentavano addirittura dettagli di natura personale, carpiti da un database violato; tutto ciò, ovviamente, con il chiaro intento, da parte dei malintenzionati, di conferire maggiore credibilità alla "generosa" offerta fasulla.

E' tuttavia più che doveroso ricordare come, nel periodo oggetto del presente report, i cybercriminali brasiliani non abbiano limitato le loro losche attività unicamente al phishing.  In un post recentemente pubblicato all'interno del nostro blog dedicato alle tematiche di sicurezza IT abbiamo ugualmente riferito di come tali malfattori, per catturare i dati sensibili riportati sulle carte di credito degli utenti, stessero utilizzando, al tempo stesso, anche malware installato su dispositivi Point-of-Sale (POS) e PIN-Pad.  I dispositivi in questione vengono abitualmente collegati ad un computer tramite una porta USB od una porta seriale, per poter comunicare con l'apposito software EFT (Electronic Funds Transfer), preposto al trasferimento elettronico del denaro.  I Trojan utilizzati dai cybercriminali vanno ad infettare il computer in questione e sottraggono così i dati trasmessi attraverso le suddette porte.  I dispositivi PIN-Pad, come è noto, sono dotati di specifiche funzionalità di sicurezza, per garantire che le chiavi di sicurezza vengano debitamente cancellate nel caso in cui qualcuno tenti di manomettere il dispositivo.  Il PIN viene a sua volta cifrato non appena viene inserito; nella maggior parte dei casi, per eseguire tale delicata operazione, si utilizza la crittografia Triple DES. Nonostante questo, bisogna tenere in debita considerazione il fatto che i dati Track 1 (numero della carta di credito, relativa data di scadenza, codice di servizio e numero CVV), al pari dei dati visibili del CHIP, non risultano essere affatto crittografati negli hardware dei vecchi dispositivi, ormai obsoleti; tali dati vengono in effetti inviati in chiaro al PC, in formato testo, tramite le porte seriali o le porte USB.  Le circostanze sopra descritte forniscono ovviamente ai cybercriminali tutto ciò di cui essi hanno bisogno per poter poi comodamente clonare la carta di credito presa di mira.

I criminali informatici cercano ugualmente di approfittare del nostro sempre più irrinunciabile desiderio di rimanere connessi ovunque andiamo - per condividere le nostre foto, aggiornare quotidianamente gli account di cui disponiamo nei vari social network, reperire velocemente le ultimissime notizie, oppure individuare i luoghi migliori per mangiare, fare acquisti o soggiornare.  Purtroppo, come ben sappiamo, le tariffe applicate al roaming mobile possono rivelarsi molto elevate; è per tale motivo che, in genere, la gente cerca piuttosto di individuare, quando si trova all'estero, il più vicino punto di accesso Wi-Fi.  Questo si può tuttavia tramutare in un'operazione che comporta notevoli rischi, così come abbiamo descritto nel nostro speciale report sul Wi-Fi in Brasile.  In effetti, i dati inviati e ricevuti attraverso reti Wi-Fi aperte possono essere facilmente intercettati.  In tal modo, password, PIN ed altri dati sensibili possono essere agevolmente carpiti dai malintenzionati.  In aggiunta a ciò, i cybercriminali provvedono ugualmente ad installare degli access point fasulli, appositamente configurati per indirizzare tutto il traffico attraverso un host che può essere utilizzato per controllare tutti i dati trasmessi e ricevuti - talvolta addirittura in grado di agire come un vero e proprio dispositivo del tipo ‘man-in-the-middle’, capace di intercettare e leggere il traffico criptato.

Il nostro report ha altresì evidenziato i pericoli derivanti dall'effettuare l'operazione di ricarica del dispositivo mobile mediante l'utilizzo di una porta USB installata in un luogo pubblico.  I caricabatterie AC/DC nocivi, in effetti, possono sì ricaricare la batteria del vostro dispositivo, ma, al tempo stesso, possono "silenziosamente" realizzare il furto dei dati custoditi sul vostro dispositivo, oppure addirittura installare del malware all'interno di quest'ultimo.

1

Segnaliamo, infine, un ulteriore insidioso metodo utilizzato dai truffatori allo scopo di impadronirsi del denaro altrui, anche di quelle persone magari non interessate a procurarsi direttamente i biglietti per poter assistere a qualche match della Coppa del Mondo di calcio.  Naturalmente, vista la potenziale audience dell'evento planetario, davvero sterminata - in pratica in ogni angolo del globo, con fusi orari completamente diversi - può facilmente succedere, ai fan del football, di trovarsi lontano dal proprio televisore nel momento stesso in cui, invece, si desidererebbe guardare in TV un incontro di calcio trasmesso in mondovisione. Così, i mancati spettatori televisivi, iniziano a cercare in Rete qualche comodo streaming della partita di loro specifico interesse. Purtroppo, la ricerca di trasmissioni live su Internet può rivelarsi, talvolta, particolarmente costosa, oppure, addirittura, scatenare una pericolosa infezione informatica sul vostro computer.  Questo in ragione del fatto che alcune delle pubblicità che si incontrano durante la ricerca dello streaming desiderato possono condurre l'ignaro utente verso contenuti fraudolenti o dannosi.  In effetti, quando si accede al relativo sito web, viene spesso richiesto di effettuare il download di uno speciale plugin che, secondo quanto promesso sulla pagina web visitata, dovrebbe consentire la perfetta visione online della trasmissione in streaming.  In tal modo, in realtà, l'utente avrà invece scaricato soltanto un insidioso programma adware, che, magari, non farà vedere alcun tipo di messaggio pubblicitario, ma, al tempo stesso, potrà esercitare attività nocive di varia natura all'interno del computer preso di mira.  Gli adware, come è noto, si collocano di frequente a cavallo della sottile linea di demarcazione che divide la scorretta pratica del cybercrimine dall'utilizzo legittimo del software.  Non costituisce quindi motivo di particolare sorpresa il fatto che le nostre statistiche tengano abitualmente conto dei rilevamenti inerenti a tale tipologia di software.  Il report completo stilato dai nostri esperti in merito a tale argomento può essere consultato al seguente link.

Fl1

 

Paga le tasse – ma cerca di evitare i phisher

 

I phisher non cercano di sfruttare unicamente i grandi eventi sportivi.  Tale categoria di malintenzionati, in effetti, basa le proprie campagne di phishing anche su numerosi altri aspetti della vita quotidiana, decisamente più comuni ed ordinari.  Nello scorso mese di maggio, ad esempio, molte persone, in Colombia, hanno ricevuto un'e-mail contenente l'esplicita accusa di evasione e frode fiscale.  Per aggiungere ulteriore enfasi alla perentoria comunicazione fasulla, i cybercriminali non hanno mancato di sottolineare come si trattasse, addirittura, della terza notifica di fila a tal riguardo.  Di fatto, l'e-mail in causa ospitava un link dannoso, preposto a condurre il malcapitato utente verso un documento Word infetto.  Come si sa, Microsoft Office provvede a bloccare l'esecuzione di eventuali macro incorporate nel file; gli attaccanti, pertanto, hanno inserito apposite istruzioni, dirette alle potenziali vittime della frode, sulle modalità di attivazione delle macro in questione. 

1

Nel caso in cui i destinatari dell'e-mail di phishing avessero cliccato sul documento, sul loro computer sarebbe stato involontariamente avviato il download di un altro file maligno, proveniente da un server hackerato, situato in Ecuador.  Si trattava, nella circostanza, di un temibile malware appositamente progettato e sviluppato per carpire le password relative a determinati giochi online, PayPal, sistemi di file-sharing, social network (incluso Facebook e Twitter), conti bancari online ed altro ancora.

L'utilizzo di tattiche intimidatorie in generale e, in particolare, l'impiego di notifiche fasulle da parte di sedicenti autorità fiscali rappresentano, come è noto, metodi largamente praticati dai phisher di tutto il mondo.

