Key4biz

Virus, in calo gli attacchi massivi, crescono quelli mirati. Sul Pc o cellulare l’obiettivo è: fare soldi!

Mondo


Sono diminuiti nel 2006 gli attacchi informatici massivi, ma non è una buona notizia, perché contemporaneamente sono aumentati quelli mirati, che non fanno molto rumore ma causano lo stesso seri danni.

Per tutto il 2006, secondo gli esperti, il numero di virus scoperti è cresciuto, ma si è verificata una battuta d’arresto nella quantità effettiva di attacchi da worm, virus e altro malware.

Di contro, sono diventati molto più comuni gli attacchi mirati che usano backdoor, rootkit e file booby-trapped contenenti codici maligni con un solo obiettivo: fare soldi.

 

Questi attacchi, infatti, prendono di mira una determinata azienda e, attraverso strumenti occulti prelevano informazioni che vengono rivendute a terzi.

In molti casi, gli hacker riescono a entrare nel sistema usando false email con un documento di Microsoft Office booby-trapped.

Un altro tipo di assalto malware mosso dal denaro è il phishing, anch’esso in grande crescita nel 2006, che utilizza tecniche di social engineering sempre più argute e siti contraffatti per sottrarre denaro a chi ci casca. E probabilmente sono in molti, visto che tali tipi di attacchi risultano essere in crescita inarrestabile e si fanno sempre più sofisticati. Ultimamente, capita addirittura che i siti creati dai phisher siano attivi per un’ora appena, sufficiente per fare incetta di informazioni sottratte a navigatori ingenui e poi scomparire nel nulla senza lasciare traccia.

PayPal ed eBay continuano a essere le organizzazioni prese più di mira da attacchi di phishing, insieme ad alcune banche tedesche.

 

A ottobre, il team di ricercatori dei laboratori di F-Secure è stato attratto da un fermento in atto nella compravendita di nomi di domini registrati. Siti come hell.com e auction.com a ottobre erano in vendita per cifre di molti milioni di dollari l’uno. Cosa impressionante se si pensa che tali domini erano stati originariamente registrati per 5-15 dollari.

 

In generale comunque, la maggior parte dei nomi di domini veniva rivenduta per poche centinaia o migliaia di dollari. I principali “commercianti” di domini sono Sedo e Moniker. Ma la cosa che ha attratto il team di ricercatori di F-Secure è che molti di questi domini in vendita avevano nomi molto vicini a quelli di istituzioni finanziarie ben note: chasebankonline.com, citi-bank.com, bankofameriuca.com, ecc.

I ricercatori hanno anche notato che i commercianti di domini avevano messo in vendita nomi di dominio creati usando le vocali “i” e “a” in forma accentata, in grado di creare facile confusione. Domini quali vísa.com, pàypal.com, paypàl.com, quasi indistinguibili dai siti legittimi. Interrogata sulla discutibile messa in vendita di domini ingannevoli dal nome simile a quello di siti legittimi, Sedo ha replicato per bocca del proprio consigliere delegato Jeremiah Johnston affermando che la società desidera “tutelare in ugual misura i diritti di tutti “.

In vertiginoso aumento anche gli attacchi cosiddetti ‘man-in-the-middle’ mirati alla sottrazione di password.

 

Nel 2006, solo due sono stati gli attacchi massivi “tradizionali” da email worm: Nyxem e Warezov.

Lanciato in agosto, Warezov e le sue molte varianti si autoinviano come allegati email a indirizzi trovati su computer precedentemente infettati. In alcuni casi, gli allegati infetti possono attivarsi automaticamente, in altri è necessario aprirli per essere infettati.

Warezov tenta inoltre di scaricare varianti aggiornate di se stesso da specifici siti web.

Una volta che il file worm è attivato, mostra un messaggio esca e si installa sul sistema creando una chiave di startup per sé stesso nel registro di Windows e avviandosi quando il sistema viene avviato. Esso resta quindi attivo nella memoria del sistema e cerca sugli hard disk tutti i file contenenti indirizzi eMail. Quindi si collega a un mail server e si autoinvia a tutti gli indirizzi che ha trovato.

La cosa interessante di questo worm è che è in grado di autodiffondersi, come facevano i suoi antenati, e che lo ha fatto davvero bene, rappresentando l’attacco più capillare di questo tipo sferrato nel 2006.

 

A novembre, l’obiettivo di Warezov appariva più che raggiunto e la relativa propagazione dello spam era massiccia. I computer infettati da Warezov scaricavano ulteriori componenti che, dopo un intervallo di tempo variabile, cominciavano a sparare messaggi spam contenenti pubblicità di pseudo Viagra, Cialis, Valium e Xanax. Agli esperti è apparso subito chiaro il collegamento tra il virus e lo spam in questione, osservando che il nome di dominio usato dalla banda Warezov per il download dei componenti del virus era lo stesso usato per l’hosting dei falsi siti sul Viagra.

Warezov si diffonde spammando diverse versioni del downloader, che vengono modificate dagli spammer non appena gli antivirus aggiungono la capacità di intercettare quel particolare componente.

 

Interessante notare che i domini usati dai falsi shop online di Viagra non solo hanno nomi simili all’URL del downloader, ma contengono anche le stesse informazioni per la registrazione. Tutti i domini che gli esperti hanno individuato possono essere classificati in 3 gruppi: domini registrati a “Wang Pang”, “Dima Li” o “Bai Ming”.

