Malware report Q1-2013 - Kaspersky Lab – Newsroom Europe.

Transcript

Evoluzione delle minacce informatiche
nel primo trimestre del 2013
Denis Maslennikov
Sommario
Il trimestre in cifre ......................................................................................................................................... 2
Il quadro della situazione .............................................................................................................................. 2
Cyber-spionaggio e cyber-armamenti ....................................................................................................... 2
Gli attacchi mirati ...................................................................................................................................... 6
Il malware mobile ...................................................................................................................................... 7
Revoca di certificati digitali emessi da TurkTrust ....................................................................................11
Le statistiche................................................................................................................................................11
Le minacce in Internet .............................................................................................................................11
Minacce informatiche locali ....................................................................................................................17
Vulnerabilità ................................................................................................................................................21
Il trimestre in cifre
•
•
•
•
Secondo i dati raccolti tramite il Kaspersky Security Network (KSN), nel corso del primo trimestre
del 2013 le soluzioni anti-malware di Kaspersky Lab hanno rilevato e neutralizzato
1.345.570.352 oggetti nocivi.
Sono state da noi complessivamente individuate 22.750 nuove varianti di programmi malware
specificamente creati dai virus writer per infettare i dispositivi mobile; si tratta, in sostanza, di
oltre la metà del numero complessivo di varianti rilevate lungo tutto l’arco del 2012.
Il 40% degli exploit individuati e respinti durante il trimestre esaminato nel presente report ha
sfruttato vulnerabilità insite nei prodotti Adobe.
Circa il 60% del numero totale di hosting nocivi è risultato ubicato sul territorio di tre soli paesi:
Stati Uniti, Federazione Russa e Paesi Bassi.
Il quadro della situazione
Il primo trimestre dell’anno in corso si è mostrato davvero ricco di episodi legati alle attività del malware
via via dispiegato dai cybercriminali. Nella sfera della sicurezza IT sono stati di fatto registrati numerosi
incidenti virali di primaria importanza; condurremo, nella prima parte del nostro consueto report
trimestrale dedicato all’evoluzione delle minacce informatiche, una dettagliata analisi dei più significativi
e rilevanti tra di essi.
Cyber-spionaggio e cyber-armamenti
Red October
All'inizio del 2013, Kaspersky Lab ha pubblicato un dettagliato rapporto, di notevoli dimensioni,
contenente i risultati della ricerca condotta dai propri esperti di sicurezza IT riguardo all’operazione Red
October (Ottobre Rosso), un’avanzata campagna di spionaggio informatico lanciata su scala globale. I
principali target dell’esteso attacco in questione sono risultati essere gli enti governativi e le agenzie
diplomatiche di diversi paesi del globo, oltre ad istituti di ricerca, società operanti nel settore
dell’energia e del nucleare, obiettivi commerciali ed aerospaziali. Per analizzare i file nocivi e ricostruire
l’intero schema utilizzato dai malintenzionati per portare l’esteso attacco informatico si sono resi
necessari alcuni mesi di intenso lavoro; le accurate e laboriose indagini condotte, tuttavia, hanno
permesso di portare alla luce una quantità considerevole di fattori ed elementi di notevole interesse e
particolare curiosità.
Gli aggressori hanno attivamente operato, talvolta in maniera febbrile, lungo tutto l’arco degli ultimi
cinque anni. La piattaforma di attacco multifunzionale da essi utilizzata permette di dispiegare
agevolmente nuovi avanzati moduli per la raccolta delle informazioni sensibili; si tratta di una
piattaforma estremamente flessibile, che comprende diverse estensioni e file nocivi progettati per
adattarsi rapidamente alle configurazioni dei vari sistemi informatici presi di mira. Per controllare e
gestire al meglio i sistemi infettati, gli aggressori hanno creato oltre 60 nomi di dominio e si sono avvalsi
di vari server ospitati nell'ambito di servizi di hosting ubicati in vari paesi, per la maggior parte in
Germania e Russia. Le analisi condotte da Kaspersky Lab sulle infrastrutture di comando e controllo
utilizzate dagli aggressori hanno inoltre evidenziato la presenza di una vasta catena di server proxy, di
cui i malintenzionati si sono avvalsi allo scopo di nascondere la reale posizione del server di controllo del
sistema “madre”.
Oltre ai tradizionali obiettivi degli attacchi informatici, ovvero le workstation, Red October è in grado di
colpire numerosi altri componenti ed elementi dell’infrastruttura informatica di cui è generalmente
dotata un’organizzazione o una società. In effetti, il potente attack-toolkit qui esaminato ha, allo stesso
tempo, la capacità di realizzare piuttosto agevolmente il furto dei dati sensibili custoditi nei dispositivi
mobile, di carpire informazioni direttamente dalle apparecchiature di rete, di eseguire la raccolta di file
memorizzati sui dischi USB. Inoltre, Red October è in grado di compiere il furto di database di posta
elettronica dalla cartella locale di Outlook, oppure da un server POP/IMAP remoto, così come di estrarre
file di vario tipo dai server FTP locali presenti in rete.
MiniDuke
Nello scorso mese di febbraio, la società FireEye ha pubblicato in Rete, all’interno del proprio blog, una
dettagliata analisi riguardo alla comparsa di un nuovo insidioso programma malware, in grado di
penetrare nel sistema informatico preso di mira tramite l’utilizzo di una vulnerabilità 0-day individuata in
Adobe Reader (CVE-2013-0640). L’exploit appositamente creato dai virus writer per sfruttare tale
vulnerabilità è di fatto divenuto il primo exploit in grado di bypassare l’azione protettiva svolta dalla
«sandbox» di Acrobat Reader. L’exploit in questione genera sul computer-vittima il download di una
backdoor, destinata in particolar modo a trafugare informazioni e dati sensibili dal sistema sottoposto a
contagio informatico. Dopo aver ricevuto dei sample del suddetto malware ed aver effettuato le analisi
del caso, i nostri esperti hanno assegnato al nuovo programma nocivo l’appellativo di «ItaDuke».
Dopo qualche tempo sono stati da noi rilevati ulteriori incidenti virali riconducibili alla tipologia sopra
descritta, nell’ambito dei quali i malintenzionati erano ricorsi allo sfruttamento della medesima
vulnerabilità 0-day; nella circostanza, tuttavia, i malware utilizzati risultavano diversi da quelli impiegati
in precedenza. Il software nocivo di cui si erano avvalsi i malintenzionati è stato in seguito battezzato
con il nome di «MiniDuke». Le indagini sugli incidenti sopra menzionati sono state condotte in
collaborazione con la società ungherese CrySys Lab. Sono risultati essere vittima di MiniDuke enti
governativi in Ukraina, Belgio, Portogallo, Romania, Repubblica Ceca e Irlanda; sono stati inoltre
attaccati un’importante fondazione di ricerca in Ungheria, un prestigioso istituto di ricerca, due think
tank (si è trattato, nella fattispecie, di centri di ricerca scientifica) ed un istituto fornitore di assistenza
sanitaria negli Stati Uniti. Complessivamente, sono state da noi individuate 59 vittime uniche di
MiniDuke, ubicate in 23 diversi paesi del globo.
Una delle caratteristiche più curiose ed interessanti degli attacchi informatici eseguiti attraverso il
malware in causa è rappresentata dal fatto che MiniDuke è risultato essere il frutto di una particolare ed
inedita combinazione tra un software nocivo di stampo “classico” - il cui codice, compatto e
notevolmente sofisticato, è stato in tutta evidenza sviluppato da virus writer appartenenti alla “vecchia
scuola” - e tecnologie piuttosto recenti ed avanzate, ma già ben affermate, volte allo sfruttamento di
determinate vulnerabilità scoperte in Adobe Reader.
Gli aggressori hanno provveduto ad inviare alle vittime predestinate dei documenti PDF nocivi, recanti
insidiosi exploit specificamente elaborati dagli autori di malware per colpire le versioni 9, 10 e 11 di
Adobe Reader. Tali documenti contenevano informazioni riguardanti un particolare seminario sui diritti
