Recente aumento della diffusione di virus “Malware”

Recente aumento della diffusione di virus “Malware”
Recentemente è stato registrato un aumento della diffusione di particolari tipi di virus chiamati
generalmente “Malware” che hanno come scopo principale la raccolta di vari tipi di credenziali di
accesso ed altri dati sensibili o “identità” quali ad esempio :
dati di carte di credito,
Conto corrente online (home banking o paypal),
Account ebay,
Account social network quali facebook, twitter, etc.
Oltre a questi dati, i software Malware ricercano anche altri dati di accesso considerati meno
preziosi, ma che ci riguardano più da vicino a quali ad esempio:
dati di accesso a caselle posta elettronica (in particolare gmail, hotmail, yahoo mail),
dati di accesso FTP,
dati di accesso a server dedicati o aziendali.
Per i malintenzionati è, infatti, divenuto più semplice ed efficace andare a raccogliere tutti
questi dati direttamente sui PC connessi a internet invece che tentare di violare la sicurezza
dei server centrali (banche o server web, mail, etc) che in genere sono ben protetti e quindi più
difficili da espugnare.
Ovviamente il Malware va ad affiancarsi a un’altra pratica che ha lo stesso scopo, il “phishing” cioè
l’invio di falsi messaggi che richiedono di rispondere fornendo volontariamente questi stessi dati
sensibili, sempre con lo scopo di raccoglierli in quantità per un successivo utilizzo fraudolento o per
la loro vendita in blocco ad altri malintenzionati.
Inoltre, diversi tipi di Malware, oltre a raccogliere e trasmettere i dati di accesso fino a qui elencati,
cercano anche di compromettere il PC attaccato in modo da permetterne il controllo completo
dall’esterno. In questo caso più che di “Malware” si parla in genere di virus “trojan horse” o
“cavalli di troia”.
Quando questo accade, il PC infetto viene definitivo “zombie” ed entra a far parte delle cosiddette
“botnet”, cioè grosse reti di PC controllabili dagli attaccanti ed a loro disposizione per sferrare
attacchi distruttivi (es. ddos) o per spedire grosse quantità di messaggi spam.
Rispetto ai virus tradizionali, il Malware differisce per alcuni aspetti fondamentali fra cui lo scopo,
il metodo di diffusione e la difficoltà di rimozione.
Per quanto riguarda lo scopo, in passato eravamo abituati a virus distruttivi che cercavano di
compromettere il funzionamento del PC ad esempio cancellando dati o bloccandone il sistema
operativo. Al contrario il Malware ha bisogno che il PC attaccato rimanga in perfetta efficienza,
soprattutto se quest’ultimo deve essere utilizzato in seguito come zombie.
Per quanto riguarda invece il metodo di diffusione, i virus tradizionali erano in genere in grado di
diffondersi da soli copiandosi da un PC infetto all’altro via rete o infettando supporti rimovibili
(floppy, pen drive, etc), oppure inviandosi via e-mail come allegato. Questo li rendeva però sempre
uguali (almeno in alcune sezioni) e quindi più facilmente individuabili da parte dei software
antivirus. Al contrario il Malware viene generalmente diffuso tramite siti web compromessi e
tramite spam, offrendo quindi la possibilità di essere cambiato molto spesso e di non dover
includere la capacità di auto-replicarsi e diffondersi, rendendolo meno riconoscibile e individuabile.
Alcuni Malware sono addirittura camuffati da miracolosi software antivirus, quindi aggiungono la
beffa al danno.
Cosa c’entra Aruba?
Dato che in questo caso non sono i nostri server a essere attaccati, ma direttamente i PC dei nostri
clienti, Aruba non può risolvere il problema alla radice. Possiamo però mitigare gli effetti e
contribuire a limitare il fenomeno, fornendo indicazioni utili per la sicurezza dei propri dati e
avvisando d’ora in poi tutti i clienti che riteniamo siano stati colpiti dal problema in modo da fornire
un
aiuto
per proteggere
al
meglio
i
dati
relativi
ai
nostri
servizi.
Che cosa posso fare io per proteggere al meglio i miei dati?
