domenica 28 novembre 2010

Malware raddoppiato dal 2009 ad oggi, grazie anche ai social network


L'aggiornamento Q3 Dasient continua a monitorare milioni di siti su Internet che presentano infezioni malware web-based e malvertisements. Sulla base dei dati raccolti, si stima che nel 3° trimestre oltre 1,2 milioni di siti Web su Internet sono stati infettati, che è il doppio di ciò che era stato stimato esattamente un anno fa. Il problema del malware web continua a crescere drammaticamente il numero di siti legittimi infettati.

Guardando alle principali modalità di comunicazione utilizzate in Internet, l'e-mail risulta una dei principali metodi di comunicazione, e abbiamo visto che gli aggressori ne approfittano per distribuire virus attraverso allegati email. Nel tempo, la posta elettronica è diventata il web-based dei servizi come Hotmail, Yahoo Mail e Gmail, servizi che devono incorporare un software anti-virus sui loro server per la scansione degli allegati malware delle e-mail. 

Come le visualizzazioni di pagine web continuano ad aumentare e diventano sempre più interattive attraverso il Web 2.0, così i cybercriminali hanno approfittato dell'avvento delle tecniche drive-by-download per infettare gli utenti senza richiedere l'apertura di allegati, consentendo loro di sfruttare le pagine web come una piattaforma di distribuzione di malware sempre più pervasiva. Mentre gli aggressori continuano a crescere l'uso di quasi tutti gli strumenti a loro disposizione (compresi i virus diffusi tramite allegato e-mail) e come l'economia criminale continua a prosperare, la ricerca di Dasient indica che l'uso di drive-by-download e rogue antivirus usano schemi sempre più evoluti per la distribuzione di malware. Mentre ci avviciniamo al 2011, si prevede che l'uso specifico di siti di social media web continua a crescere, drive-by-download e falsi programma anti-virus saranno utilizzati in maniera più aggressiva su piattaforme come Facebook e Twitter, come evidenziato dalle minacce come il botnet Koobface.


Le botnet hanno avuto continuamente come obiettivo Facebook e gli attacchi XSS di settembre hanno avuto come scopo indirizzare gli utenti di Twitter e a siti porno e siti di malware. Gli autori di Koobface, ad esempio, hanno costruito "moduli di attacco" per diverse reti sociali come Facebook, MySpace, Twitter, Hi5, Bebo, Friendster. Questi moduli vengono utilizzati per attaccare attraverso post automatici spam nei commenti con link pericolosi e distribuire falso software anti-virus per gli utenti di ciascuno dei diversi media social network. Una minaccia interessante per i governi questo trimestre è stato Stuxnet, un trojan di alto profilo molto e molto sofisticato che si pensa essere stato scritto contro uno Stato-nazione. 

Stuxnet ha la capacità di riprogrammare l'apparecchiatura di automazione che controlla e monitora le infrastrutture critiche, e ha la capacità di condurre il sabotaggio con un impatto che è ancora da determinare. Stuxnet è stato scritto con l'obiettivo di colpire lo stabilimento Siemens Simatic, e si sospetta sia stato scritto per colpire i reattori nucleari in Iran. Nel 3° trimestre 2010, si stima che oltre 1,5 milioni di malvertisements al giorno sono stati serviti online, compresi i drive-by-download e le false campagne anti-virus. Inoltre, i sistemi di misura di Dasient hanno stimato che la vita media di una campagna Malvertising è stata di 11,1 giorni, indicando che il malvertisments continuare ad essere un mezzo estremamente efficace per la diffusione di malware da parte dei cybercriminali.


In Q3, i sistemi di rilevazione hanno riferito che gli aggressori provenivano maggiormente da domini popolari quali .Com, .Ru e .Info, in ordine decrescente di popolarità. Rispetto al trimestre scorso, ci sono stati alcuni spostamenti per l'origine degli attacchi basati sul TLD del codice attaccante: abbiamo visto la caduta di .Cn (Cina) e l'avanzata di .Ru (Russia). Gli autori di malware continuano a distribuire gli attacchi sempre più sofisticati per eludere i rilevamenti. Essi sanno che si tenta di eseguire il malware su macchine virtuali come VMware e Parallels. Come tale, gli autori di malware programmano il loro malware in maniera tale da fare controlli run-time per determinare se esso potrebbe essere sotto analisi da ricercatori di sicurezza o motori di scansione automatizzati. 

Per esempio, per verificare o meno se il malware potrebbe essere sotto controllo in una macchina virtuale VMware, vengono effettuati controlli malware per determinare se un file con il nome di vmhgfs.sys è presente come driver di periferica nella directory di sistema di Windows. Oppure, per verificare se il malware viene analizzato in Parallels, controlla un driver di periferica con il nome di prleth.sys. Altri meccanismi di rilevazione anti-range verificano l'esecuzione di processi e moduli caricati al sistema di verifica delle informazioni sul BIOS e contando il numero di cicli di CPU per eseguire blocchi di codice. Il forte aumento dei siti di social network espande solo il panorama delle minacce e la corretta protezione di sicurezza web diventa un must.

Nessun commento:

Posta un commento