Cybercrime: ecco come i falsi antivirus infettano i nostri Pc. Tecniche e consigli per evitare di essere truffati da ‘finti alleati’

di |

Di Vyacheslav Zakorzhevsky - Senior Malware Analyst del team Kaspersky.

Mondo


Virus informatici

Negli ultimi due anni abbiamo parlato spesso di quei programmi che dicono di fare una cosa, e poi ne fanno un’altra. I più noti tra loro sono senza dubbio i falsi antivirus, che avvisano l’utente della presenza di virus o malware nel computer, ma in realtà non individuano (né rimuovono) un bel niente. Hanno infatti un’altra funzione: convincere l’utente della presenza di inesistenti minacce per il computer e spingerlo a pagare per l’attivazione di un “programma antivirus”. Questo tipo di programma, secondo la classificazione di Kaspersky Lab, si chiama FraudTool e appartiene alla classe dei RiskWare.

Si tratta di programmi molto diffusi, e la loro popolarità tra i truffatori è in continua crescita. Mentre nella prima metà del 2008 gli specialisti di Kaspersky Lab avevano individuato circa tremila falsi antivirus, nello stesso periodo del 2009 la cifra è lievitata fino a raggiungere i 20.000 esemplari.

 

I metodi principali di diffusione

Per cominciare diamo un’occhiata al modo in cui i falsi antivirus finiscono nel computer dell’utente-vittima. Per la diffusione utilizzano certamente gli stessi metodi della maggior parte dei malware, ad esempio il download all’insaputa dell’utente, con l’aiuto di Trojan-Downloader, e lo sfruttamento di vulnerabilità di siti compromessi/infetti.

Ma non è tutto qui: molto spesso è proprio l’utente a scaricare sul proprio computer FraudTool. Per ottenere questo scopo, i cybercriminali utilizzano programmi speciali (Hoax) e pubblicità su Internet.

Hoax è un altro dei tanti programmi truffa: la sua principale funzione è convincere l’utente della necessità di scaricare un antivirus “magico” per risolvere i problemi, ma anche di installare il programma fittizio nel sistema (anche se l’utente dovesse rifiutarsi di farlo!).

Gli Hoax si scaricano sui computer principalmente grazie all’aiuto dei backdoor oppure sfruttando le vulnerabilità del sito. Dopo l’installazione del programma compare una finestra che informa l’utente della presenza di molti errori nel sistema, o del fatto che il registro è stato danneggiato oppure ancora che qualcuno si sta impossessando dei suoi dati riservati.

 

Per la diffusione dei falsi antivirus i truffatori utilizzano anche le pubblicità su Internet. Al giorno d’oggi la gran parte dei siti usa banner informativi che parlano di nuovi prodotti antivirus, vere bacchette magiche capaci di risolvere una miriade di problemi. Va detto però che anche in numerose risorse Web non illegali e ad alto livello di affidabilità è possibile trovare banner lampeggianti o pubblicità Flash dei “nuovi antivirus”, e capita anche spesso che durante la navigazione in Internet appaiano pop-up che offrono la possibilità di scaricare gratuitamente un nuovo antivirus.

 

Di regola, queste finestre non offrono alcuna scelta all’utente, ma contengono solo il pulsante «OK» o «YES». Ma anche in quei casi in cui apparentemente viene offerta una scelta, il falso antivirus viene installato comunque, indipendentemente dal tasto premuto dall’utente.

 

La diffusione dinamica permette ai cybercriminali di nascondere l’indirizzo IP della pagina da cui vengono scaricati i malware, ostacolando così la ricezione dei file dal produttore degli antivirus e, di conseguenza, la loro individuazione. Questo tipo di diffusione è utilizzato anche da molti worm e virus.

 

Ad esempio il worm Internet Net-Worm.Win32.Kido.js, da cui poi sono stati sviluppati intere botnet, utilizza la tecnologia DDNS , e inoltre scarica e installa sul sistema il falso antivirus FraudTool.Win32.SpywareProtect2009.s. Ciò dimostra che, molto probabilmente, lo stesso gruppo di autori di virus che sviluppa i worm Internet si occupa anche di falsi antivirus, questo perché i primi vengono utilizzati per spianare la strada all’installazione dei secondi.

 

Obiettivo: seminare il panico

Abbiamo chiarito come fanno i falsi antivirus ad arrivare nel sistema. Resta da stabilire cosa fanno realmente dopo l’installazione.

Prima di tutto c’è la scansione del sistema. Durante la scansione il falso antivirus invia una sequenza di messaggi pensata in modo geniale, ad esempio: errore di Windows, individuazione di un malware, necessità di installare un antivirus. A volte, per illudere l’utente in modo convincente dell’efficacia del programma, insieme al falso antivirus viene installato anche un file speciale che viene poi rilevato durante la “scansione”.

Il falso antivirus si offre di correggere tutti gli eventuali errori rilevati e di rimettere a posto il sistema… ma a pagamento! Tanto più l’imitazione di un autentico e legale software antivirus è ben realizzata, tanto maggiori saranno le possibilità, per i truffatori, di venire effettivamente retribuiti per il “lavoro” dello pseudo-antivirus.

