giovedì 12 luglio 2012

GFI Software, cybercriminali inviano spam fingendosi aziende conosciute


GFI Software ha rilasciato il suo VIPRE ® report di giugno 2012, una raccolta dei 10 rilevamenti delle minacce più diffuse incontrate il mese scorso. Nel mese di giugno, i ricercatori di GFI Software hanno riscontrato due nuove campagne spam con link a exploit Blackhole, che sembravano email di conferma provenienti da Twitter® e Amazon.com®. Con modalità simili, il marchio Delta Airlines® è stato protagonista di una campagna spam che aveva un unico obiettivo: infettare gli utenti con virus Sirefef e antivirus fasulli. A tal proposito, GFI ha reso disponibile un webinar gratuito, durante il quale ha illustrato in dettaglio le modalità di attacco del virus Flame, utilizzando il proprio prodotto GFI Sandbox™.


“I criminali informatici sono sempre più determinati ad infettare il maggior numero di computer e a rubare informazioni personali, con il minimo sforzo. Fingendo di essere aziende molto conosciute, possono incrementare il numero di vittime potenziali per le loro truffe” ha affermato Chris Boyd, analista senior per i rischi informatici GFI Software “Qualsiasi avviso o ‘email di conferma’ che arrivi inaspettatamente, anche se sembra autentico, dovrebbe essere attentamente vagliato dall’utente prima di intraprendere qualsiasi passo. Se qualcosa sembra anomalo, gli utenti devono fidarsi del loro istinto e utilizzare il comune buon senso prima di cliccare su qualcosa che potrebbe peggiorare la situazione”.

Durante tutto il mese di giugno, sono state inviate email fasulle, che avevano l’aspetto di conferme d’ordine provenienti da Amazon.com e che avevano invece il preciso intento di infettare le vittime con malware. Gli utenti che cliccavano su uno qualsiasi dei link contenuti nella mail venivano indirizzati ad una pagina web con un codice exploit Blackhole; questo exploit scansionava i programmi Adobe® Reader® e Adobe Flash® dell’utente, dopodiché caricava una applet Java che reindirizzava la vittima verso alcune pagine web contenti file exploit PDF appositamente creati, in base alla versione di Adobe Reader presente nel sistema.


Un’altra email fasulla, che appariva come una conferma dell’account di Twitter, indirizzava le vittime verso un sito russo, sul quale risiedeva un kit di exploit Blackhole: questo sito lanciava exploit in grado di colpire vulnerabilità di Adobe Reader e Adobe Flash vecchie di sei anni, come ad esempio le seguenti: CVE-2006-0003CVE-2007-5659CVE-2008-2992CVE-2009-0927CVE-2010-1885CVE-2011-0611. E’ importante sottolineare come gli utenti avrebbero potuto evitare di diventare vittime di questi attacchi, se solo avessero provveduto a mantenere il loro software antivirus aggiornato.

E’ stata riscontrata inoltre una finta email spam che si proponeva come e-ticket di Delta Airlines; aprendo l’allegato, gli utenti scaricavano anche un file eseguibile che infettava il loro sistema con Sirefef e Live Security Platinum, un programma antivirus fasullo. Questo finto programma AV bloccava l’esecuzione di tutte le altre applicazioni e distribuiva pop-up continui e reindirizzamenti del browser a messaggi che informavano l’utente di un’infezione in corso, richiedendo un pagamento per procedere alla bonifica del sistema.


L’analisi di Flame
Nel mese di giugno, la task force di GFI Software che analizza il malware Flame ha riscontrato alcuni comportamenti malware, non identificati in precedenza da altri vendor o ricercatori. Grazie all’utilizzo di GFI SandBox sono stati identificati 100MB di dati comportamentali dettagliati su Flame, in meno di 5 minuti. Nicholas Keuning e Anthony Arrington hanno presentato i risultati delle loro scoperte e l'analisi di Flame, l'ultima minaccia avanzata accanto a Stuxnet, utilizzando solo la tecnologia sandboxing. I ricercatori hanno imitato Flame nelle configurazioni d'ambiente di destinazione. Inoltre, Keuning e Arrington hanno testato Flame in uno standard, normale ambiente usato dagli utenti medi di computer.

Hanno fatto questo per verificare se il file può ancora essere identificato come qualcosa di dannoso, e, in caso affermativo, fornire le migliori pratiche su come gli utenti e le organizzazioni possono utilizzare la sandboxing e incorporarla nella loro protezione a più livelli in modo da essere protetti al meglio dalle minacce avanzate di oggi. Dopo aver eseguito Flame all'interno di questi ambienti, Keuning ha sottolineato la differenza nella quantità di metadati del prodotto raccolti in un breve periodo di tempo. Per l'ambiente standard, un rapporto delle dimensioni di circa 100MB è stato generato in soli cinque minuti, per l'ambiente personalizzato "mirato", un rapporto delle dimensioni di circa 350 MB in appena un'ora.



Le 10 principali minacce rilevate nel mese di Giugno
L’elenco delle 10 minacce principali di GFI Software è stato stilato analizzando le segnalazioni provenienti dalle decine di migliaia di utenti dell’antivirus GFI VIPRE, che fanno parte del sistema di rilevazione automatico delle minacce GFI ThreatNet™. Le statistiche di ThreatNet indicano che i Trojan rimangono il metodo principale di attacco anche in giugno, posizionati saldamente nelle prime sei posizioni.

Rilevamento / Tipologia / Percentuale
Trojan.Win32.Generic / Trojan / 31.51
GamePlayLabs / Browser Plug-in / 5.79
Trojan.Win32.Small / Trojan / 2.97
Trojan.Win32.Sirefef.pq (v)/Trojan / 2.48
Yontoo (v) / Adware / 2.45
INF.Autorun (v) / Trojan / 1.06
GameVance / Adware (General) / 0.96
Trojan.Win32.Ramnit.c (v) / Trojan / 0.84
iBryte / Adware (General) / 0.83

Informazioni su GFI Labs
GFI Labs è specializzata nella scoperta e l'analisi delle vulnerabilità e malware pericolosi. Il team di specialisti della sicurezza è dedicato attivamente alle ricerche di focolai di nuovi malware, la creazione di nuove definizioni delle minacce su una base costante dei prodotti VIPRE antivirus per la casa e commerciali.

Informazioni su GFI
GFI Software fornisce la sicurezza web e mail, archiviazione e software fax, networking e la sicurezza e soluzioni IT hosted per le piccole aziende e medie imprese (PMI) attraverso una vasta comunità di partner globale. I prodotti GFI sono disponibili sia come soluzioni on-premise, nel cloud o come un ibrido di entrambi i modelli di delivery.

Con la premiata tecnologia, una strategia di prezzo competitivo e una forte attenzione alle esigenze specifiche delle PMI, GFI soddisfa le esigenze IT delle organizzazioni su scala globale. L'azienda ha uffici negli Stati Uniti, Regno Unito, Austria, Australia, Malta, Hong Kong, Filippine e Romania, che insieme supporta centinaia di migliaia di installazioni in tutto il mondo. GFI è orientata alla collaborazione con migliaia di partner in tutto il mondo ed è anche un Microsoft Gold Partner ISV.

Disclaimer: Tutti i nomi di prodotti e società nel presente documento possono essere marchi dei rispettivi proprietari. Al meglio della nostra conoscenza, tutti i dettagli sono corretti al momento della pubblicazione, tali informazioni sono soggette a modifiche senza preavviso. Copyright © 2012 GFI Software.

Nessun commento:

Posta un commento