umani (ASEM), dati e dettagli sulla politica estera condotta dall’Ukraina e piani di adesione alla NATO. In
caso di esito positivo dell’azione dannosa svolta dall’exploit nel sistema informatico compromesso, sul
computer-vittima sarebbe stata recapitata una backdoor “unica”, personalizzata ad hoc per ogni sistema
sottoposto ad attacco, scritta in linguaggio Assembler e dalle dimensioni estremamente contenute (solo
20Kb).
E’ di particolare interesse rilevare come, nell’ambito degli assalti informatici condotti tramite l’attacktoolkit in questione, i malintenzionati abbiano utilizzato Twitter (all'insaputa degli utenti-vittima): per
ottenere gli indirizzi dei server di comando e controllo (C&C) e realizzare il successivo upload di ulteriori
moduli nocivi, la backdoor iniziava difatti a cercare i tweet specifici di account già in uso, creati dagli
stessi operatori dei server di comando di MiniDuke. Non appena il sistema informatico infetto stabiliva
la connessione con il server di controllo, esso iniziava a ricevere appositi moduli codificati (backdoor),
sotto forma di file GIF. Tali moduli dannosi erano provvisti di funzionalità piuttosto banali e ordinarie:
copia, spostamento e rimozione di file, creazione di directory, download di ulteriori programmi nocivi.
APT1
Sempre nel mese di febbraio dell’anno in corso, la società Mandiant ha pubblicato all’interno del proprio
sito web un esteso rapporto in formato PDF riguardo agli attacchi informatici condotti da un certo
gruppo di hacker cinesi, denominato APT1. L’acronimo APT (Advanced Persistent Threat), come si sa, è
ben conosciuto nell’ambito della sicurezza IT. Talvolta, tuttavia, esso viene utilizzato in maniera
impropria per indicare minacce o attacchi informatici che sono ben lungi dal risultare veramente di
natura «avanzata» o «persistente». Nel caso degli attacchi eseguiti dal gruppo APT1, però, queste
definizioni calzano a pennello, poiché la campagna di spionaggio lanciata dagli hacker cinesi ha davvero
assunto proporzioni serie e rilevanti.
Nella parte iniziale del suddetto report, Mandiant afferma che, presumibilmente, il termine APT1 indica
proprio una specifica unità dell’esercito della Repubblica Popolare Cinese. La società in questione riporta
persino il probabile indirizzo “fisico” dell’unità, e avanza precise supposizioni riguardo all’effettiva entità
di quest’ultima, nonché sulle infrastrutture da essa utilizzate. Mandiant presume che il gruppo APT1
abbia iniziato la propria attività già a partire dal 2006 e che, nel breve volgere di 6 anni, sia riuscito a
carpire terabyte di informazioni e dati relativi perlomeno a 141 diverse organizzazioni, ubicate - nella
maggior parte dei casi - in paesi anglofoni. Attacchi informatici di simile portata, indubbiamente, non
risultano possibili senza il supporto tangibile di centinaia di persone, e senza l’impiego di moderne
infrastrutture, particolarmente avanzate e sviluppate.
Non è la prima volta che, a vari livelli, vengono avanzate delle accuse nei confronti della Cina riguardo
alla presunta conduzione di cyber-attacchi rivolti ad enti governativi ed organizzazioni di vari paesi del
globo. Allo stesso modo, non costituisce certamente motivo di particolare sorpresa il fatto che il governo
cinese abbia respinto senza mezzi termini le supposizioni fatte nel caso specifico dalla società Mandiant.
Sottolineiamo come, sino ad oggi, nessun paese si sia mai dichiarato responsabile dell’effettuazione di
attacchi informatici condotti con chiari intenti spionistici, né abbia mai ammesso, nemmeno sotto la
pressione dell’opinione pubblica internazionale, di aver condotto precise campagne di cyber-spionaggio,
nonostante l’esistenza di prove di particolare rilevanza.
TeamSpy
Nel mese di marzo 2013 sono state pubblicate dettagliate informazioni riguardo ad un ulteriore attacco
informatico di particolare complessità, condotto all’interno di paesi facenti parte della Comunità degli
Stati Indipendenti (CSI) e in varie nazioni dell’Europa Orientale, nel corso del quale sono stati presi di
mira uomini politici di alto livello e noti attivisti impegnati nella difesa dei diritti umani. L’operazione è
stata definita «TeamSpy», poiché, per ottenere il pieno controllo dei computer-vittima, gli aggressori si
sono avvalsi del programma TeamViewer, noto tool del tutto legittimo, normalmente preposto
all’esecuzione di procedure di amministrazione da remoto. Nella circostanza, lo scopo principale degli
“attaccanti” era rappresentato dalla raccolta di dati e informazioni sensibili presenti sui computer degli
utenti sottoposti ad assalto informatico, ad iniziare dalla realizzazione di specifici screenshot, per
concludere con accurate operazioni di copiatura dei file provvisti di estensione .pgp, incluso password e
chiavi di crittografia.
Sebbene l’attack-toolkit utilizzato nell’ambito dell’operazione TeamSpy - e, nel complesso, l’operazione
stessa - risultino molto meno sofisticati e “professionali” rispetto agli strumenti utilizzati per la
conduzione della vasta e potente campagna di spionaggio Red October, esaminata in un precedente
capitolo del presente report, gli attacchi informatici classificati con la denominazione di TeamSpy non
sono affatto risultati infruttuosi per gli aggressori che li hanno orditi.
Stuxnet 0.5
In genere, nell’ambito dell’industria antivirus non vengono analizzati così di frequente incidenti virali,
legati alle attività del malware, per la cui soluzione si rendono necessari mesi e mesi di accurate e
laboriose indagini da parte di interi team di esperti di sicurezza IT. Ancor più rari sono quegli eventi
destinati a rimanere al centro dell’attenzione degli analisti per vari anni di seguito, così come è avvenuto
in occasione della scoperta del famigerato worm Stuxnet, ormai da quasi tre anni oggetto di
approfondite ricerche. Nonostante il suddetto malware sia già stato ampiamente esaminato da
numerose società produttrici di soluzioni antivirus, permane tuttora un consistente numero di moduli
nocivi ad esso riconducibili che non sono stati ancora sufficientemente “studiati”, oppure non sono stati
fatti in alcun modo oggetto di analisi da parte degli esperti del settore. Non bisogna poi dimenticare che
sono state individuate varie versioni del worm Stuxnet; come è noto, la più datata di esse risale
addirittura all’anno 2009. In passato, gli esperti hanno comunque a più riprese ipotizzato l’esistenza di
versioni addirittura precedenti del malware in causa (o che nel torbido panorama del malware le stesse
fossero tranquillamente in circolazione); fino a poco tempo fa, tuttavia, nessuno è stato mai in grado di
raccogliere, di fatto, prove definitive ed inequivocabili a tale riguardo.
Le ipotesi avanzate in precedenza dagli esperti hanno di recente trovato una precisa conferma. Verso la
fine dello scorso mese di febbraio, Symantec ha difatti pubblicato sul proprio blog ufficiale i risultati di
una ricerca condotta riguardo ad una nuova «vecchia» versione del suddetto worm: Stuxnet 0.5. Tale
versione, attivamente utilizzata tra il 2007 e il 2009 per la conduzione di attacchi informatici, è risultata
essere la più datata tra tutte le varianti di Stuxnet complessivamente individuate dagli esperti di
sicurezza IT. Si tratta di una singolare versione del worm in causa, che si contraddistingue per certe
caratteristiche particolarmente curiose ed interessanti di cui è provvista:
•
•
•
•
In primo luogo, essa è stata creata mediante l’utilizzo della stessa piattaforma impiegata dagli
autori di malware per lo sviluppo di Flame e non, come le successive varianti di Stuxnet, tramite
la piattaforma Tilded.
In secondo luogo, è stato rilevato che la diffusione del worm veniva realizzata attraverso
l’infezione di file creati con il software Simatic Step 7, sviluppato da Siemens, e che la «nuova»
versione di Stuxnet sottoposta ad analisi non conteneva alcun exploit appositamente elaborato
per colpire i prodotti Microsoft.
In terzo luogo, il processo di diffusione di Stuxnet 0.5 è improvvisamente cessato il 4 luglio 2009.
E’ infine risultato che proprio Stuxnet 0.5 era dotato di un payload dannoso pienamente
operativo nei confronti dei Programmable Logic Controller (PLC) Siemens 417 (nelle successive
versioni del malware - Stuxnet 1.x - tale funzionalità è invece risultata incompleta).
I risultati delle analisi condotte sul codice nocivo contenuto nel sample della versione 0.5 di Stuxnet
hanno permesso di aggiungere preziose informazioni riguardo alle specifiche caratteristiche di tale
programma nocivo, uno dei malware più sofisticati mai sviluppati dai virus writer. Con ogni probabilità,
nell’immediato futuro, ulteriori elementi di volta in volta individuati dagli analisti andranno ad integrare