Ricordiamo, a tal proposito, come in aprile sia stato da noi pubblicato un approfondito report sul cybercrimine finanziario, redatto sulla base dei dati ottenuti grazie al Kaspersky Security Network.  La sezione specificamente dedicata al phishing può essere consultata qui.

 

Storie di sicurezza IT: meglio caricare il malware prima possibile… ovvero l'utilizzo dei bootkit da parte dei cybercriminali

Quando gli autori di malware sviluppano i loro codici maligni, uno degli obiettivi chiave che si prefiggono è indubbiamente quello di far sì che il contenuto nocivo possa essere caricato il più presto possibile nel corso del processo di avvio del computer.  Ciò consente, indiscutibilmente, di ottenere in seguito il massimo controllo sul sistema sottoposto a contagio informatico.  I bootkit rappresentano attualmente la tecnologia più avanzata in questo specifico settore, visto che consentono al codice dannoso di avviarsi prima del caricamento del sistema operativo stesso.  Tale tecnologia è stata di fatto implementata in numerosi programmi malware.  Ne sono tipici esempi XPAJ e TDSS, ma se ne possono citare molti altri, incluso certe campagne basate su attacchi mirati, quali The Mask.

I bootkit si sono notevolmente evoluti nel corso degli anni, passando da una diffusione sperimentale "proof-of-concept" alla distribuzione di massa, come viene spiegato in dettaglio qui.  Al momento attuale, essi sono effettivamente divenuti dei software di tipo open-source, grazie alla pubblicazione del codice sorgente relativo al trojan bancario Carberp; nella circostanza, per proteggere Carberp veniva utilizzato proprio un bootkit, denominato Cidox, il cui codice sorgente è stato a sua volta reso di pubblico dominio assieme a quello di Carberp.

Appare chiaro come l'evoluzione dei bootkit debba essere esaminata nel contesto generale della "cruenta" battaglia perennemente in corso tra gli autori di malware ed i ricercatori di soluzioni anti-malware.  I virus writer perseguono costantemente nuovi metodi per eludere il rilevamento dei software nocivi da essi creati; noi, invece, cerchiamo continuamente di sviluppare i metodi e gli strumenti più sofisticati ed efficaci per proteggere nel miglior modo possibile i nostri clienti.  Il report da noi stilato esamina ugualmente, in dettaglio, i numerosi vantaggi offerti, a livello di sicurezza IT, dalla nuova interfaccia modulare UEFI (Unified Extensible Firmware Interface), analizzando al contempo le particolari modalità che gli autori di malware potrebbero attuare per cercare di sovvertire il quadro che si prospetta da qui a breve.

Sicurezza web e fughe di dati: Windows XP non è più supportato, ma occupa ancora la scena

 

Il supporto previsto per il sistema operativo Windows XP è stato interrotto lo scorso 8 aprile:  ciò significa che, da tale data, non vengono in pratica più rilasciati né nuovi aggiornamenti per la sicurezza, né i consueti hotfix relativi a varie funzionalità dell'OS in questione. Al tempo stesso, la parola "fine" posta da Microsoft riguardo ad XP fa sì che non risultino più disponibili le numerose opzioni originariamente previste per le operazioni di supporto tecnico assistito, gratuite o a pagamento, così come gli update relativi ai contenuti tecnici collocati online.  Purtroppo, il fatto è che esiste ancora un numero elevato di persone, nel mondo, le quali continuano ad utilizzare Windows XP; i dati statistici da noi raccolti relativamente al periodo successivo alla fatidica data dell'8 aprile 2014 indicano chiaramente come circa il 18% delle infezioni informatiche causate dai vari tipi di malware abbia avuto luogo proprio sui computer ancora provvisti di Windows XP.  Ciò significa, in sostanza, che vi sono attualmente un sacco di persone, ubicate in ogni angolo del globo, che possono essere attaccate dai cybercriminali con maggiore facilità, dal momento che non vengono più rilasciate le abituali patch di sicurezza: in effetti, ogni vulnerabilità scoperta da allora è divenuta, in pratica, una vulnerabilità zero-day, ovvero una falla di sicurezza per la quale non esiste alcuna possibilità di ottenere l'indispensabile patch.

Occorre peraltro sottolineare come il problema sopra esposto risulterà progressivamente ancor più aggravato, mano a mano che i vendor delle varie applicazioni decideranno di arrestare lo sviluppo dei rispettivi aggiornamenti per Windows XP.  Ogni applicazione sprovvista delle necessarie patch, quindi, diverrà un ulteriore potenziale punto debole, ampliando in tal modo la potenziale superficie di attacco che i malintenzionati potrebbero eventualmente sfruttare.  Di fatto, tale processo ha già avuto inizio: l'ultima versione di Java, ad esempio, non supporta più Windows XP.

Il passaggio ad un sistema operativo più recente, potrebbe apparire, nella circostanza, come la decisione più ovvia e semplice.  Sebbene Microsoft abbia emesso numerosi avvisi e notifiche riguardo alla prevista interruzione del supporto per il suddetto OS, non è difficile comprendere i motivi per i quali la migrazione ad un nuovo sistema operativo possa risultare piuttosto problematica, per alcune imprese.  Oltre al costo effettivo da sostenere per l'operazione di switching, tale situazione può ugualmente implicare specifici investimenti a livello di acquisto di nuovo hardware. E non solo: essa può altresì comportare, per certe società, la sostituzione di qualche applicazione sviluppata su misura per tali aziende, programmi che non sarebbero più in grado di funzionare correttamente una volta installato il sistema operativo più recente.  Non c'è quindi da meravigliarsi troppo nel vedere alcune organizzazioni decidere di pagare per continuare ad usufruire del supporto per l'OS XP.

Tuttavia, se non si effettua adesso il passaggio ad un sistema operativo più avanzato, possiamo comunque stare sicuri e tranquilli?  Il software anti-virus implementato nel nostro sistema informatico, continuerà a proteggerci?

Sì, naturalmente: la protezione IT richiesta viene ad ogni caso fornita.  L'affermazione, tuttavia, risulta valida esclusivamente se per "anti-virus" intendiamo un prodotto completo per la sicurezza Internet, che sia in grado di utilizzare le tecnologie proattive per fornire un'adeguata protezione nei confronti delle nuove minacce informatiche, ancora sconosciute - e possieda quindi, in particolar modo, l'apposita funzionalità che impedisce l'utilizzo degli exploit da parte dei cybercriminali.  Un prodotto anti-virus di base, il cui funzionamento poggia in gran parte solo sui processi di scansione realizzati mediante le firme dei virus, relative al malware già noto, si rivela invece insufficiente.  Occorre inoltre tener ben presente il fatto che, con il trascorrere del tempo, i vendor di sicurezza IT implementeranno di sicuro nuove tecnologie di protezione, le quali potrebbero, molto probabilmente, risultare non compatibili con Windows XP.

Nella migliore delle ipotesi, la situazione sopra descritta dovrebbe essere vista come una sorta di soluzione provvisoria, mentre viene finalizzata al meglio la strategia prevista per realizzare il processo di migrazione verso il nuovo sistema operativo.  I virus writer, da parte loro, approfitteranno di sicuro dell'occasione per prendere di mira Windows XP, visto che un significativo numero di persone, nel mondo, continua tuttora ad avvalersene; un OS privo di nuove patch, in effetti, offre senza dubbio ai malintenzionati una gamma ben più ampia di opportunità nocive.  D'altronde, all'interno di un network aziendale, qualsiasi computer basato su Windows XP rappresenta ormai un potenziale punto debole, che potrebbe magari essere sfruttato nel corso di un attacco mirato nei confronti della società. Una volta compromesso dal malware, il computer in questione diverrebbe facilmente, per i malintenzionati di turno, una sorta di trampolino di lancio verso ulteriori possibilità da sfruttare all'interno del network preso di mira.