 

Anche i siti di social networking sono finiti nelle mire dei worm: alla fine di luglio, gli esperti si sono imbattuti in ulteriori esempi di worm che sfruttano le vulnerabilità Cross Site Scripting (XSS) dei siti web. Si tratta di una nuova categoria di malware, che rappresenta una crescente preoccupazione per tutti i siti, in particolare per quelli di Social Networking, presi particolarmente di mira a causa della loro popolarità e ampia base di utenti. MySpace, ad esempio, è già stato colpito da due di tali worm: Samy nell’ottobre del 2005 e da un worm “Flash” lo scorso luglio. Samy è stato scritto da qualcuno che ambiva a due minuti di popolarità su MySpace e che ha progettato il worm per poter aggiungere vorticosamente persone alla sua lista di amici. Il risultato? Oltre 1 milione di “amici” in un paio d’ore. Il worm Flash, invece, sfruttava una vulnerabilità di Macromedia Flash per reindirizzare gli tenti di MySpace verso una pagina web di dubbio gusto.

A luglio, MySpace è stato anche il target di un banner pubblicitario maligno collocato sul sito, che ha sfruttato la vulnerabilità WMF di Windows per sparare adware a oltre un milione di utenti con computer privi della patch idonea.

 

Sul fronte dei dispositivi mobili, il malware è apparso ancora in costante crescita nella seconda metà del 2006. A luglio, il numero di malware noto ha superato quota 300 e continua a crescere. Come sempre, Symbian continua a essere la piattaforma preferita dagli autori di malware mobile, in ragione della sua leadership nel mercato degli smartphone.

In autunno, inoltre, il team di ricercatori di F-Secure si è imbattutto in un worm cross-platform teoricamente in grado di diffondersi da un PC a un dispositivo mobile e viceversa. Il worm “Mobler” – come è stato battezzato – si muove tra le piattaforme Symbian e Windows. Sebbene i danni che può causare in ambiente Windows siano preoccupanti, esso non ne causa di rilevanti ai dispositivi Symbian, limitandosi a copiare se stesso sulla scheda di memoria e cercando di spingere con l’inganno l’utente a infettare il suo PC.

 

Tecnicamente parlando, non vi è un meccanismo automatico di diffusione mediante il quale Mobler possa copiarsi da una piattaforma all’altra. Esso crea semplicemente un pacchetto di installazione Symbian che inserisce un eseguibile Windows sulla memory card del dispositivo mobile. Tale eseguibile è visibile come folder di sistema in Windows Explorer e dunque, in teoria, l’utente potrebbe aprirlo accidentalmente e infettare il proprio PC mentre naviga nei file della propria memory card.

Nella sua forma attuale, Mobler non presenta dunque rischi immediati particolarmente preoccupanti per gli utenti di dispositivi mobili. Tuttavia, gli autori di virus potrebbero usarlo come base per malware più maligno.

 

Sempre in autunno, il team di ricercatori di F-Secure ha ricevuto un nuovo campione Commwarrior: SymbOS/Commwarrior.Q. Niente di particolare da rilevare se non il fatto che questo Commwarrior.Q non è una pura riedizione di Commwarrior.B, ma piuttosto una nuova variante dotata di funzionalità aggiuntive.

Commwarrior.Q è basato su Commwarrior.C e ha le sue stesse funzionalità e qualcuna in più. Come Commwarrior.C, la variante Q si diffonde via Bluetooth e messaggi MMS e infetta le memory card. In più, Commwarrior.Q va alla ricerca di file di installazione SIS e si inietta in tutti quelli che trova. Ciò significa che oltre a cercare di diffondere se stesso, Commwarrior.Q cerca anche di spingere gli utenti a distribuirlo. Ad esempio, se un utente ha un file SIS di installazione di un gioco e lo copia sul dispositivo di un amico.

 

Sempre sul fronte mobile, F-Secure continua a investigare la questione dei trojan spia liberamente commercializzati per i telefoni mobili Symbian o basati su altre piattaforme. Il team di ricerca dapprima pensava che tale software potesse costituire un fenomeno circoscritto a solo un paio di fornitori di tali strumenti. Ma ora la situazione è cambiata e si è creata una sorta di piccola e fiorente industria fatta di fornitori che o sviluppano software per smartphone Symbian o producono versioni modificate nell’hardware di quasi tutti i telefoni disponibili.

 

Un tipico set di funzionalità di questo tipo di strumenti include intercettazione e

reindirizzamento degli SMS, raccolta di informazioni su mittenti e destinatari di SMS e telefonate e ascolto a distanza. In alcuni casi sono previste perfino funzioni per la localizzazione dell’utente. Ciò significa in pratica che la vittima con un’applicazione spia dotata di tutte queste funzionalità installata sul suo telefono deve dimenticarsi la privacy: chi controlla tale software ha libero accesso a tutte le sue informazioni private, mediante le funzionalità sopra descritte.

 

I venditori di tale software spyware si difendono affermando che i loro prodotti devono essere usati in ottemperanza alle leggi locali e che l’applicazione tipica di tali strumenti è il controllo di un marito fedifrago o dei figli. Ma ovviamente questi strumenti possono aver ben altri, anche più discutibili impieghi quali spionaggio industriale, furto d’identità e pedinamenti.

 

Una delle applicazioni spyware che gli esperti di F-Secure hanno indagato è Acallno.A (nome fittizio dato dai ricercatori per non fare pubblicità gratuita al tool spia preso in esame), un tool SMS spia che forwarda tutti i messaggi inviati o ricevuti a un numero impostato da chi ha installato il software sul cellulare.

Per fortuna, Acallno.A può essere installato sul cellulare solo da chi è a conoscenza del codice IMEI del dispositivo. Non può essere semplicemente incluso in un trojan o diffuso con un altro metodo di installazione massiva. (a.t.)

Exit mobile version