le informazioni di cui attualmente disponiamo riguardo al famigerato worm. Lo stesso si può dire per i
sample di cyber-armi o per gli strumenti di cyber-spionaggio scoperti dopo il rilevamento di Stuxnet; ciò
che al giorno d’oggi sappiamo su di essi è ben lungi dal rappresentare qualcosa di completo e definitivo.
Gli attacchi mirati
Attacchi informatici contro attivisti tibetani e uiguri
Nel corso del primo trimestre del 2013 è continuata di gran lena la conduzione di attacchi informatici di
natura mirata nei confronti di attivisti tibetani e uiguri. Per raggiungere gli obiettivi che si erano prefissi,
gli aggressori di turno hanno usato ogni possibile mezzo e strumento: sono stati sottoposti ad attacco
utenti di Mac OS X, Windows e Android.
Durante gli scorsi mesi di gennaio e febbraio è stato da noi rilevato un sensibile aumento del numero di
attacchi mirati condotti nei confronti di utenti uiguri provvisti di sistema operativo Mac OS X. Tutti gli
assalti informatici in questione utilizzavano la vulnerabilità CVE-2009-0563, peraltro già chiusa da
Microsoft circa 4 anni fa. L’exploit in grado di sfruttare tale falla di sicurezza veniva recapitato sui
computer-vittima tramite appositi documenti MS Office, facilmente riconoscibili grazie al singolare
nome dell’autore indicato nelle proprietà del file, ovvero «captain». In caso di esito positivo dell’azione
nociva esercitata, tale exploit generava il download di un programma backdoor per Mac OS X, elaborato
sotto forma di file Mach-O. Si trattava, nella circostanza, di una backdoor di dimensioni decisamente
contenute, dotata di funzionalità molto limitate; essa provvedeva esclusivamente ad installare un
ulteriore programma backdoor ed un programma nocivo specificamente elaborato per realizzare il furto
dei dati personali (contatti).
Gli attacchi nei confronti degli attivisti tibetani sono stati invece da noi individuati a metà del mese di
marzo 2013. Nel caso specifico, gli aggressori utilizzavano l’exploit CVE-2013-0640, già menzionato
all’interno del nostro report (exploit precedentemente utilizzato nell’ambito degli attacchi ItaDuke), per
bypassare la «sandbox» presente in Acrobat Reader X ed infettare, in tal modo, i computer presi di mira.
Alla fine del mese di marzo 2013, l’ondata di attacchi informatici analizzata nel presente capitolo ha
colpito anche gli utenti dei dispositivi mobile equipaggiati con sistema operativo Android. Tutto è
iniziato con l’hacking dell’account di posta elettronica di un noto attivista tibetano, a nome del quale
sono stati inviati messaggi e-mail nocivi contenenti uno specifico allegato sotto forma di file con
estensione .APK, che si è rivelato essere, in realtà, un software nocivo destinato alla piattaforma
Android (i prodotti anti-malware di Kaspersky Lab rilevano tale programma dannoso come
Backdoor.AndroidOS.Chuli.a). Il malware in questione, dopo aver comunicato segretamente al proprio
server di comando il buon esito del processo di infezione del dispositivo-vittima, inizia a raccogliere le
informazioni e i dati custoditi all’interno di quest’ultimo: contatti, registri delle chiamate, messaggi SMS,
dati GPS, informazioni sul dispositivo stesso. Successivamente, il programma backdoor provvede a
criptare i dati sottratti, avvalendosi del sistema di codifica Base64, e ne effettua l’upload sul server di
comando. Le specifiche indagini da noi condotte relativamente al server di comando e controllo
utilizzato nell’ambito dei suddetti attacchi hanno evidenziato come gli aggressori utilizzassero, di fatto,
la lingua cinese.
Solo pochi giorni dopo che erano stati resi noti i risultati delle ricerche da noi eseguite, The Citizen Lab il noto laboratorio interdisciplinare insediato presso l'Università di Toronto - ha pubblicato una
dettagliata analisi riguardo ad un incidente virale del tutto simile. Il bersaglio di tale attacco informatico
era costituito, anch’esso, da utenti Android collegati, in un modo o nell’altro, con il Tibet e gli attivisti
tibetani. Nella fattispecie, il programma nocivo utilizzato possedeva funzionalità del tutto analoghe a
quelle sopra descritte (furto di informazioni personali); è poi emerso che si trattava, in pratica, di una
versione compromessa di Kakao Talk, il popolare client di instant messaging per dispositivi Android.
Attacchi hacking nei confronti dei network aziendali di importanti società tecnologiche
Desideriamo evidenziare come, nel primo trimestre dell’anno in corso, si siano purtroppo verificati
numerosi episodi di hacking nei confronti delle infrastrutture informatiche di note aziende di elevato
profilo tecnologico, volti a procurare, tra l’altro, consistenti fughe di password. Tra le “vittime” di tali
insistiti e sofisticati attacchi segnaliamo società del calibro di Apple, Facebook, Twitter, Evernote, ed
altre ancora.
All’inizio del mese di febbraio, ad esempio, Twitter ha ufficialmente dichiarato che ignoti aggressori
erano riusciti a realizzare il furto di dati (incluso le hash delle password) relativi a ben 250.000 utenti del
celebre social network. Appena due settimane dopo, attraverso il proprio blog, Facebook comunicava
che i laptop di alcuni suoi dipendenti erano stati infettati dal malware. L’incidente virale si era prodotto
a seguito della visita di un sito web compromesso, nella fattispecie un sito per sviluppatori di
applicazioni mobile, violato dai malintenzionati e contenente un pericoloso exploit. La società ha in
seguito dichiarato che non si è trattato di un comune assalto informatico, bensì di un vero e proprio
attacco mirato: il preciso obiettivo degli aggressori, difatti, era quello di penetrare all’interno del
network aziendale di Facebook. Fortunatamente, secondo quanto affermato dai rappresentanti della più
estesa rete sociale del pianeta, Facebook è riuscita ad evitare ogni possibile perdita di informazioni e di
dati relativi ai propri utenti.
Trascorsi pochi giorni, anche Apple dichiarava, da parte sua, che nei confronti di alcuni suoi dipendenti
era stato condotto esattamente lo stesso tipo di attacco informatico sopra descritto, verificatosi a
seguito della visita del suddetto sito web per sviluppatori mobile. Anche in tale circostanza, secondo
quanto affermato da Apple, non aveva avuto luogo alcuna fuga di dati.
All’inizio del mese di marzo, infine, la società Evernote ha comunicato a tutti i propri utenti (all’incirca 50
milioni) di provvedere a reimpostare al più presto la password utilizzata fino ad allora, allo scopo di
proteggere informazioni e contenuti riservati ad essi relativi. Tale decisione è scaturita a seguito di un
attacco hacker subito da Evernote, nel corso del quale i malintenzionati si sono introdotti nella rete
interna della società, tentando di ottenere l’accesso ai dati riservati in essa custoditi.
Per tutto il 2011 abbiamo assistito al manifestarsi di numerosi episodi di hacking di massa, nel corso dei
quali si sono verificate ripetute intrusioni nelle reti aziendali di varie società, con successive ingenti
fughe di dati. Sul momento, qualcuno ha forse pensato che, con il tempo, tali attacchi avrebbero potuto
progressivamente attenuarsi, fino a scomparire del tutto dalla scena della cybercriminalità: in realtà, gli
sviluppi si sono rivelati assai diversi. In effetti, così come nel recente passato, i malintenzionati
continuano tuttora a mostrarsi interessati alla conduzione di estese operazioni di hackeraggio nei
confronti delle infrastrutture informatiche di società di primaria importanza, con il preciso obiettivo di
carpire illegalmente informazioni e dati confidenziali (incluso quelli relativi agli utenti).
Il malware mobile
Nel mese di febbraio 2013 abbiamo pubblicato la Parte 6 del nostro consueto report sull’evoluzione
delle minacce informatiche specificamente «dedicate» a smartphone, tablet ed altri dispositivi mobile.
Secondo i dati raccolti ed elaborati dai nostri esperti, nel 2012 l’OS Android è divenuto di gran lunga il
principale obiettivo degli autori di malware mobile; complessivamente, nell’anno passato, abbiamo
assistito ad una crescita esplosiva del numero dei software nocivi specificamente creati dai virus writer
per infettare le piattaforme mobile. Ma la tendenza ad un rapido aumento del numero di programmi
nocivi destinati ai sistemi operativi mobile ha continuato a manifestarsi anche durante il primo trimestre
del 2013? La risposta, purtroppo, è affermativa.
Alcuni dati statistici
Gennaio, per tradizione, è un mese di relativa “calma” per ciò che riguarda l’attività degli autori di
programmi malware per dispositivi mobile; nel primo mese del 2013, in effetti, sono state da noi
