venerdì 11 marzo 2011

Kaspersky Lab, crescono gli attacchi drive-by per infettare i personal computer


L’ultimo report mensile sulle attività dei malware di Kaspersky Lab evidenzia l’uso crescente degli attacchi drive-by per infettare i computer. Si tratta di attacchi particolarmente pericolosi perché avvengono all'insaputa dell’utente. In pratica, chi va a visitare un sito infetto viene reindirizzato a una pagina web che contiene degli script downloader, spesso lanciati da diversi tipi di exploit proprio allo scopo di scaricare malware sui computer degli utenti.

Il mese di febbraio è stato caratterizzato da un significativo aumento della popolarità di un nuovo metodo di diffusione dei malware: i cybercriminali hanno cominciato a utilizzare i fogli di stile a cascata (CSS) per depositare la parte di dati dello script downloader, accorgimento che per molti antivirus complica notevolmente il rilevamento degli script maligni. 

Questo metodo viene utilizzato ora nella maggior parte degli attacchi drive-by e consente ai cybercriminali di proteggere gli exploit responsabili del download da un eventuale rilevamento. Nel corso di un attacco drive-by da parte di un sito infetto, in genere per mezzo di IFrame, l'utente viene reindirizzato alla pagina contenente il CSS e lo script downloader maligno. 

http://www.securelist.com/

Nella TOP 20 di Internet si sono piazzati subito tre programmi maligni che effettuano un simile reindirizzamento: il Trojan-Downloader.HTML.Agent.sl (1° posto), l'Exploit.JS.StyleSheeter.b (13° posto) e il Trojan.JS.Agent.bte (1° posto). Gli script downloader delle pagine web infette eseguono due tipi di exploit: uno dei due, che sfrutta la vulnerabilità CVE-2010-1885, è stato da Kaspersky individuato come Exploit.HTML.CVE-2010-1885.ad (4° posto). 

Questo exploit è stato responsabile in media di ben 10.000 attivazioni dell'antivirus al giorno nei computer dei singoli utenti. Il secondo tipo di exploit sfrutta la vulnerabilità CVE-2010-0840, una novità del mese di febbraio. Gli exploit di questo tipo sono stati da Kaspersky individuati come Trojan.Java.Agent.ak (7° posto), Trojan-Downloader.Java.OpenConnection.dc (9° posto) e Trojan-Downloader.Java.OpenConnection.dd (3° posto). 

Il mese di febbraio ha confermato che ci sono ancora PDF potenzialmente pericolosi: il numero dei computer unici in cui sono state rilevate minacce da PDF ha raggiunto le 58mila unità. Uno di questi malware provenienti da PDF - Exploit.JS.Pdfka.ddt - è entrato nella top 20 dei programmi malevoli su internet all’ottava posizione. Per mezzo del modulo di protezione euristica di Kaspersky, il wrapper maligno utilizzato per proteggere il worm P2P Palevo è stato individuato nei computer di oltre 67.000 singoli utenti. 

Ricordiamo che è proprio questo worm il responsabile della creazione della botnet Mariposa che è stata chiusa dalla polizia spagnola. È probabile che la diffusione attiva di questo packed worm sia legata all'intenzione da parte dei cybercriminali di creare una nuova botnet o forse di ripristinare quella vecchia. Il wrapper presenta un'interessante peculiarità, ossia aggiunge una serie di stringhe casuali al file che sottopone all'impacchettamento.

http://www.securelist.com/

Sin dall'inizio di febbraio sono stati individuati alcuni nuovi malware per la piattaforma mobile Android. Uno di essi, il Trojan-Spy.AndroidOS.Adrd.a, opera secondo le modalità dei backdoor. Collegandosi a un server remoto, invia a quest'ultimo i dati di identificazione del telefono mobile (IMEI e IMSI). Il centro di controllo risponde inviando un'informazione che viene utilizzata dal malware per effettuare delle richieste al motore di ricerca in background. 

Tali richieste vengono sfruttate per aumentare i costi. Vale la pena notare che questo malware è stato individuato solo in repository cinesi. Un'altra minaccia che riguarda il sistema operativo Android è il Trojan-Spy.AndroidOS.Geinimi.a che si presenta come una versione "ottimizzata" della famiglia Adrd e non è stata rilevata solamente in Cina, ma anche negli Stati Uniti, in Spagna, in Brasile e in Russia. 

Vale la pena menzionare che anche i malware per la piattaforma J2ME godono di altrettanta popolarità e diffusione. Per esempio, il Trojan-SMS.J2ME.Agent.cd si è meritato un posto nella classifica dei malware maggiormente diffusi in Internet (18° posto). La sua funzione principale è quella di inviare SMS a numeri a pagamento. Il trojan si diffonde fondamentalmente per mezzo di link contenuti nei messaggi spam di ICQ. Questo malware predomina in Russia e in Spagna, mentre la sua diffusione in altri Paesi è pressoché irrilevante.

Nessun commento:

Posta un commento