Indubbiamente, l'effettuare il passaggio ad un sistema operativo più recente può rivelarsi piuttosto scomodo e fastidioso, nonché relativamente costoso, sia per gli utenti privati che per gli utenti corporate.  Il potenziale rischio che comporta l'utilizzo di un sistema operativo destinato a divenire di giorno in giorno sempre più insicuro, tuttavia, va con ogni probabilità ben oltre le naturali problematiche legate agli inconvenienti ed ai costi che si presentano nel realizzare la migrazione verso il nuovo OS.

Le minacce IT per dispositivi mobili

 

Il secondo trimestre del 2014 in cifre

Lungo tutto l'arco del trimestre oggetto del presente report sono stati individuati:

  • 727.790 pacchetti di installazione;
  • 65.118 nuove varianti di programmi dannosi specificamente creati dai virus writer per infettare i dispositivi mobili;
  • 2.033 Trojan bancari per piattaforme mobili.

Il numero complessivo di oggetti maligni destinati ai dispositivi mobili - rilevati nel secondo trimestre dell'anno in corso da Kaspersky Lab - è risultato essere di 1,7 volte inferiore rispetto all'analogo valore riscontrato riguardo al trimestre precedente. Riteniamo che tale circostanza sia principalmente da attribuire all'inizio della stagione delle ferie e delle vacanze estive. Così, nel mese di giugno si è ugualmente registrata una significativa diminuzione del numero totale dei tentativi di infezione di piattaforme mobili condotti mediante l'utilizzo di appositi programmi Trojan.

I Trojan bancari mobili

Sebbene nel secondo trimestre del 2014 si sia verificato un sensibile decremento del numero complessivo delle minacce mobili, sottolineiamo come, nel periodo oggetto della nostra analisi, siano stati comunque individuati ben 2.033 Trojan bancari mobili, ovvero un numero 1,7 volte superiore rispetto all'analoga quantità rilevata nel primo trimestre dell'anno corrente. Come evidenzia il grafico qui sotto riportato, dall'inizio del 2014 il numero dei programmi malware riconducibili alla specifica tipologia dei Trojan-Banker è aumentato di quasi quattro volte; se consideriamo poi l'arco di tempo annuale che va dal mese di luglio 2013 al mese di giugno 2014 incluso, notiamo come la quantità di Trojan bancari presenti sulla scena del malware mobile sia aumentata in maniera addirittura esponenziale, di ben 14,5 volte.

1
Numero di Trojan bancari per piattaforme mobili individuati nell'arco degli ultimi dodici mesi

Tale impetuosa crescita è essenzialmente dovuta a due distinti fattori:

  • lo specifico interesse dei cybercriminali nel concentrarsi sempre di più su attività che consentano di ricavare lauti profitti in termini monetari;
  • l'attiva contrapposizione da parte delle società produttrici di soluzioni antivirus nei confronti di tale genere di crimine informatico.

Osserviamo inoltre come, nell'arco di appena un trimestre, sia sostanzialmente mutata anche la stessa "geografia" relativa alle infezioni prodotte dai Trojan bancari mobili.

1

Quadro mondiale relativo alla ripartizione geografica dei tentativi di infezione compiuti dai Trojan bancari
destinati ai dispositivi mobili - Secondo trimestre del 2014

TOP-10 relativa ai paesi maggiormente sottoposti ad attacchi da parte di Trojan-Banker:

 

Paese

Numero di attacchi

% sul numero complessivo di attacchi

1

Russia

13800

91,7%

2

USA

792

5,3%

3

Ukraina

136

0,9%

4

Italia

83

0,6%

5

Bielorussia

68

0,5%

6

Repubblica di Corea

30

0,2%

7

Kazakhstan

25

0,2%

8

Cina

19

0,1%

9

Gran Bretagna

17

0,1%

10

Germania

12

0,1%

Il primo posto della speciale graduatoria da noi stilata è andato nuovamente ad appannaggio della Russia; rileviamo, tuttavia, come il secondo gradino del "podio" virtuale risulti occupato dagli USA, peraltro con un considerevole margine percentuale rispetto ai rimanenti paesi presenti nella TOP-10 del secondo trimestre dell'anno. Il Kazakhstan, che nel primo trimestre del 2014 occupava la seconda posizione del rating, ha invece "perso" ben cinque posizioni in classifica, andando di fatto a collocarsi alla settima piazza della graduatoria qui analizzata.

Le novità «presentate» dai virus writer

Il primo malware crittografico per dispositivi mobili

Alla metà del mese di maggio, in uno dei forum frequentati dai virus writer, è comparso un annuncio relativo alla vendita, per la cifra di 5.000 dollari $, di un Trojan crittografico in grado di attaccare il sistema operativo mobile Android, primo esemplare in assoluto di tale specifico genere di software nocivo. Così, appena pochi giorni dopo, per l'esattezza lo scorso 18 maggio, veniva da noi rilevato "in the wild" il primo malware crittografico per dispositivi mobili. Il malware in questione viene identificato dalle soluzioni di sicurezza IT di Kaspersky Lab come Trojan-Ransom.AndroidOS.Pletor.a.

Il Trojan, una volta avviato, utilizzando l'algoritmo di crittografia AES, provvede immediatamente a codificare il contenuto della scheda di memoria dello smartphone ‑ mediafile e documenti. Allo stesso tempo, subito dopo aver iniziato le operazioni di criptaggio, Pletor fa sì che l'utente-vittima visualizzi sul proprio schermo la conseguente richiesta di "riscatto". Per ricevere il denaro illecitamente sottratto ai proprietari degli smartphone sottoposti ad attacco, i malintenzionati si avvalgono dei sistemi QIWI VISA WALLET e MoneXy, oppure del più ordinario trasferimento di una certa somma su un determinato numero telefonico.

Già entro la fine del secondo trimestre dell'anno siamo stati in grado di individuare più di 47 versioni del suddetto programma Trojan. Nella circostanza, è stato da noi rilevato come tutte quante le varianti di Pletor contengano l'apposita chiave che permette, in seguito, di decodificare tutti i file criptati.

Per comunicare con i malintenzionati di turno, alcune versioni del Trojan qui esaminato utilizzano la rete TOR, mentre altre varianti si avvalgono del protocollo HTTP, oppure ricorrono direttamente ai messaggi SMS. I Trojan riconducibili a questo secondo raggruppamento, unitamente alla richiesta di denaro, mostrano all'utente-vittima la sua stessa immagine, trasmessa in tempo reale sullo schermo del dispositivo mobile mediante la fotocamera frontale di cui è dotato lo smartphone.

9

E' di particolare interesse rilevare, nella circostanza, come i virus writer, riguardo al trojan Pletor, utilizzino gli stessi identici metodi di ingegneria sociale di cui si sono avvalsi gli autori delle precedenti versioni di malware crittografico destinato alla piattaforma Windows: così, a detta dei cybercriminali, il telefono dell'utente risulterebbe bloccato a seguito della visualizzazione di contenuti proibiti, di natura pornografica, mentre tutte le foto ed i materiali video custoditi nello smartphone, a loro volta, sarebbero stati già opportunamente "trasferiti per essere sottoposti agli esami del caso". Inoltre, qualora l'utente non provveda subito al pagamento della relativa "sanzione", si minaccia, da parte dei cybercriminali estorsori, di trasmettere immediatamente tutti i dati a "fonti pubblicamente accessibili".

Come evidenzia lo screenshot qui sopra inserito, Pletor risulta specificamente indirizzato ai cittadini russi ed ukraini; i messaggi sono in effetti composti in lingua russa, mentre il relativo riscatto fissato dagli estorsori viene richiesto in rubli o grivnie ukraine (la somma pretesa corrisponde, all'incirca, a 300 euro). Ad ogni caso, sono stati da noi rilevati casi di infezione informatica, generati da tale malware mobile, in ben 13 diversi paesi, principalmente situati nello spazio geografico precedentemente occupato dalle repubbliche dell’Unione Sovietica.