complessivamente individuate “soltanto” 1.263 nuove varianti di malware mobile. Nel corso dei due
mesi successivi, però, abbiamo rilevato l’esistenza di oltre 20.000 nuovi sample di software nocivi
appositamente sviluppati per colpire i dispositivi mobile. Per la precisione, nel febbraio scorso sono
state scoperte 12.044 nuove varianti di malware mobile, mentre nel successivo mese di marzo il loro
numero ha raggiunto quota 9.443. Giudicate un po’ voi: lungo tutto l’arco del 2012, considerando tutte
le piattaforme mobile esistenti, erano stati da noi complessivamente individuati 40.059 sample di
programmi dannosi per smartphone, tablet ed altri apparecchi mobile.
I Trojan-SMS, responsabili dell’invio - non autorizzato da parte dell’utente - di messaggi SMS verso
costosi numeri a pagamento, continuano tuttora a rappresentare la categoria di malware mobile più
diffusa in assoluto; il 63,6% del volume complessivo di attacchi informatici compiuti attraverso il
dispiegamento di programmi nocivi per dispositivi mobile è difatti da imputare proprio ai famigerati
Trojan-SMS.
Il 99,9% dei nuovi malware mobile individuati nel corso del primo trimestre del 2013 è risultato essere
specificamente rivolto al sistema operativo Android.
In base ai dati raccolti tramite il servizio cloud KSN, la rete di sicurezza globale istituita da Kaspersky Lab,
la TOP-20 relativa agli oggetti nocivi (malware mobile e software potenzialmente indesiderati)
maggiormente diffusi sui dispositivi Android, si presenta nel modo seguente:
Posizione
Denominazione
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
Trojan-SMS.AndroidOS.FakeInst.a
Trojan.AndroidOS.Plangton.a
Trojan-SMS.AndroidOS.Opfake.a
Trojan-SMS.AndroidOS.Opfake.bo
Trojan-SMS.AndroidOS.Agent.a
Trojan-SMS.AndroidOS.Agent.u
RiskTool.AndroidOS.AveaSMS.a
Monitor.AndroidOS.Walien.a
Trojan-SMS.AndroidOS.FakeInst.ei
Trojan-SMS.AndroidOS.Agent.aq
Trojan-SMS.AndroidOS.Agent.ay
Trojan.AndroidOS.Fakerun.a
Monitor.AndroidOS.Trackplus.a
Adware.AndroidOS.Copycat.a
Trojan-Downloader.AndroidOS.Fav.a
Trojan-SMS.AndroidOS.FakeInst.ee
HackTool.AndroidOS.Penetho.a
% sul numero
complessivo di
attacchi
29,45%
18,78%
12,23%
11,49%
3,43%
2,54%
1,79%
1,60%
1,24%
1,10%
1,08%
0,78%
0,75%
0,69%
0,66%
0,55%
0,54%
18
19
20
RiskTool.AndroidOS.SMSreg.b
Trojan-SMS.AndroidOS.Agent.aa
HackTool.AndroidOS.FaceNiff.a
0,52%
0,48%
0,43%
La leadership della speciale graduatoria da noi stilata è andata ad appannaggio del malware mobile
denominato Trojan-SMS.AndroidOS.FakeInst.a (29,45%). Si tratta di un programma nocivo rivolto
principalmente agli utenti mobile ubicati sul territorio della Federazione Russa, preposto a generare il
download - da siti web dai contenuti quantomeno dubbi - dei più disparati software nocivi destinati ai
dispositivi mobile provvisti di OS Android. Spesso, all’interno di siti del genere, i malintenzionati
distribuiscono insidiosi programmi malware, mascherati sotto forma di software in apparenza utili.
Il secondo gradino del “podio” virtuale risulta occupato dal trojan “pubblicitario” classificato come
Trojan.AndroidOS.Plangton.a (18,78%). Plangton si incontra piuttosto di frequente in varie applicazioni
gratuite per smartphone Android: attraverso tale programma l’utente visualizza, a tutti gli effetti, dei
messaggi pubblicitari sullo schermo del proprio dispositivo mobile. Il software in questione è inoltre
provvisto di una specifica funzionalità nociva, volta a modificare la pagina web iniziale del programma di
navigazione in uso presso l’utente, la quale viene furtivamente cambiata senza che quest’ultimo possa
essere opportunamente avvisato e possa pertanto esprimere o meno il proprio consenso; è per tale
motivo che il comportamento del programma adware Plangton viene ritenuto dannoso nei confronti del
proprietario del dispositivo mobile. La principale area geografica di diffusione di tale software risulta
essere attualmente l’Europa; nei paesi del “vecchio” continente Plangton viene in effetti attivamente
utilizzato dagli sviluppatori di software gratuiti allo scopo di mostrare messaggi pubblicitari di ogni
genere agli utenti degli smartphone, con il chiaro intento di cercare di “monetizzare” il prodotto
realizzato.
In terza e quarta posizione, poi, si sono insediati due Trojan-SMS riconducibili alla famiglia Opfake:
Trojan-SMS.AndroidOS.Opfake.a (12,23%) e Trojan-SMS.AndroidOS.Opfake.bo (11,49%). Ricordiamo,
nella circostanza, come le prime varianti di malware mobile appartenente alla famiglia Opfake
risultassero inizialmente camuffate sotto forma di una nuova versione di Opera, il popolare browser
mobile. Attualmente, i programmi nocivi che recano il marchio della suddetta famiglia di malware si
spacciano invece per nuove versioni di software particolarmente diffusi presso il pubblico degli utenti
(Skype, Angry Birds e via dicendo).
Gli incidenti virali
Esamineremo qui di seguito due incidenti di particolare rilevanza che, nel corso del primo trimestre del
2013, si sono manifestati nello specifico segmento del malware appositamente sviluppato dai virus
writer per attaccare i dispositivi mobile:
•
•
individuazione del nuovo software nocivo denominato Perkele (o Perkel), specializzato nel “dare
la caccia” ai codici segreti mTAN;
creazione della botnet MTK.
Degli insistiti attacchi mirati condotti nei confronti degli utenti del sistema operativo Android - episodi di
indubbia rilevanza nell’ambito dei principali incidenti virali verificatisi nei primi mesi dell’anno corrente abbiamo già riferito in un precedente capitolo del nostro report trimestrale dedicato all’evoluzione del
malware.
Perkel
Nella prima metà del mese di marzo, il noto giornalista Brian Krebs ha individuato, all’interno di alcuni
forum “underground” in lingua russa varie informazioni riguardo ad un nuovo trojan-banker per
dispositivi mobile, destinato agli utenti di ben 69 diversi paesi, resosi già responsabile di un
considerevole numero di infezioni informatiche in ogni angolo del globo. Krebs ha ipotizzato che il trojan
in questione fosse stato creato da virus writer di lingua russa, visto che il toolkit necessario per
sviluppare tale software nocivo viene abitualmente diffuso attraverso forum per utenti russi.
Notizie del genere, ovviamente, attirano immediatamente l’attenzione degli esperti di sicurezza IT che
operano all’interno delle società produttrici di soluzioni antivirus; fino a quel momento, tuttavia,
nessuno ancora disponeva di alcun sample relativo al suddetto programma malware.
Qualche giorno dopo, in ogni caso, sono state rilevate le prime varianti del trojan Perkel. Le analisi da
noi condotte sul nuovo malware individuato hanno subito evidenziato come, con la sua scoperta, il già
nutrito gruppo di programmi malware specializzati nel furto dei codici mTAN contenuti negli SMS inviati
dagli istituti bancari ai propri clienti, si fosse ulteriormente infoltito. Le funzionalità di cui è provvisto il
trojan-banker in causa sono quelle tipiche dei programmi riconducibili a tale tipologia di malware;
segnaliamo, tuttavia, due specifici tratti distintivi che conferiscono a Perkel un marcato carattere di
“unicità”:
1. per comunicare con il server di comando e controllo, e per effettuare l’upload dei dati e delle
informazioni sensibili sottratte agli utenti (oltre ai codici segreti mTAN contenuti nei messaggi
SMS - trasmessi dalle banche ai propri clienti per il perfezionamento delle operazioni di banking
online - il malware qui esaminato raccoglie ugualmente varie informazioni relative al dispositivo
mobile preso di mira) il trojan Perkel, di regola, non si avvale di messaggi SMS, bensì utilizza il
normale protocollo HTTP.
2. Tale software nocivo è in grado di auto-aggiornarsi, scaricando una nuova copia di se stesso dal
server remoto di riferimento.
La botnet mobile MTK
A metà gennaio sono comparse varie notizie riguardo all’esistenza di una botnet di vaste proporzioni,
composta da circa un milione di dispositivi mobile “zombie” equipaggiati con sistema operativo Android
ed appartenenti, principalmente, ad utenti cinesi. E’ poi risultato essere l’artefice della creazione e dello
sviluppo di tale estesa botnet mobile un insidioso programma malware distribuito dai malintenzionati
sul territorio della Repubblica Popolare Cinese (le soluzioni antivirus di Kaspersky Lab rilevano tale
software nocivo come Trojan.AndroidOS.MTK). Esso si diffonde attraverso siti web appartenenti alla
categoria degli app store non ufficiali per la piattaforma Android, particolarmente diffusi in Cina; nella
fattispecie, la distribuzione avviene tramite giochi - compromessi dal malware - che godono di notevole
popolarità presso gli utenti mobile. Oltre che per eseguire il furto delle informazioni relative allo