 

È importante notare che per contrastare i veri antivirus, quelli falsi si avvalgono degli stessi meccanismi utilizzati in diversi worm e virus polimorfi, ovvero: con la cifratura dei dati nascondono le parti principali del programma che, di solito, contengono link e stringhe in bella vista. Per far funzionare il programma, nel file viene nascosto un codice dinamico che, prima di iniziare a svolgere le sue funzioni principali, decifra le parti di codice.

 

La crescita principale del numero di firme dei falsi antivirus è avvenuta nella prima metà del 2008, seguita però da un rallentamento già alla fine dello stesso anno. Viceversa, a maggio 2009 si è verificata una vera e propria esplosione nel numero di nuove firme.

Il notevole aumento di popolarità dei falsi antivirus è dovuto innanzitutto alla facilità con cui è possibile svilupparli, ma anche agli efficaci sistemi di diffusione e crescita e ai notevoli guadagni che i truffatori ottengono in brevissimo tempo da questi prodotti.

 

Oggi negli archivi di Kaspersky Lab ci sono 318 diverse famiglie di falsi antivirus. La tabella seguente rappresenta la prima Top 20 delle famiglie più popolari di questi prodotti, quelle che dal 2007 hanno generato il maggior numero di firme di identificazione. Le prime cinque famiglie, da sole, riuniscono il 51,69% di tutte le firme per l’individuazione di FraudTool. I programmi di questo tipo portano sempre il nome dell’antivirus che imitano.

 

Oggi la comparsa di nuovi antivirus falsi è divenuta un evento piuttosto comune: ogni giorno Kaspersky Lab individua tra 10 e 20 nuovi programmi collegati a Hoax o a FraudTool. Un fatto del genere, anche solo due o tre anni fa, sarebbe sembrato impossibile: allora i nuovi malware appartenenti a uno di quei due tipi comparivano circa una volta ogni due giorni.

 

Metodi di difesa

Anche se l’infezione del computer da parte di un antivirus falso di per sé non danneggia il sistema, grazie ad essa i truffatori possono estorcere denaro agli utenti meno smaliziati. L’interfaccia chiara e d’effetto, la vasta gamma di messaggi che seminano il panico da virus e gli inviti all’acquisto del “prodotto” possono facilmente ingannare e spingere a regalare soldi ai truffatori. Per proteggersi adeguatamente è necessario ricordare alcune semplici regole.

Se nel proprio computer si attiva un antivirus sconosciuto, occorre studiarlo con attenzione, verificando che l’assistenza tecnica sia effettivamente disponibile e andando a controllare sul sito ufficiale. Se ciò non da esiti soddisfacenti, si a che fare con un programma falso.

Inoltre, occorre ricordare che nessun vero programma anti-malware prima scansiona il computer e poi chiede soldi per attivarsi. Se ci si imbatte in un programma antivirus sconosciuto che si comporta in questo modo, NON pagare per utilizzarlo! Occorre invece installare un antivirus di marca conosciuta e di propria scelta, e sbarazzarsi delle minacce al proprio computer.

Bisogna prestare attenzione solo ai messaggi provenienti dall’antivirus installato, e non a tutte le finestre contenenti messaggi di infezione del computer, le quali possono apparire visitando alcuni siti.

Inoltre, è importante non posizionare il mouse sulle varie finestre che compaiono, anche nei casi in cui riescano a superare le difese del browser o quelle del pacchetto di Internet Security. Con questi semplici accorgimenti impedirete al 99% dei falsi antivirus di accedere al vostro computer.

 

Conclusioni

Purtroppo la popolarità dei programmi pensati per truffare gli utenti è in continua crescita. Oggi non abbiamo più a che fare con un unico programma, ma con una nuova generazione di codici prodotti in continuazione. Si tratta di un tipo di programmi truffa che cresce e si evolve sotto tutti gli aspetti, a partire dalla scala e dalle tecniche di diffusione, per finire con le tecniche di aggiramento degli antivirus.

È prevedibile che l’evoluzione futura dei falsi antivirus riguarderà proprio i metodi per ingannare gli antivirus veri e propri. La quantità complessiva di programmi, quasi certamente, aumenterà insieme agli utenti raggirati. In futuro ci troveremo ancora ad occuparci di nuovi ed interessanti rappresentanti della categoria dei programmi truffa.

La crescente popolarità dei falsi antivirus fa pensare che siano un sistema molto redditizio per i truffatori. E quanto più i truffatori riescono a spaventare gli utenti, tanto più facilmente riusciranno ad estorcere loro denaro. Permetteteci, ancora una volta, di consigliarvi di installare un buon programma antivirus, legale ovviamente. In tal modo sarete sicuri di difendere il vostro computer e di non buttare via i soldi.

Key4Biz

Quotidiano online sulla digital economy e la cultura del futuro

Direttore: Luigi Garofalo

© 2002-2024 - Registrazione n. 121/2002. Tribunale di Lamezia Terme - ROC n. 26714 del 5 ottobre 2016

Editore Supercom - P. Iva 02681090425

Alcune delle foto presenti su Key4biz.it potrebbero essere state prese da Internet e quindi valutate di pubblico dominio. Se i soggetti o gli autori avessero qualcosa in contrario alla pubblicazione, lo possono segnalare alla redazione inviando una email a redazione@key4biz.it che provvederà prontamente alla rimozione delle immagini utilizzate.

Netalia