L'evoluzione dei «blocker»

Nel trimestre oggetto del presente report, dal punto di vista delle tecniche di attacco messe in pratica dai malintenzionati operanti nel settore del malware mobile, è stata da noi rilevata un'evidente tendenza verso un ulteriore sviluppo dei temibili e fastidiosissimi “blocker”, veri e propri software “estorsori” che provvedono a bloccare il sistema operativo (e talvolta specifiche applicazioni), esigendo poi da parte dell’utente-vittima il pagamento di una certa somma di denaro al fine di “sbloccare” il dispositivo mobile infettato. Anche nell'ambito delle varie casistiche da noi esaminate, è emerso chiaramente come i cybercriminali abbiano adottato determinati  metodi intimidatori nei confronti delle loro potenziali vittime, metodi peraltro già utilizzati in precedenza dagli autori di analoghi programmi malware destinati al sistema operativo Windows. 

La prima variante del malware mobile Svpeng, provvista di specifiche funzionalità di Trojan "estorsore", era stata già individuata all'inizio del 2014. In tal caso, il Trojan provvedeva a bloccare il funzionamento del telefono sottoposto ad attacco, "accusando" poi il proprietario dello smartphone di aver visualizzato - secondo quanto architettato nella circostanza dai malintenzionati - contenuti pedopornografici sul proprio dispositivo mobile. Per ripristinare il normale funzionamento dell'apparecchio si richiedeva, da parte dei cybercriminali, il pagamento di una sonora "multa", pari a 500 dollari.

All'inizio dello scorso mese di giugno, gli esperti di Kaspersky Lab hanno individuato una nuova variante di Svpeng, preposta ad attaccare, principalmente, gli utenti ubicati entro i confini del territorio degli Stati Uniti. Tale programma malware, tuttavia, si è reso ugualmente protagonista di attacchi informatici condotti nei confronti degli utenti mobili situati in Gran Bretagna, Svizzera, Germania, India e Russia.
La variante del trojan Svpeng qui sopra menzionata blocca completamente il dispositivo mobile preso di mira, in maniera tale che, in sostanza, l'utente-vittima non ha nemmeno la possibilità di accedere al menù di spegnimento/riavvio del proprio dispositivo. In pratica, lo smartphone potrà essere spento soltanto mediante una pressione prolungata del tasto normalmente preposto all'operazione di spegnimento del dispositivo; il fatto, però, è che il Trojan in causa si attiverà di nuovo al momento del successivo riavvio del sistema.

Nella circostanza, per spaventare l'utente, i malintenzionati si sono avvalsi di metodi di ingegneria sociale ormai ampiamente collaudati nel tempo. Una volta lanciato, il Trojan imita l'esecuzione di un processo di scansione del telefono, evidenziando il rilevamento di presunti contenuti illegali. Per intimidire ancor di più l'utente, il malware genera un'apposita finestra debitamente provvista del logo del Federal Bureau of Investigation statunitense (FBI), in cui appare un minaccioso messaggio relativo alla "scoperta" dei contenuti proibiti individuati attraverso la "scansione".

10

Il Trojan blocca quindi il telefono-vittima, richiedendo al tempo stesso il pagamento di 200 dollari per poter procedere al ripristino del normale funzionamento del dispositivo mobile. Per ricevere il denaro estorto, gli autori del Trojan utilizzano dei voucher MoneyPak.

11

Segnaliamo, inoltre, come nella finestra sopra descritta Svpeng mostri addirittura la foto dell'utente preso di mira, eseguita mediante la fotocamera frontale del dispositivo; tale procedura dannosa ricorda l'analogo funzionamento di Trojan-Ransom.AndroidOS.Pletor.a, il Trojan estorsore provvisto di doti crittografiche esaminato nel precedente capitolo del nostro report trimestrale dedicato all'evoluzione del malware mobile. L'unica differenza, nella specifica circostanza, è che il Trojan Pletor, diversamente dalla suddetta variante di Svpeng, provvede poi a trasmettere l'immagine carpita.

Entro la fine del secondo trimestre del 2014 siamo stati in grado di individuare ben 64 diverse varianti del nuovo trojan estorsore Svpeng. E' davvero singolare come in ogni versione di tale malware vi sia uno specifico riferimento alla classe Cryptor, anche se, a dir la verità, non è stato da noi rilevato l'eventuale utilizzo di tale classe. E' tuttavia probabile che, avvalendosi del suddetto malware mobile, i malintenzionati intendano, in futuro, criptare i dati custoditi sugli smartphone degli utenti, per poi richiedere il consueto riscatto in denaro che permette l’avvio del processo di decodifica degli stessi.

Non solo Android

Così come in precedenza, il principale obiettivo dei cybercriminali specializzati nel dispiegamento di malware mobile, è risultato essere ancora una volta la piattaforma Android. E' stato da noi rilevato come, nel periodo qui analizzato, addirittura il 99% dei nuovi software nocivi appositamente progettati per colpire i dispositivi mobili sia stato specificamente destinato proprio al sistema operativo sviluppato da Google, simboleggiato dal piccolo robot verde.  

Non occorre ad ogni caso sottovalutare quanto avviene attualmente con le altre piattaforme mobili. Ad esempio, nel secondo trimestre del 2014 sono comparsi sulla scena nuovi oggetti maligni indirizzati alla piattaforma Apple iOS, e riguardanti non soltanto i dispositivi precedentemente sottoposti a procedure di jailbreaking. Nella circostanza, in aggiunta ai programmi malware, i cybercriminali si sono ugualmente avvalsi, per scopi nocivi, delle funzioni di protezione implementate nel sistema operativo iOS. L'attacco nei confronti degli ID Apple ha consentito ai malintenzionati di turno di bloccare completamente i dispositivi presi di mira, per poi estorcere significative somme di denaro agli utenti-vittima, qualora questi ultimi avessero voluto, come è naturale, ripristinare il corretto funzionamento del proprio dispositivo mobile.

Durante il periodo analizzato nel presente report, una notizia non certo troppo piacevole ha riguardato certe rivelazioni a proposito di Hacking Team, nota società italiana, nel momento stesso in cui è stato appurato che nell'arsenale di tale azienda erano stati inseriti moduli appositamente sviluppati per condurre attacchi nei confronti dei proprietari di dispositivi mobili iOS sottoposti a procedure di jailbreaking.

Non è rimasta priva di losche attenzioni da parte dei cybercriminali mobili nemmeno la piattaforma Windows Phone. Nella circostanza, i virus writer non hanno tuttavia inventato nulla di tecnicamente unico o particolarmente rilevante; essi si sono semplicemente distinti per il fatto di aver collocato nello store ufficiale preposto alla distribuzione delle applicazioni a pagamento destinate alla suddetta piattaforma mobile vari programmi fasulli, privi di qualsiasi effettiva funzionalità. Nell'occasione, le attenzioni dei criminali informatici si sono rivolte anche al nostro marchio: i truffatori hanno in effetti utilizzato il marchio commerciale ed il logo di Kaspersky Lab.

In tal modo sono state di fatto involontariamente scoperte due delicate vulnerabilità nell'ambito del Windows Phone Store:

  1. in primo luogo, la mancanza di un opportuno controllo riguardo alla genuinità del brand;
  2. in secondo luogo, la mancanza di adeguati controlli riguardo alle funzionalità inserite nelle applicazioni disponibili nello store online in questione. 

False applicazioni rilasciate dallo stesso identico "sviluppatore" sono andate allo stesso tempo ad inquinare anche un altro celebre app store, ovvero Google Play.