smartphone, dei contatti e dei messaggi presenti nel dispositivo, i programmi nocivi riconducibili a tale
famiglia di malware vengono utilizzati dai cybercriminali allo scopo di “gonfiare” artificialmente la
popolarità di numerose applicazioni. Per raggiungere tale obiettivo, i trojan in questione generano, a
totale insaputa dell’utente, il download e la successiva installazione di tali applicazioni sullo smartphonevittima; al tempo stesso, sul sito dell’app store, viene assegnato il rating più elevato al software
scaricato sul dispositivo dell’utente. Una volta compiute le operazioni qui sopra descritte, i suddetti
malware mobile provvedono ad interfacciarsi con il server remoto, per comunicare a quest’ultimo le
attività nel frattempo eseguite. Come è noto, il numero delle applicazioni sviluppate per l’OS Android è
in costante e repentina crescita, per cui risulta spesso alquanto complicato e difficile, per le applicazioni
di volta in volta elaborate, acquisire l’auspicato grado di popolarità presso il pubblico degli utenti
mobile. E’ proprio per tale specifico motivo che metodi del genere, utilizzati per accrescere illecitamente
il livello di popolarità di un’applicazione, stanno purtroppo trovando una diffusione sempre più ampia
nel panorama del malware.
Revoca di certificati digitali emessi da TurkTrust
Nel primo trimestre del 2013 si è verificato un ulteriore incidente di particolare rilevanza per ciò che
riguarda, nello specifico, la sfera dei certificati digitali. Microsoft, Mozilla e Google hanno annunciato
all’unisono la revoca di due certificati digitali emessi da TurkTrust, immediatamente rimossi dai
database dei rispettivi browser web.
E’ difatti emerso che, nel mese di agosto dello scorso anno, l’Autorità di Certificazione turca denominata
TurkTrust aveva rilasciato a due diverse società dei certificati digitali “intermedi”, invece dei consueti
certificati SSL. Certificati del genere possono essere utilizzati per la successiva emissione di certificati SSL
standard, che i browser web ritengono poi sicuri ed affidabili durante la navigazione in Rete da parte
dell’utente.
Nel mese di dicembre, Google ha scoperto che uno dei certificati emessi a nome della suddetta
Certificate Authority veniva illecitamente utilizzato per ricreare l'identità del dominio <google.com>,
nell’ambito di attacchi informatici del tipo «man-in-the middle». Naturalmente, l’episodio dell’attacco
registratosi nei confronti di Google non esclude l’eventualità che altri certificati digitali, rilasciati con le
medesime modalità, possano essere stati agevolmente impiegati da malintenzionati in attacchi analoghi,
rivolti ad altre società.
L’ennesimo incidente legato all’emissione di certificati digitali e alla loro attendibilità, ha ancora una
volta dimostrato come il serio problema dell’utilizzo nocivo di certificati del tutto legittimi risulti tuttora
di estrema attualità. L’impiego di tali certificati per fini illeciti può essere difatti rilevato soltanto ad
attacco informatico già avvenuto: non esistono, per il momento, metodi efficaci che consentano di poter
prevenire il verificarsi di simili incidenti di sicurezza IT.
Le statistiche
Tutti i dati statistici riportati nel presente resoconto trimestrale sono stati ottenuti attraverso le speciali
soluzioni anti-virus implementate nel Kaspersky Security Network (KSN), grazie all'attività svolta da vari
componenti ed elementi di sicurezza IT, impiegati per assicurare un'efficace e pronta protezione nei
confronti dei programmi malware. Essi sono stati ricevuti tramite gli utenti di KSN che hanno
previamente fornito l'assenso per effettuare la trasmissione di dati statistici ai nostri analisti. A questo
sofisticato sistema di scambio di informazioni su scala globale, riguardo alle pericolose attività condotte
dal malware, prendono parte vari milioni di utenti dei prodotti Kaspersky Lab, ubicati in 213 diversi paesi
e territori del globo.
Le minacce in Internet
I dati statistici esaminati in questo capitolo del nostro consueto report trimestrale sull’evoluzione del
malware sono stati ottenuti sulla base delle attività svolte dall'anti-virus web, preposto alla protezione
dei computer degli utenti nel momento in cui dovesse essere effettuato il download di codice nocivo da
una pagina web infetta. Possono risultare infetti sia i siti Internet appositamente allestiti dai
cybercriminali, sia le risorse web il cui contenuto viene determinato dagli stessi utenti della Rete (ad
esempio i forum), così come i siti legittimi violati.
Oggetti infetti rilevati in Internet
Nel primo trimestre del 2013 le soluzioni anti-malware di Kaspersky Lab hanno complessivamente
respinto ben 821.379.647 attacchi condotti attraverso siti Internet compromessi dislocati in vari paesi.
TOP-20 relativa agli oggetti infetti rilevati in Internet
Posizione
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
Denominazione*
Malicious URL
Trojan.Script.Generic
AdWare.Win32.Bromngr.b
Trojan.Script.Iframer
Exploit.Script.Blocker
Trojan.JS.Redirector.xa
Hoax.SWF.FakeAntivirus.i
Trojan.Win32.Generic
AdWare.Win32.MegaSearch.am
Trojan-Downloader.Win32.Generic
Exploit.Script.Blocker.u
AdWare.Win32.IBryte.heur
Exploit.JS.Retkid.a
Exploit.Script.Generic
Hoax.HTML.FraudLoad.i
Exploit.Win32.CVE-2011-3402.c
Packed.Multi.MultiPacked.gen
Trojan-Clicker.HTML.Agent.bt
WebToolbar.Win32.BetterInstaller.gen
Trojan.JS.Redirector.xb
% sul totale
complessivo degli
attacchi**
91,44%
2,79%
1,91%
0,73%
0,70%
0,33%
0,22%
0,17%
0,13%
0,09%
0,07%
0,05%
0,05%
0,05%
0,04%
0,04%
0,04%
0,04%
0,03%
0,03%
* Oggetti infetti neutralizzati sulla base dei rilevamenti effettuati dal componente anti-virus web; le
informazioni sono state ricevute tramite gli utenti dei prodotti Kaspersky Lab che hanno previamente fornito
l'assenso per effettuare la trasmissione di dati statistici ai nostri analisti.
** Quota percentuale sul totale complessivo degli attacchi web rilevati sui computer di utenti unici.
Come si evince dalla tabella sopra riportata, al primo posto della speciale TOP-20 dedicata agli oggetti
nocivi rilevati in Internet figurano ancora una volta gli URL nocivi - ovverosia quei link che conducono a
programmi malware di vario tipo - con una quota pari al 91,4% del volume complessivo dei rilevamenti
eseguiti dal modulo anti-virus web (+ 0,5% rispetto all'analogo valore riscontrato nel quarto trimestre
del 2012). Desideriamo evidenziare, nella circostanza, come l’utilizzo delle sofisticate tecnologie di
protezione IT implementate nella rete di sicurezza globale KSN, che prevedono aggiornamenti istantanei
sui computer degli utenti attraverso la «nuvola telematica», abbia consentito di bloccare il 6,6% dei link
dannosi. In precedenza, tali oggetti infetti venivano da noi identificati con la denominazione generica
“Blocked”. Si tratta, in sostanza, di indirizzi Internet inseriti nella nostra blacklist, relativi ad un
consistente numero di siti nocivi verso i quali vengono reindirizzati gli ignari utenti-vittima; in genere,
tali pagine web contengono kit di exploit, bot, trojan “estorsori”, etc. Nella maggior parte dei casi, gli
utenti giungono sui siti web dannosi dopo aver visitato con il proprio browser risorse Internet del tutto
legittime - ma violate dai cybercriminali - all'interno delle quali i malintenzionati hanno provveduto ad
iniettare pericolosi codici dannosi, spesso sotto forma di script nocivi (tale tipologia di attacco
informatico viene definita dagli esperti di sicurezza IT con l'appellativo di “drive-by download”). Al
tempo stesso, esiste in Rete un ragguardevole numero di siti web nocivi creati espressamente dai
malfattori per lanciare pericolosi attacchi nei confronti dei computer-vittima. E’ facile quindi
comprendere come risulti di fondamentale importanza poter disporre, sul proprio computer, di
un’efficace soluzione anti-malware. Oltre a ciò, le infezioni informatiche possono prodursi anche quando
gli utenti cliccano in maniera volontaria su collegamenti ipertestuali potenzialmente pericolosi, ad
esempio nel momento in cui essi procedono alla ricerca sul web dei più svariati contenuti pirata.
Così come in precedenza, sono entrati a far parte della TOP-5 della classifica esaminata nel presente
capitolo del report trimestrale sulle attività del malware gli oggetti nocivi rilevati nei computer degli
utenti come Trojan.Script.Generic (2° posto) e Trojan.Script.Iframer (4° posto). Tali software nocivi
vengono abitualmente bloccati e neutralizzati dalle nostre soluzioni di sicurezza IT durante i tentativi di
conduzione di attacchi di tipo “drive-by”, i quali rappresentano, al giorno d’oggi, uno dei metodi in
assoluto più diffusi per generare infezioni informatiche sui computer-vittima.