Minacce mobili: le statistiche

Come abbiamo visto nella parte introduttiva del nostro report trimestrale dedicato al malware mobile, nel secondo trimestre del 2014 Il numero complessivo degli oggetti maligni destinati ai dispositivi mobili - oggetti rilevati mediante le soluzioni di sicurezza IT di Kaspersky Lab - è risultato essere di 1,7 volte inferiore rispetto all'analogo valore riscontrato nel primo trimestre dell'anno in corso: per l'esattezza, sono stati individuati 727.790 pacchetti di installazione dannosi, 65.118 nuove varianti di malware mobile, 2.033 Trojan-Banker per piattaforme mobili. Verosimilmente, la sensibile diminuzione del livello di attività dei malintenzionati è da ricollegare all'inizio della stagione delle ferie e delle vacanze estive.

 

Ripartizione del malware mobile per tipologie

12

Suddivisione delle varianti di malware mobile in base ai loro specifici comportamenti dannosi -
Secondo trimestre del 2014


La speciale graduatoria del secondo trimestre del 2014 riservata alla ripartizione degli oggetti maligni per dispositivi mobili in base agli specifici comportamenti nocivi da essi evidenziati, risulta capeggiata, così come nel trimestre precedente, dagli AdWare, ovvero le fastidiose applicazioni pubblicitarie potenzialmente indesiderate (27%). Si confermano poi in seconda posizione i Trojan-SMS (22%). Mentre gli indici percentuali attribuibili alle due tipologie di minacce mobili sopra menzionate non hanno in sostanza fatto registrare significative variazioni rispetto agli analoghi valori riscontrati nel trimestre precedente, i Risktool, nell'arco del trimestre qui esaminato, sono saliti dal quinto al terzo posto del rating: la loro quota. all'interno del flusso dei malware mobili individuati nel periodo qui preso in esame, è in effetti più che raddoppiata, passando dall' 8,6% al 18%. Si tratta, di fatto, di applicazioni legittime, le quali, tuttavia, possono rivelarsi potenzialmente pericolose per gli utenti; il loro utilizzo inappropriato, da parte del proprietario dello smartphone o del malintenzionato di turno, può in effetti generare perdite di natura finanziaria.

TOP-20 relativa ai programmi malware destinati alle piattaforme mobili

Denominazione

% di attacchi

1

Trojan-SMS.AndroidOS.Stealer.a

25,42%

2

RiskTool.AndroidOS.SMSreg.gc

6,37%

3

RiskTool.AndroidOS.SMSreg.hg

4,82%

4

Trojan-SMS.AndroidOS.FakeInst.a

4,57%

5

Trojan-SMS.AndroidOS.Agent.ao

3,39%

6

AdWare.AndroidOS.Viser.a

3,27%

7

Trojan-SMS.AndroidOS.Opfake.a

2,89%

8

Trojan-SMS.AndroidOS.Erop.a

2,76%

9

Trojan-SMS.AndroidOS.FakeInst.ff

2,76%

10

Trojan-SMS.AndroidOS.Agent.en

2,51%

11

Trojan-SMS.AndroidOS.Agent.ev

2,43%

12

RiskTool.AndroidOS.SMSreg.eh

2,41%

13

Trojan-SMS.AndroidOS.Opfake.bw

1,96%

14

Trojan-SMS.AndroidOS.Opfake.bo

1,53%

15

RiskTool.AndroidOS.MimobSMS.a

1,48%

16

Trojan-SMS.AndroidOS.Skanik.a

1,35%

17

Trojan-SMS.AndroidOS.Agent.mw

1,33%

18

RiskTool.AndroidOS.SMSreg.ey

1,31%

19

Trojan-SMS.AndroidOS.Agent.ks

1,24%

20

Trojan-SMS.AndroidOS.Agent.ay

1,21%

Così come in precedenza, la speciale TOP-20 relativa ai software nocivi maggiormente utilizzati dai malintenzionati nel corso degli attacchi informatici diretti ai dispositivi mobili, risulta ampiamente dominata dalla categoria dei Trojan-SMS; tali programmi nocivi occupano, in effetti, ben 15 posizioni all'interno del rating da noi stilato.

Lungo tutto l'arco del secondo trimestre del 2014, nel quadro generale della complessiva diminuzione degli attacchi mobili, è stata tuttavia da noi rilevata la costante crescita della quota ascrivibile ai tentativi di attacco condotti nei confronti degli utenti delle piattaforme mobili mediante l'utilizzo del programma Trojan denominato Trojan-SMS.AndroidOS.Stealer.a. Il malware in questione si è in tal modo riconfermato al primo posto del rating qui sopra inserito, facendo registrare una quota addirittura superiore al 25% del totale degli assalti informatici complessivamente individuati. I malintenzionati che, nel corso del secondo trimestre, hanno fatto ricorso a Stealer, si sono dimostrati particolarmente attivi proprio nel mese di aprile, periodo in cui è stato registrato un numero di tentativi di infezione - realizzati attraverso tale malware mobile - pressoché doppio rispetto a quanto riscontrato nei mesi di maggio e marzo 2014. Segnaliamo, infine, come nel mese di giugno, il volume dei tentativi di infezione condotti mediante l'utilizzo di Stealer sia risultato superiore di ben 7 volte rispetto all'analogo indice fatto segnare dal malware "concorrente"  più prossimo in classifica.

Geografia delle minacce mobili

 

13

Quadro mondiale relativo alla ripartizione geografica dei tentativi di infezione compiuti dai programmi malware destinati ai dispositivi mobili (percentuali calcolate sul numero complessivo degli utenti unici sottoposti ad attacco)

Rileviamo innanzitutto come, per ciò che riguarda la ripartizione territoriale - su scala mondiale - dei tentativi di attacco informatico condotti tramite malware mobili, siano intervenuti solo lievi cambiamenti. Al secondo posto della relativa graduatoria è andata a collocarsi la Germania, mentre l'India, che occupava il secondo posto nell'analogo rating del primo trimestre dell'anno, non fa nemmeno più parte della speciale TOP-10 da noi elaborata. Sul terzo gradino del "podio" virtuale si conferma il Kazakhstan , mentre l'Ukraina, da parte sua, ha "perso" una posizione in classifica, passando dalla quarta alla quinta piazza del ranking. Così, al quarto posto della TOP-10 troviamo adesso la Polonia, la quale, nel trimestre precedente, occupava la posizione di coda della graduatoria (10° posto).

TOP-10 relativa ai paesi maggiormente sottoposti ad attacchi da parte di malware mobili

 

Paese

% di attacchi

1

Russia

46,96%

2

Germania

6,08%

3

Kazakhstan

5,41%

4

Polonia

5,02%

5

Ukraina

3,72%

6

Malaysia

2,89%

7

Vietnam

2,74%

8

Francia

2,32%

9

Spagna

2,28%

10

Messico

2,02%

Come è noto, gli utenti installano, in genere, un cospicuo numero di applicazioni sui propri dispositivi mobili. E' di particolare interesse osservare come la quota percentuale relativa alle applicazioni dannose, rispetto al volume totale delle applicazioni per dispositivi mobili installate dagli utenti, presenti evidenti variazioni da paese a paese.

TOP-10 relativa ai paesi maggiormente sottoposti al rischio di infezioni informatiche generate da applicazioni mobili nocive

Paese*

% di applicazioni nocive

1

Vietnam

2,31%

2

Grecia

1,89%

3

Polonia

1,89%

4

Kazakhstan

1,73%

5

Uzbekistan

1,51%

6

Armenia

1,24%

7

Serbia

1,15%

8

Marocco

1,09%

9

Repubblica Ceca

1,03%

10

Romania

1,02%

*Nell'effettuare i calcoli statistici non abbiamo tenuto conto di quei paesi in cui il numero dei download di applicazioni per dispositivi mobili è risultato inferiore alle 100.000 unità

Sebbene la Russia occupi il primo posto della speciale graduatoria relativa al numero complessivo di attacchi informatici rilevati, tale paese non presenta, tuttavia, il rischio più elevato, per gli utenti, di vedere i propri dispositivi mobili infettati da temibili malware. La leadership della classifica qui sopra riportata è in effetti detenuta dal Vietnam; nel secondo trimestre del 2014, nel popoloso paese del Sud-Est asiatico, le app mobili nocive hanno rappresentato il 2,31% del volume totale delle applicazioni che gli utenti hanno cercato di installare sui propri dispositivi.