La settima posizione del rating qui analizzato risulta occupata dal malware classificato con la
denominazione di Hoax.SWF.FakeAntivirus.i. Si tratta, di fatto, di un antivirus fasullo, generalmente
distribuito dai malintenzionati tramite vari siti web dai contenuti piuttosto ambigui e discutibili. Se
l’ignaro utente visita i siti Internet in questione, sulla finestra del browser utilizzato per l’esplorazione
della Rete viene improvvisamente eseguita un’animazione Flash, attraverso la quale viene simulato il
funzionamento di un classico programma antivirus. La «verifica» effettuata dal software fasullo
evidenzia la «presenza», all’interno del computer-vittima, di un enorme numero di programmi malware
altamente pericolosi. A questo punto, allo scopo di eliminare al più presto i software nocivi «rilevati», i
malintenzionati propongono all’utente l’impiego di una speciale soluzione di sicurezza informatica; per
poterne beneficiare, la vittima del raggiro dovrà semplicemente procedere all’invio di un messaggio SMS
verso un numero breve; sarà così inviato un apposito link che permetterà di effettuare il downolad del
«miracoloso» programma antivirus, in grado di rimuovere ogni traccia di malware dal computer
sottoposto a «contagio».
E’ inoltre di particolare interesse osservare come il malware denominato Hoax.HTML.FraudLoad.i collocatosi al 15° posto del rating qui sopra riportato - faccia ormai ininterrottamente parte, da alcuni
mesi, della TOP-20 relativa agli oggetti infetti rilevati in Internet. Con questa insidiosa minaccia
informatica si trovano ad avere a che fare soprattutto coloro che si dilettano a scaricare gratuitamente
da Internet - da siti web dai contenuti alquanto dubbi ed equivoci - ogni genere di film, serial e software.
Il suddetto programma nocivo si presenta sotto forma di allettanti pagine web che “promettono” agli
utenti di poter agevolmente realizzare il download di numerosi contenuti; per raggiungere lo scopo,
tuttavia, è prima richiesto l’invio di un messaggio SMS a pagamento, oppure l’inserimento nell’apposito
form del proprio numero di telefono cellulare, per la sottoscrizione di un abbonamento a pagamento.
Una volta inviato il messaggio o introdotto il numero di telefono, anziché ottenere gli agognati
contenuti, l’utente riceverà sul proprio dispositivo un file txt contenente istruzioni generiche per
l’utilizzo dei motori di ricerca, oppure - eventualità ancora peggiore - un vero e proprio programma
nocivo.
Concludiamo la nostra breve rassegna sugli oggetti nocivi più frequentemente rilevati nel World Wide
Web, evidenziando la presenza, al 16° posto della speciale graduatoria da noi stilata, dell’exploit
denominato Exploit.Win32.CVE-2011-3402.c. Esso è stato appositamente sviluppato dai virus writer allo
scopo di sfruttare la vulnerabilità individuata nella libreria <win32k.sys> (TrueType Font Parsing
Vulnerability). Sottolineiamo come tale falla di sicurezza sia stata ugualmente utilizzata dai
malintenzionati per realizzare la diffusione del worm Duqu.
Paesi nelle cui risorse web si celano maggiormente i programmi malware
I dati statistici qui di seguito riportati evidenziano in quali paesi risultano “fisicamente” collocati i siti
web dai quali vengono scaricati i software nocivi che infestano la Rete. Per determinare l'origine
geografica degli attacchi informatici portati tramite web è stato applicato il metodo che prevede la
debita comparazione del nome di dominio con il reale indirizzo IP nel quale tale dominio risulta
effettivamente collocato; si è allo stesso modo fatto ricorso all'accertamento della collocazione
geografica di tale indirizzo IP (GEOIP).
Rileviamo in primo luogo come, relativamente al primo trimestre del 2013, l' 81% delle risorse web
utilizzate per la distribuzione di programmi nocivi da parte dei malintenzionati della Rete risulti
concentrato in una ristretta cerchia di dieci paesi, evidenziati nel grafico qui sotto rappresentato.
L'indice sopra menzionato ha fatto pertanto complessivamente registrare, nel corso dell’ultimo
semestre, un decremento di 5 punti percentuali: esso è diminuito del 3% nel primo trimestre del 2013,
mentre ha manifestato una flessione del 2% nel quarto trimestre del 2012.
Distribuzione geografica delle risorse web contenenti programmi nocivi (ripartizione per paesi) Situazione relativa al primo trimestre del 2013
Ci pare innanzitutto doveroso sottolineare come la TOP-10 analizzata in questo capitolo del nostro
consueto report trimestrale dedicato all’evoluzione del malware presenti una nuova leadership: sul
gradino più alto del “podio” virtuale - precedentemente occupato dalla Federazione Russa - si sono in
effetti insediati ancora una volta gli USA. Nel primo trimestre dell’anno in corso la quota riconducibile
alla Russia ha fatto registrare un valore pari al 19% (- 6%), mentre l’indice relativo agli Stati Uniti ha
raggiunto il 25% (+ 3%); è curioso osservare come, per l’ennesima volta, i due suddetti paesi si siano
scambiati la rispettiva posizione occupata in classifica. Le quote relative agli altri paesi presenti in
graduatoria sono rimaste sostanzialmente invariate rispetto all’analogo rating relativo al quarto
trimestre dello scorso anno.
Paesi i cui utenti sono risultati sottoposti ai maggiori rischi di infezioni informatiche diffuse
attraverso Internet
Al fine di valutare nel modo più definito possibile il livello di rischio esistente riguardo alle infezioni
informatiche distribuite via web - rischio al quale risultano sottoposti i computer degli utenti nei vari
paesi del globo - abbiamo stimato la frequenza con la quale, nel corso del trimestre qui analizzato, gli
utenti dei prodotti Kaspersky Lab, ubicati nelle varie regioni geografiche mondiali, hanno visto entrare in
azione il modulo anti-virus specificamente dedicato al rilevamento delle minacce IT presenti nel World
Wide Web. Evidenziamo come l’indice in questione non dipenda, in ogni caso, dal numero di utenti del
Kaspersky Security Network presenti in un determinato paese.
I 20 paesi* nei quali si è registrato il maggior numero di tentativi di infezione dei computer degli utenti
tramite Internet**. Situazione relativa al primo trimestre del 2013
* Nell'effettuare i calcoli statistici non abbiamo tenuto conto di quei paesi in cui il numero di utenti delle
soluzioni anti-virus di Kaspersky Lab risulta ancora relativamente contenuto (meno di 10.000 utenti).
** Quote percentuali relative al numero di utenti unici sottoposti ad attacchi web rispetto al numero
complessivo di utenti unici dei prodotti Kaspersky Lab nel paese.
Rispetto al quarto trimestre del 2012, le prime dieci posizioni della graduatoria relativa ai paesi i cui
utenti sono risultati sottoposti con maggiore frequenza ai rischi di infezioni informatiche diffuse
attraverso il World Wide Web, sono rimaste in sostanza immutate. Così come in precedenza, la TOP-10
in questione risulta interamente composta da paesi ubicati nello spazio geografico post-sovietico. La
Russia, ad esempio, con una quota pari al 57%, è andata ad occupare la terza piazza del rating da noi
stilato. Alcuni interessanti cambiamenti si sono tuttavia prodotti nella seconda parte della classifica
sopra riportata: nel primo trimestre del 2013, in effetti, sono entrate a far parte della TOP-20 in causa
sia la Tunisia (43,1%) che l’Algeria (39%). L’unico paese dell’Europa Occidentale presente nella suddetta
graduatoria risulta essere l’Italia, collocatasi in sedicesima posizione con un indice pari al 39,9%.
In base al livello di «contaminazione» informatica cui sono stati sottoposti i computer degli utenti nel
trimestre preso in esame, risulta possibile suddividere i vari paesi del globo in gruppi distinti.
1. Gruppo a massimo rischio
rischio. Esso comprende quei paesi in cui oltre il 60% degli utenti dell
della Rete almeno una volta - si è imbattuto negli insidiosi malware circolanti in Internet. Rileviamo come nel
primo
o trimestre del 201
2013 sia tuttavia entrato a far parte di questa categoria,
categoria particolarmente
critica, un solo paese, il Tajikistan (60,4%)
(60,4%).
2. Gruppo
ppo ad alto rischio. Sono entrati a far parte di tale gruppo - contraddistinto da quote che
vanno dal 41% al 60% - esattamente 1
13 dei 20 paesi che compongono la Top
Top-20 (ovvero lo stesso
numero di paesi rilevato nel quarto trimestre del 2012). Evidenziamo come
ome, ad eccezione di
Vietnam, Tunisia e Sri Lanka - che peraltro occupano le posizioni di coda di questo secondo gruppo
- si trovino nella
la categoria “ad alto rischio” esclusivamente paesi situati nello spazio geografico
post-sovietico,, quali Armenia (59,5%), Russia (57%), Kazakhstan (56,8%),, Azerbaijan (56,7%),
Bielorussia (49,9%) e Ukraina (49%).
3. Gruppo a rischio. Esso è relativo agli indici percentuali che spaziano nel range 21% - 40%.
Complessivamente, sono entrati a far parte di questo terzo gruppo
o ben 102 paesi, tra cui Italia
(39,9%), Germania (36,6%), Francia (35,8%), Belgio (33,8%), Sudan (33,1%), Spagna (32,5%), Qatar
(31,9%), Stati Uniti (31,6%), Irlanda (31,5%), Gran Bretagna (30,2%), Emirati Arabi Uniti (28,7%) e
Paesi Bassi (26,9%).
o dei paesi nei quali la navigazione in Internet risulta più sicura. Per ciò che riguarda il
4. Gruppo
primo trimestre del 201
2013, figurano in tale gruppo 28 paesi, i quali presentano quote comprese
nella forchetta 12,5-21%.
21%. Gli indici percentuali più bassi in assoluto (quote inferiori al 20%),
relativamente al numero di utenti sottoposti ad attacchi informatici attraverso il web,
web sono stati
registrati per i paesi africani, nazioni caratterizzate - come è noto - da un debole sviluppo delle
infrastrutture Internet. Rappresentano quindi un’eccezione, nell’ambito della categoria relativa ai
paesi nei quali il surfing in Rete risulta più sicuro, il Giappone (15,6%) e la Slovacchia (19,9%).
Quadro globale dei paesi i cui utenti sono risultati sottoposti al rischio di infezioni informatiche attraverso Internet Situazione relativa al 1° trimestre del 2013
In media, nel corso del trimestre qui preso in esame, il 39,1% del numero complessivo di computer
facenti parte del Kaspersky Security Network ha subito almeno un attacco informatico durante la
quotidiana navigazione in Internet da parte degli utenti della Rete. Sottolineiamo inoltre come, rispetto
al quarto trimestre del 2012,, la quota percentuale media di computer sottoposti ad attacchi durante
l'esplorazione del web - e, di conseguenza, esposti al rischio di pericolose infezioni informatiche - abbia
fatto registrare un incremento
cremento pari al
all’ 1,5%.
Minacce informatiche locali
Il presente capitolo del nostro consueto report trimestrale dedicato all'evoluzione delle minacce
informatiche analizza i dati statistici ottenuti grazie alle attività di sicurezza IT svolte dal modulo
antivirus (preposto ad effettuare la scansione dei file presenti sul disco rigido al momento della loro
creazione o quando si vuole accedere ad essi), unitamente alle statistiche relative ai processi di
scansione condotti sui vari supporti rimovibili.
Oggetti nocivi rilevati nei computer degli utenti
Nell'arco del primo trimestre del 2013 le nostre soluzioni antivirus hanno bloccato 490.966.403 tentativi
di infezione locale sui computer degli utenti facenti parte della rete globale di sicurezza Kaspersky
Security Network.
Oggetti nocivi rilevati nei computer degli utenti: TOP-20
Posizione
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
Denominazione
DangerousObject.Multi.Generic
Trojan.Win32.Generic
Trojan.Win32.AutoRun.gen
Virus.Win32.Sality.gen
Exploit.Win32.CVE-2010-2568.gen
Trojan.Win32.Starter.yy
Net-Worm.Win32.Kido.ih
HiddenObject.Multi.Generic
Trojan.Win32.Hosts2.gen
Virus.Win32.Nimnul.a
Virus.Win32.Generic
Net-Worm.Win32.Kido.ir
Trojan.Script.Generic
AdWare.Win32.Bromngr.b
Exploit.Java.CVE-2012-1723.gen
Trojan.Win32.Starter.lgb
Trojan-Downloader.Win32.Generic
AdWare.Win32.Bromngr.h
Hoax.Win32.ArchSMS.gen
Trojan-Dropper.VBS.Agent.bp
% di utenti unici sottoposti ad
attacco*
18,51%
16,04%
13,60%
8,43%
6,93%
5,11%
3,46%
3,25%
3,17%
3,13%
3,09%
2,85%
2,54%
2,51%
2,38%
2,38%
2,13%
2,11%
2,09%
1,97%
I dati statistici sopra indicati sono stati elaborati sulla base dei rilevamenti effettuati dai moduli anti-virus
OAS (scanner on-access) e ODS (scanner on-demand). Le informazioni sono state ricevute tramite gli utenti
dei prodotti Kaspersky Lab che hanno previamente fornito l'assenso per effettuare la trasmissione di dati
statistici ai nostri analisti.
* Quote percentuali relative agli utenti unici sui computer dei quali l'anti-virus ha rilevato l'oggetto maligno.
Le quote indicate si riferiscono al totale complessivo degli utenti unici dei prodotti Kaspersky Lab, presso i
quali sono stati eseguiti rilevamenti da parte dell'anti-virus.
Così come in precedenza, le prime tre posizioni della speciale graduatoria relativa al primo trimestre del
2013 sono andate ad appannaggio dei tre oggetti nocivi che tradizionalmente detengono la leadership
del rating qui analizzato, peraltro con un notevole margine percentuale rispetto ai diretti “concorrenti”.
Sul primo gradino del “podio” virtuale si sono collocati i programmi malware classificati con la
denominazione di DangerousObject.Multi.Generic; la quota percentuale ad essi attribuibile è risultata
pari al 18,51% del numero totale di utenti unici dei prodotti Kaspersky Lab presso i quali, durante il
primo trimestre dell’anno in corso, sono stati eseguiti rilevamenti da parte del nostro modulo anti-virus
(+ 1,8% rispetto all’analogo valore riscontrato nel quarto trimestre del 2012). Tali software dannosi
vengono rilevati con l'ausilio delle nuove ed avanzate tecnologie «in-the-cloud», le quali intervengono
proprio quando non esiste ancora, all'interno di un database anti-virus, la firma di un determinato
software nocivo, né risulta possibile l'applicazione del metodo di rilevamento euristico, mentre la
società produttrice di soluzioni anti-malware - nella fattispecie Kaspersky Lab - dispone già, nella propria
«nuvola telematica», delle informazioni relative all'oggetto nocivo in questione. In tal caso, all'oggetto
individuato e neutralizzato viene assegnata la denominazione di DangerousObject.Multi.Generic. Di
fatto, al giorno d’oggi, i programmi nocivi di più recente apparizione sulla scena del malware vengono in
primo luogo rilevati tramite le sofisticate tecnologie «in-the-cloud».
La seconda piazza della graduatoria sopra riportata risulta occupata dal malware denominato
Trojan.Win32.Generic (16%); esso viene individuato tramite analizzatore euristico, nel corso delle
procedure di rilevamento proattivo effettuate su un cospicuo numero di software nocivi. Al terzo posto
del rating in questione troviamo poi Trojan.Win32.AutoRun.gen (13,6%); vengono classificati con tale
denominazione determinati programmi malware che si avvalgono del meccanismo di autorun.
I programmi AdWare riconducibili alla famiglia di software “pubblicitari” denominata
AdWare.Win32.Bromngr sono comparsi per la prima volta all’interno della TOP-20 qui analizzata nel
quarto trimestre del 2012, collocandosi, nella circostanza, all’ottavo posto del rating. Nel primo
trimestre del 2013, tali software sono andati ad occupare ben due diverse posizioni all’interno della
classifica qui sopra inserita (14° e 18° posto). Tutte le varianti dei suddetti moduli AdWare sono in
pratica costituite da librerie DLL, concepite sotto forma di estensioni (add-on) per i browser che godono
di maggiore popolarità presso il pubblico della Rete (Internet Explorer, Mozilla Firefox, Google Chrome).
Come la maggior parte dei programmi appartenenti a tale specifica tipologia, il suddetto modulo è in
grado di modificare le impostazioni di ricerca precedentemente stabilite dall’utente, nonché la pagina
iniziale del programma di navigazione; allo stesso modo, l’AdWare in questione si manifesta
periodicamente sullo schermo del “computer-vittima”, creando apposite finestre di pop-up con i più
disparati annunci pubblicitari.
Paesi nei quali i computer degli utenti sono risultati sottoposti al rischio più elevato di
infezioni informatiche locali
E' stata da noi determinata la ripartizione per singoli paesi delle quote percentuali di utenti del
Kaspersky Security Network sui computer dei quali, nel corso del primo trimestre del 2013, sono stati
bloccati tentativi di infezione informatica di natura «locale». Le cifre ricavate dalle elaborazioni
statistiche da noi eseguite riflettono pertanto i valori medi relativi al rischio di contaminazione «locale»
esistente sui computer degli utenti nei vari paesi del globo. La graduatoria da noi stilata si riferisce
esclusivamente a quei paesi in cui, al momento attuale, si contano oltre 10.000 utenti delle soluzioni
anti-virus di Kaspersky Lab. In media, nel 31,4% del totale complessivo dei computer facenti parte del
Kaspersky Security Network (KSN) - in pratica in un computer su tre - è stato individuato perlomeno una
volta un file dannoso, residente nel disco rigido o in supporti rimovibili collegati al computer; tale valore
ha fatto registrare una diminuzione dello 0,8% rispetto all’analogo indice riscontrato nel trimestre
precedente.
Livello di «contaminazione» informatica rilevato nei computer degli utenti KSN* TOP-20 dei paesi sottoposti al rischio più elevato di infezioni informatiche locali**.
Dati relativi al primo trimestre del 2013