Per un debito confronto, riportiamo qui di seguito, relativamente ad altri 15 paesi situati in varie macro-aree geografiche del globo, gli indici percentuali riguardanti il rischio di infezione, da parte di applicazioni nocive, cui sono stati sottoposti gli apparati mobili posseduti dagli utenti:

Paese

% di applicazioni nocive

Cina

0,94%

Francia

0,85%

Russia

0,74%

Messico

0,58%

Spagna

0,55%

India

0,41%

Germania

0,19%

Gran Bretagna

0,18%

Argentina

0,13%

Brasile

0,12%

Italia

0,11%

USA

0,09%

Perù

0,07%

Hong Kong

0,06%

Giappone

0,02%

Notiamo, ad esempio, come in Francia l'indice percentuale relativo alle applicazioni mobili nocive sia risultato pari allo 0,85%; tale significativa quota ha presentato invece un valore dello 0,74% in Russia, 0,19% in Germania, 0,18% in Gran Bretagna, 0,09% negli Stati Uniti. Il Giappone, da parte sua, ha fatto registrare un indice di app dannose decisamente minimo, complessivamente pari allo 0,02%.


Le statistiche del secondo trimestre 2014

Tutti i dati statistici riportati nel presente resoconto trimestrale sono stati ottenuti attraverso le speciali soluzioni anti-virus implementate nel Kaspersky Security Network (KSN), grazie all'attività svolta da vari componenti ed elementi di sicurezza IT, impiegati per assicurare un'efficace e pronta protezione nei confronti dei programmi malware. Essi sono stati ricevuti tramite gli utenti di KSN che hanno previamente fornito l'assenso per effettuare la trasmissione di dati statistici ai nostri analisti. A questo sofisticato sistema di scambio di informazioni su scala globale, riguardo alle pericolose attività condotte dal malware, prendono parte vari milioni di utenti dei prodotti Kaspersky Lab, ubicati in 213 diversi paesi e territori del globo.

Le minacce online rivolte al settore bancario

I principali eventi del trimestre

Uno degli avvenimenti salienti che hanno caratterizzato il periodo esaminato nel presente report, dedicato all'evoluzione delle minacce informatiche, è indubbiamente costituito dalla comparsa, nello scorso mese di aprile, di informazioni relative ad una particolare vulnerabilità individuata in OpenSSL, in grado di procurare ai malintenzionati l'opportunità di accedere in maniera non autorizzata alle chiavi segrete, ai nomi e alle password degli utenti, così come all'intero contenuto da trasmettere di volta in volta in forma criptata.
La vulnerabilità in questione, denominata Heartbleed, viene sfruttata dai cybercriminali in relazione alla libreria crittografica di OpenSSL, utilizzata all'interno di vari software, incluso determinati programmi largamente impiegati nell'ambito delle infrastrutture bancarie. La temporanea mancanza di una patch ufficiale, anche se soltanto per poche ore complessive, e la successiva lunga procedura di installazione della stessa, hanno provocato sia la perdita dei dati sensibili utilizzati dai clienti delle banche nel quadro delle transazioni finanziarie da essi compiute, sia la fuga di dati particolarmente delicati ed importanti, per non dire preziosi, relativi a vari settori delle attività di business. Pertanto, dopo la pubblicazione delle suddette informazioni, relative alla falla di sicurezza individuata in seno alla piattaforma OpenSSL, e soprattutto dopo le preoccupanti fughe di dati che si sono verificate, è lecito attendersi, purtroppo, un incremento del numero complessivo delle transazioni finanziarie online di natura fraudolenta. La situazione che si è determinata a seguito della scoperta del temibile bug Heartbleed ha fatto risuonare un inquietante campanello d'allarme, il quale viene a confermare, una volta di più, l'assoluta necessità di monitorare attentamente riguardo alla sicurezza dei dati sensibili utilizzati nelle operazioni di pagamento online sia da parte degli istituti finanziari che della loro clientela.
Nel secondo trimestre del 2014 ha fatto la propria comparsa sull'oscura scena del malware mondiale un nuovo temibile Trojan bancario, denominato «Pandemiya», il quale è perfettamente in grado di avvalersi  di certe tipiche tecniche dannose abitualmente implementate dai virus writer nel codice di tale genere di software maligni - quali, ad esempio,  il metodo della cosiddetta "web injection" (tramite tali "iniezioni" i malintenzionati sono soliti apportare modifiche non autorizzate a pagine web legittime) - con il preciso intento di carpire illecitamente i dati sensibili relativi alle operazioni di pagamento quotidianamente effettuate dagli utenti dei sistemi di banking online.
Segnaliamo inoltre all'attenzione dei nostri lettori come, durante il trimestre qui analizzato, abbia avuto inizio un'operazione speciale di portata internazionale, condotta da forze di cyberpolizia e dalle autorità competenti, volta a smantellare l'estesa botnet conosciuta con il nome di «ZeuS Gameover». Nella circostanza, l'FBI (il Federal Bureau of Investigation statunitense) ha spiccato un mandato di cattura internazionale proprio nei confronti dell'autore del famigerato Trojan bancario denominato ZeuS.
Nel corso del periodo oggetto del presente report, le minacce informatiche esplicitamente rivolte alla sfera finanziaria non hanno ugualmente risparmiato gli eventi più eclatanti che si sono prodotti sulla scena internazionale, quali, ad esempio, il Campionato del Mondo di calcio 2014, svoltosi in Brasile, nel paese che detiene, suo malgrado, la poco ambita leadership della speciale graduatoria del secondo trimestre dell'anno basata sul numero di utenti della Rete sottoposti ad attacco da parte del malware bancario. Nella fattispecie, sono stati ad esempio individuati insidiosi contenuti nocivi diffusi tramite allettanti pubblicità ingannevoli collocate sul web, appositamente allestite da malintenzionati volti a sfruttare il clamore e l'entusiasmo suscitato, in ogni angolo del globo, dalla vera e propria festa planetaria del football, il principale evento sportivo di questa estate.

Programmi malware in Internet (attacchi via Web)

I dati statistici esaminati in questo capitolo del nostro consueto report trimestrale sull’evoluzione del malware sono stati ottenuti sulla base delle attività svolte dall'anti-virus web, preposto alla protezione dei computer degli utenti nel momento in cui dovesse essere effettuato il download di oggetti nocivi da pagine web nocive/infette. I siti Internet dannosi vengono appositamente allestiti dai cybercriminali; possono tuttavia risultare infetti sia le risorse web il cui contenuto viene determinato dagli stessi utenti della Rete (ad esempio i forum), sia i siti legittimi violati.