* Quote percentuali relative al numero di utenti unici sui computer dei quali sono state bloccate minacce informatiche locali,
rispetto al numero complessivo di utenti unici dei prodotti Kaspersky Lab nel paese.
** Nell'effettuare i calcoli statistici non abbiamo tenuto conto di quei paesi in cui il numero di utenti delle soluzioni anti-virus
di Kaspersky Lab risulta ancora relativamente contenuto (meno di 10.000 utenti).
Desideriamo sottolineare come, per il quarto trimestre consecutivo, le prime venti posizioni del rating
qui sopra riportato risultino quasi interamente occupate da paesi ubicati nel continente africano, in
Medio Oriente e nel Sud-Est asiatico. La quota relativa al Bangladesh, tradizionale leader della speciale
classifica da noi stilata - basata sul numero di computer nei quali i nostri prodotti anti-malware hanno
individuato e bloccato pericolosi programmi malware - è ulteriormente diminuita (stavolta dell’ 11,8%)
attestandosi in tal modo su un valore pari al 67,8%. Ricordiamo nella circostanza come, nel terzo
trimestre del 2012, l’indice attribuibile al popoloso paese situato nel sub-continente indiano avesse fatto
segnare un valore estremamente elevato, pari addirittura al 90,9%.
Così come per le infezioni informatiche che si diffondono attraverso il World Wide Web, anche
relativamente alle minacce IT che si manifestano localmente sui computer degli utenti, risulta possibile
stilare una sorta di graduatoria «geografica», suddividendo i vari paesi del globo in categorie ben
distinte, a seconda del livello di «contaminazione» informatica che ha contraddistinto questi ultimi nel
corso del primo trimestre dell'anno.
1. Massimo livello di rischio di infezione informatica. Secondo i dati da noi raccolti ed elaborati
relativamente al primo trimestre del 2013, tale gruppo, che si contraddistingue per un indice di
rischio di «contaminazione» informatica superiore al 60% di utenti unici, è risultato essere
composto di due sole unità. In esso figurano difatti esclusivamente 2 paesi, entrambi ubicati nella
macro-regione asiatica: Bangladesh (67,8%) e Vietnam (60,2%).
2. Elevato livello di rischio di infezione informatica
informatica. Di questo secondo raggruppamento, la cui
forbice percentuale spazia dal 41 al 60%, fanno parte be
ben 41 paesi, tra cui Iraq (50,9%), Siria
(45,5%), Birmania (44,5%), Angola (42,3%) e Armenia (41,4%).
3. Medio livello di rischio di infezione informatica. Il terzo gruppo (21 - 40%) annovera invece 60
nazioni, tra cui Cina (37,6%), Qatar (34,6%), Russia (34,3%), Ukraina (33,6%), Libano (32,4%),
Croazia (26,1%), Spagna (26%), Italia (23,8%), Francia (23,4%), Cipro (23,3%).
4. Minimo livello di rischio di infezione informatica. Nel primo trimestre dell’anno in corso sono
entrati a far parte di tale gruppo (quota di utenti unici pari o inferiore al 21%) 31 nazioni, tra cui
Belgio (19,3%), Stati Uniti (19%), Gran Bretagna (18,6%), Australia (17,5%), Germania (17,7%),
Estonia (17,8%), Paesi Bassi (16,2%), Svezia (14,6%), Danimarca (12,1%) e Giappone (9,1%).
Quadro mondiale relativo al rischio del prodursi di infezioni informatiche “locali” sui computer degli utenti
ubicati nei vari paesi. Situazione relativa al primo trimestre del 2013
La TOP-10
10 qui sotto inserita si riferisce a quei paesi che vantano in assoluto le quote percentuali più
basse in termini di rischio di contagio dei computer degli utenti da parte di infezioni informatiche locali:
Giappone
Danimarca
Finlandia
Svezia
Repubblica
Ceca
Svizzera
Irlanda
Paesi Bassi
Nuova
Zelanda
Norvegia
9,1%
12,1%
13,6%
14,6%
14,8%
15,1%
15,2%
16,2%
16,6%
16,8%
Rispetto a quanto rilevato riguardo al quarto trimestre del 2012, sono entrati a far parte della TOP-10
TOP
sopra riportata due nuovi paesi, ovvero Paesi Bassi e Norvegia; le “new entry” hanno comportato
l’esclusione da tale classifica di Lussemburgo e Porto Rico.
Vulnerabilità
Nel primo trimestre del 2013 sono state individuate nei computer degli utenti di KSN ben 30.901.713
vulnerabilità (tra applicazioni e file vulnerabili). In media, su ogni computer che ha evidenziato falle di
sicurezza sono state rilevate 8 diverse vulnerabilità.
La TOP-10 relativa alle vulnerabilità più diffuse viene presentata nella dettagliata tabella qui sotto
riportata.
№
1
2
3
4
5
6
7
8
Secunia
ID
Denominazione
Conseguenze dello
sfruttamento della
vulnerabilità
SA
50949
Oracle Java Multiple Vulnerabilities
http://www.securelist.com/en/advisories/50
949
SA
51771
Adobe Flash Player / AIR Integer Overflow
Vulnerability
771
Attacco DoS
(Denial of
Service).
Accesso al
sistema.
Diffusione di
informazioni
confidenziali.
Manipolazione
dati.
Accesso al sistema
SA
51090
Percentuale di
utenti presso i
quali è stata
individuata la
vulnerabilità*
45,26%
22,77%
Data di
pubblicazion
e
Livello di
pericolosità
17.10.2012
Altamente
Critico
08.01.2013
Altamente
Critico
Codice campo modificato
Adobe Shockwave Player Multiple
Vulnerabilities
090
Accesso al sistema
Oracle Java Two Code Execution
Vulnerabilities
820
Accesso al sistema
Adobe Reader/Acrobat Multiple
Vulnerabilities
133
Accesso al sistema
VLC Media Player HTML Subtitle Parsing
Buffer Overflow Vulnerabilities
692
Accesso al sistema
SA
51226
Apple QuickTime Multiple Vulnerabilities
226
Accesso al sistema
SA
43853
Google Picasa Insecure Library Loading
Vulnerability
853
Accesso al sistema
Winamp AVI / IT File Processing
Vulnerabilities
624
Adobe Flash Player Multiple Vulnerabilities
917
Accesso al sistema
11,30%
03.08.2012
Altamente
Critico
Accesso al
sistema.
Diffusione di
informazioni
confidenziali.
11,21%
28.10.2010
Estremament
e Critico
SA
51280
SA
47133
SA
51692
9
SA
46624
1
0
SA
41917
18,19%
24.10.2012
Altamente
Critico
17,15%
10.01.2013
Estremament
e Critico
16,32%
07.12.2011
Estremament
e Critico
14,58%
28.12.2012
Altamente
Critico
14,16%
12,85%
08.11.2012
25.03.2011
Altamente
Critico
Altamente
Critico
Elusione del
sistema di
protezione.
*Nello stilare la TOP-10 sono stati presi in considerazione tutti gli utenti nei computer dei quali sia
stata rilevata perlomeno una vulnerabilità.
Le vulnerabilità maggiormente diffuse e sfruttate dai malintenzionati nel periodo analizzato nel presente
report sono risultate essere quelle individuate in Java. Tali falle di sicurezza sono state rilevate nel
45,26% dei computer degli utenti di KSN. Chiude il rating in questione una vulnerabilità piuttosto datata,
ma tuttora estremamente pericolosa, individuata in Adobe Flash Player; sebbene sia stata resa nota già
nel mese di ottobre del 2010, essa è stata ancora rilevata nell’ 11,21% dei computer dimostratisi
vulnerabili.
Le prime cinque posizioni della graduatoria che riassume il quadro delle vulnerabilità attualmente più
utilizzate da parte dei cybercriminali risultano occupate da prodotti sviluppati da Oracle e Adobe; è
andata inoltre ad appannaggio di Adobe, come abbiamo appena visto, anche l’ultima posizione della
speciale classifica da noi elaborata. Dalla sesta alla nona piazza del rating troviamo infine alcune
vulnerabilità individuate in software - sviluppati da varie società - particolarmente popolari presso il
pubblico degli utenti.
Ripartizione delle vulnerabilità presenti nella TOP-10 secondo i vari produttori di software Primo trimestre del 2013
Tutte le vulnerabilità presenti nella TOP-10 in questione possono avere effetti nefasti sulla sicurezza del
computer, in quanto esse consentono al malintenzionato - tramite l'utilizzo da parte di quest'ultimo di
appositi exploit - di ottenere il pieno controllo sul sistema informatico sottoposto a contagio. Inoltre,
tutte e dieci le vulnerabilità elencate nel rating riportato nella parte iniziale del capitolo permettono
l’esecuzione del codice spontaneo con privilegi di utente locale.
Ripartizione delle vulnerabilità presenti nella TOP-10 secondo l'impatto prodotto sul sistema Primo trimestre del 2013
Vulnerabilità del genere godono sempre di notevole popolarità presso le folte schiere dei
malintenzionati della Rete; inoltre, gli exploit preposti allo sfruttamento di tali falle di sicurezza vengono
attualmente offerti sul mercato «nero» della cybercriminalità a prezzi nettamente superiori rispetto alla
maggior parte degli altri exploit presenti nel vasto panorama del malware.

Malware report Q1-2013 - Kaspersky Lab – Newsroom Europe.

Transcript

Documenti analoghi

the importance of layered security_fin_ITA6

Relazione contemporanea

Scarica il report completo cliccando qui

Numero 6 - Nota Congiunturale III Trimestre 2007

Evoluzione delle minacce informatiche nel primo

Virus e minacce informatiche

Che Cos`è un attaCCo wateRIng hole

L`evoluzione delle minacce informatiche nel terzo

Recente aumento della diffusione di virus “Malware”

Analisi di malware