TOP-20 relativa agli oggetti infetti rilevati in Internet

Come abbiamo visto, nel corso del secondo trimestre del 2014 il nostro anti-virus web ha effettuato il rilevamento di ben 57.133.492 oggetti dannosi unici (script, pagine web, exploit, file eseguibili, etc.).
Fra tutti i programmi malware resisi protagonisti degli attacchi via web nei confronti dei computer degli utenti, abbiamo rilevato i 20 maggiormente attivi.  I programmi che compaiono nella TOP-20 qui sotto riportata hanno da soli generato il 97% del volume complessivo di assalti informatici condotti dai cybercriminali attraverso i browser web.
TOP-20 relativa agli oggetti infetti rilevati in Internet

Denominazione*

% sul totale complessivo degli attacchi**

1

Malicious URL

72,94%

2

Trojan.Script.Generic

11,86%

3

Trojan-Downloader.Script.Generic

5,71%

4

Trojan.Script.Iframer

2,08%

5

Adware.Win32.Amonetize.heur

1,00%

6

AdWare.Script.Generic

0,88%

7

AdWare.Win32.Agent.aiyc

0,76%

8

AdWare.Win32.Yotoon.heur

0,25%

9

Trojan.Win32.AntiFW.b

0,23%

10

AdWare.Win32.Agent.allm

0,19%

11

AdWare.Win32.AirAdInstaller.aldw

0,17%

12

Trojan.Win32.Generic

0,15%

13

Trojan-Downloader.Win32.Generic

0,14%

14

Trojan.Win32.Vague.cg

0,11%

15

Trojan.Win32.Invader

0,11%

16

AdWare.Win32.BetterSurf.b

0,10%

17

AdWare.Win32.Lollipop.qp

0,08%

18

Exploit.Script.Blocker

0,08%

19

AdWare.Win32.Lollipop.agzn

0,08%

20

Trojan.JS.Small.aq

0,07%

*Oggetti infetti neutralizzati sulla base dei rilevamenti effettuati dal componente anti-virus web. Le informazioni sono state ricevute tramite gli utenti dei prodotti Kaspersky Lab che hanno previamente fornito l'assenso per effettuare la trasmissione di dati statistici ai nostri analisti.
**Quota percentuale sul totale complessivo degli attacchi web rilevati sui computer di utenti unici.
Tradizionalmente, la TOP-20 analizzata nel presente capitolo del report annovera, per la maggior parte, la presenza di "verdetti" riconducibili ad oggetti maligni utilizzati dai cybercriminali per la conduzione di attacchi di tipo drive-by e, al tempo stesso, la presenza di un elevato numero di programmi AdWare. Rileviamo, tra l'altro, come all'interno del rating qui esaminato sia ulteriormente aumentato, rispetto al primo trimestre dell'anno in corso, il numero dei cosiddetti software “pubblicitari”; i programmi AdWare occupano, difatti, ben 11 posizioni nella speciale TOP-20 da noi stilata riguardo al secondo trimestre del 2014, mentre nell'analoga graduatoria relativa al trimestre precedente si contavano "soltanto" 9 software riconducibili a tale specifica tipologia.

L'ultima piazza della graduatoria sopra riportata risulta occupata dal malware classificato dagli esperti di sicurezza IT con la denominazione di Trojan.JS.Small.aq; si tratta, in sostanza, di un breve script collocato, tramite un'estensione maligna per browser, nel codice di pagine web appartenenti a determinati siti Internet, allo scopo di ottenere, in maniera forzata, molesta ed alquanto invadente, la visualizzazione di certe pubblicità da parte dell'utente.

Geografia delle fonti degli attacchi web: TOP-10

Tali dati statistici si riferiscono alla ripartizione per paesi delle fonti degli attacchi web portati nei confronti dei computer degli utenti della Rete, attacchi bloccati e neutralizzati con successo dal modulo Anti-Virus Web (si tratta, più precisamente, di pagine web preposte al redirect degli utenti verso famigerati exploit, di siti Internet imbottiti di exploit ed ulteriori programmi malware, di centri di comando e controllo di estese botnet, etc.). Sottolineiamo, nella circostanza, come ogni host unico preso in considerazione sia stato, di fatto, fonte di uno o più attacchi condotti attraverso Internet.

Per determinare l'origine geografica degli assalti informatici portati tramite web è stato applicato il metodo che prevede la debita comparazione del nome di dominio con il reale indirizzo IP nel quale tale dominio risulta effettivamente collocato; si è allo stesso modo fatto ricorso all'accertamento della collocazione geografica di tale indirizzo IP (GEOIP).

Nel secondo trimestre del 2014 le soluzioni anti-malware di Kaspersky Lab hanno complessivamente respinto ben 354.453.992 attacchi condotti attraverso siti Internet compromessi dislocati in vari paesi.
L' 88,3% del numero complessivo di notifiche ricevute riguardo agli attacchi web bloccati e neutralizzati dall'antivirus è risultato attribuibile ad attacchi provenienti da siti web ubicati in una ristretta cerchia di dieci paesi. L'indice in questione è quindi aumentato del 4,9% rispetto all'analoga quota percentuale rilevata nel primo trimestre dell'anno 2014.


Ripartizione per paesi delle fonti degli attacchi web - Situazione relativa al secondo trimestre del 2014

La composizione della speciale TOP-10 da noi elaborata, riguardante i paesi che attualmente detengono le posizioni di leadership nell'ambito dell'apposita graduatoria relativa alle principali fonti degli attacchi informatici condotti via Internet, non presenta variazioni. Osserviamo, tuttavia, come rispetto allo scorso trimestre la Germania sia passata dal quarto al primo posto del rating in questione, facendo peraltro segnare un sensibile incremento della propria quota percentuale (+ 12%). Per contro, la Federazione Russa è scesa dalla seconda alla quarta piazza della graduatoria; nell'arco del trimestre qui esaminato, l'indice attribuibile alla Russia ha in effetti evidenziato una significativa diminuzione (- 2,5%). Il Canada (+ 6,29%), da parte sua, ha scalato ben cinque posizioni in classifica, portandosi quindi dal decimo al quinto posto del rating delle fonti geografiche degli attacchi web.

 

Paesi i cui utenti sono risultati sottoposti ai maggiori rischi di infezioni informatiche diffuse attraverso Internet

Al fine di valutare nel modo più definito possibile il livello di rischio esistente riguardo alle infezioni informatiche distribuite via web - rischio al quale risultano sottoposti i computer degli utenti nei vari paesi del globo - abbiamo stimato il numero di utenti unici dei prodotti Kaspersky Lab che, in ogni paese, nel trimestre qui analizzato, hanno visto entrare in azione il modulo anti-virus specificamente dedicato al rilevamento delle minacce IT presenti nel World Wide Web. Evidenziamo come l'indice percentuale in questione non dipenda, ad ogni caso, dal numero di utenti del Kaspersky Security Network presenti in un determinato paese. Si tratta, in altre parole, di un indice decisamente attendibile riguardo al livello di «aggressività» degli ambienti geografici in cui si trovano ad operare i computer degli utenti.

 

Paese*

% di utenti unici**

1

Russia

46,53%

2

Kazakhstan

45,35%

3

Armenia

42,26%

4

Ukraina

41,11%

5

Azerbaijan

40,94%

6

Vietnam

39,59%

7

Bielorussia

37,71%

8

Moldavia

36,65%

9

Mongolia

33,86%

10

Kirghizistan

33,71%

11

Algeria

32,62%

12

Tagikistan

32,44%

13

Georgia

31,38%

14

Croazia

29,46%

15

Turchia

29,31%

16

Uzbekistan

29,20%

17

Qatar

28,76%

18

Tunisia

28,67%

19

Iran

28,35%

20

Spagna

28,05%

I dati statistici sopra indicati sono stati elaborati sulla base dei rilevamenti effettuati dal modulo Anti-Virus Web; essi sono stati ricevuti tramite gli utenti dei prodotti Kaspersky Lab che hanno previamente fornito l'assenso per effettuare la trasmissione di dati statistici ai nostri analisti.
*Nell'effettuare i calcoli statistici non abbiamo tenuto conto di quei paesi in cui il numero di utenti delle soluzioni anti-virus di Kaspersky Lab risulta ancora relativamente contenuto (meno di 10.000 utenti).
**Quote percentuali relative al numero di utenti unici sottoposti ad attacchi web rispetto al numero complessivo di utenti unici dei prodotti Kaspersky Lab nel paese.

Rileviamo, innanzitutto, come nel secondo trimestre del 2014 il Vietnam abbia "perso" la leadership della speciale TOP-20 qui sopra inserita; sul primo gradino del "podio" virtuale si è in effetti insediata la Russia. Segnaliamo poi, in qualità di "new entry" del rating, la Tunisia e l'Iran; i due paesi sono andati ad occupare, rispettivamente, il 18° ed il 19° posto della speciale graduatoria stilata dai nostri esperti. Non fanno invece più parte della TOP-20 la Lituania e la Grecia.

Tra i paesi nei quali la navigazione in Internet risulta in assoluto più sicura troviamo Singapore (10,4%), Svezia (12,8%), Giappone (13,3%), Finlandia (16,3%), Sudafrica (16,9%), Ecuador (17,1%), Norvegia (17,5%), Paesi Bassi (17,5%), Hong Kong (17,7%) ed Argentina (17,9%).

Complessivamente, a livello mondiale, una consistente porzione degli utenti della Rete (29,5%), anche per una sola volta, è risultata sottoposta ad attacchi informatici provenienti dal web.

Minacce informatiche locali

Si rivelano ugualmente di estrema importanza le statistiche relative alle infezioni locali che si sono manifestate sui computer degli utenti nel corso del secondo trimestre del 2014. Tali dati riguardano quindi proprio quelle infezioni che non sono penetrate nei computer attraverso il Web, la posta elettronica o le porte di rete.

Il presente capitolo del nostro consueto report trimestrale dedicato al quadro statistico complessivo delle minacce informatiche, analizza i dati ottenuti grazie alle attività di sicurezza IT svolte dal modulo antivirus (preposto ad effettuare la scansione dei file presenti sul disco rigido al momento della loro creazione o quando si vuole accedere ad essi), unitamente alle statistiche relative ai processi di scansione condotti sui vari supporti rimovibili.

Nell'arco del secondo trimestre dell'anno in corso le nostre soluzioni antivirus hanno bloccato 528.799.591 tentativi di infezione locale sui computer degli utenti facenti parte della rete globale di sicurezza Kaspersky Security Network. Complessivamente, nel corso di tali incidenti, sono stati registrati ben 114.984.065 oggetti maligni unici, o potenzialmente indesiderabili.

 

Oggetti maligni rilevati nei computer degli utenti: TOP-20

 

Denominazione*

% di utenti unici sottoposti ad attacco**

1

DangerousObject.Multi.Generic

17.69%

2

Trojan.Win32.Generic

15.59%

3

AdWare.Win32.Agent.ahbx

14.81%

4

Adware.Win32.Amonetize.heur

13.31%

5

Trojan.Win32.AutoRun.gen

6.13%

6

Worm.VBS.Dinihou.r

5.95%

7

Virus.Win32.Sality.gen

4.94%

8

AdWare.Win32.BetterSurf.b

4.29%

9

AdWare.Win32.Yotoon.heur

4.01%

10

AdWare.Win32.Agent.aknu

3.64%

11

AdWare.Win32.Agent.aljb

3.57%

12

Worm.Win32.Debris.a

3.29%

13

AdWare.Win32.Skyli.a

2.90%

14

Trojan.Win32.Starter.lgb

2.74%

15

AdWare.Win32.Agent.heur

2.64%

16

AdWare.Win32.Agent.aljt

2.30%

17

Trojan.Win32.AntiFW.b

2.27%

18

AdWare.JS.MultiPlug.c

2.21%

19

Worm.Script.Generic

1.99%

20

Virus.Win32.Nimnul.a

1.89%

*I dati statistici sopra indicati sono stati elaborati sulla base dei rilevamenti effettuati dai moduli anti-virus OAS (scanner on-access) e ODS (scanner on-demand). Le informazioni sono state ricevute tramite gli utenti dei prodotti Kaspersky Lab che hanno previamente fornito l'assenso per effettuare la trasmissione di dati statistici ai nostri analisti.
**Quote percentuali relative agli utenti unici sui computer dei quali l'anti-virus ha rilevato l'oggetto maligno. Le quote indicate si riferiscono al totale complessivo degli utenti unici dei prodotti Kaspersky Lab, presso i quali sono stati eseguiti rilevamenti da parte dell'anti-virus.

Il rating qui sopra riportato è relativo ai "verdetti" riconducibili ai programmi AdWare ed ai worm che si diffondono attraverso i supporti di memoria rimovibili, così come, ovviamente, ai virus.

All'interno della speciale TOP-20 da noi stilata, la quota relativa ai virus continua a diminuire in maniera stabile e progressiva. Come evidenzia la tabella sopra inserita, nel secondo trimestre del 2014 la categoria dei virus è rappresentata dai malware classificati dagli esperti di sicurezza IT con la denominazione di Virus.Win32.Sality.gen e Virus.Win32.Nimnul.a; l'indice complessivo ad essi attribuibile si è attestato su un valore pari al 6,83%. Per fare un debito confronto, ricordiamo che, nel primo trimestre dell'anno in corso, il valore di tale indice ammontava, in totale, ad 8 punti percentuali.

Paesi nei quali i computer degli utenti sono risultati sottoposti al rischio più elevato di infezioni informatiche locali

Paese

% di utenti unici*

1

Vietnam

58,42%

2

Mongolia

55,02%

3

Algeria

52,05%

4

Yemen

51,65%

5

Bangladesh

51,12%

6

Pakistan

50,69%

7

Nepal

50,36%

8

Afghanistan

50,06%

9

Iraq

49,92%

10

Egitto

49,59%

11

Tunisia

46,75%

12

Siria

46,29%

13

Arabia Saudita

46,01%

14

Etiopia

45,94%

15

Iran

45,40%

16

Repubblica Popolare Democratica del Laos

45,20%

17

Turchia

44,98%

18

India

44,73%

19

Cambogia

44,53%

20

Djibouti

44,52%

I dati statistici sopra indicati sono stati elaborati sulla base dei rilevamenti effettuati dal modulo anti-virus; essi sono stati ricevuti tramite gli utenti dei prodotti Kaspersky Lab che hanno previamente fornito l'assenso per effettuare la trasmissione di dati statistici ai nostri analisti. Nella circostanza, sono stati presi in considerazione i programmi malware individuati dalle nostre soluzioni anti-virus direttamente sui computer degli utenti, oppure sulle unità rimovibili ad essi collegate (flash drive USB, schede di memoria di telefoni o apparecchi fotografici digitali, hard disk esterni).
* Nell'effettuare i calcoli statistici non abbiamo tenuto conto di quei paesi in cui il numero di utenti delle soluzioni anti-virus di Kaspersky Lab risulta ancora relativamente contenuto (meno di 10.000 utenti).
** Quote percentuali relative al numero di utenti unici sui computer dei quali sono state bloccate e neutralizzate minacce informatiche locali, rispetto al numero complessivo di utenti unici dei prodotti Kaspersky Lab nel paese.

Le prime venti posizioni della speciale graduatoria qui sopra riportata risultano quasi interamente occupate da paesi ubicati nel continente africano, in Medio Oriente e nel Sud-Est asiatico. Così come nel trimestre precedente, la leadership della TOP-20 è andata ad appannaggio del Vietnam, mentre la Mongolia continua ad occupare il secondo gradino del "podio" virtuale. Il Nepal, da parte sua, è sceso dal terzo al settimo posto del ranking in questione. Le "new entry" della speciale classifica relativa al secondo trimestre dell'anno sono rappresentate da Arabia Saudita, Etiopia e Turchia. Per contro, osserviamo come non facciano più parte del rating qui analizzato i seguenti paesi: Marocco, Birmania, Sudan.

Tra i paesi che vantano in assoluto le quote percentuali più basse, in termini di rischio di contagio dei computer degli utenti da parte di infezioni informatiche locali, troviamo: Giappone (11%), Svezia (13,8%), Danimarca (15,3%), Finlandia (16,4%), Singapore (16,8%), Paesi Bassi (17,1%), Repubblica Ceca (18,3%), Norvegia (19,1%), Hong Kong (19,2%).

In media, nel mondo, durante il secondo trimestre del 2014, sono state rilevate infezioni IT di origine locale - perlomeno una volta - sul 32,8% dei computer degli utenti.

 CONDIVIDI