Innanzitutto ricordiamo le consuete pratiche di sicurezza:
- Tenere aggiornato il sistema operativo. Spesso i Malware cercano di sfruttare vecchie vulnerabilità
note ed e’ per questo che gli aggiornamenti regolari possono aiutare molto.
- Tenere aggiornato il software, in particolare il browser (Internet Explorer, Firefox, etc) ed altri
programmi comuni quali Adobe Acrobat Reader. Anche questi software presentano spesso
vulnerabilità note delle vecchie versioni e rappresentano quindi un facile ingresso se non aggiornati.
- Tenere aggiornato il proprio antivirus e lanciare periodicamente una scansione completa,
possibilmente anche con più di un software perché purtroppo non sempre un singolo software e’ in
grado di rilevare tutti i tipi di Malware in circolazione
- Tenere sempre attivo un firewall a protezione della connessione internet. Meglio ancora se
un firewall evoluto che mostra notifiche ogni volta che un programma presente nel PC tenta di
inviare dati su internet (le password raccolte devono essere prima o poi inviate all’attaccante).
- Cambiare le proprie password ogni 6 mesi al massimo, per tutti i servizi Aruba e non
Vediamo poi alcune pratiche di sicurezza specifiche per il Malware:
- Non lanciare allegati eseguibili ricevuti tramite posta elettronica, neanche se provengono da
mittenti conosciuti (che potrebbero avere il PC compromesso).
- Non cliccare sui link “sospetti” ricevuti tramite “social network” (facebook, twitter, etc) o tramite
instant messaging (msn o yahoo messenger, gtalk, etc). In particolare quelli che invitano a scaricare
accattivanti e “utili” software per tenere sotto controllo i propri amici o funzioni del genere.
- Non fornire mai i propri dati di accesso rispondendo a messaggi e-mail che li richiedono per via di
fantomatici “aggiornamenti di database” o “perdita sul server” o “blocco del conto”. E’ quasi
impossibile che un fornitore di servizi richieda ai propri clienti la password, meno ancora via email.
- Non scaricare e non eseguire software contraffatto o “crack” di software originale : anche se
apparentemente funzionanti, questi software includono quasi sempre un virus o Malware o trojan
horse al loro interno e spesso vengono messi in circolazione proprio per questo.
- Non salvare sul proprio PC password e dati di accesso e non utilizzare le funzioni “ricorda
password”. Digitare la password ogni volta e’ sicuramente più scomodo, ma molto più sicuro : il
Malware esegue infatti una scansione sul PC dove molti software (ad esempio Filezilla) salvano una
copia più o meno protetta dei dati di accesso memorizzati.
- Quando disponibili usare sempre i protocolli sicuri come https, smtps, pop3s, imaps, ftps. In
questo modo i dati di accesso transiteranno su internet non in “chiaro”, ma protetti dalla crittografia
: anche se intercettati risulteranno illeggibili.
Può Aruba aiutarmi a capire se il mio PC è compromesso?
Uno dei metodi di diffusione del Malware prevede l’utilizzo dei dati di accesso FTP raccolti sui PC
infetti per compromettere i siti web relativi e tramite essi far scaricare il Malware stesso a tutti i
visitatori.
Questo in genere viene fatto inserendo del codice Javascript “offuscato” all’interno della home page
del sito : la pagina mantiene il proprio aspetto e funzionamento, ma ad ogni apertura tenterà di far
scaricare al visitatore file infetti provenienti da altri siti ancora.
In alcuni casi il sito compromesso viene usato per far scaricare il Malware, in altri solo per ospitare
i files infetti.
L’altro metodo utilizzato è l’invio tramite spam ed anche in questo caso verranno individuati e
bloccati gli invii sospetti, oltre che ripuliti i messaggi tramite antivirus.
Tramite l’analisi dei log FTP i nostri strumenti automatici provvederanno a rilevare comportamenti
anomali ed a segnalarlo ai rispettivi proprietari degli account. Inoltre verrà segnalata ogni volta che
uno dei nostri software antivirus rimuoverà qualcosa (codice javascript o Malware stesso) dai
contenuti pubblicati.
Ovviamente i clienti che riceveranno tali avvisi dovranno fare le opportune verifiche ed azioni
consigliate perché probabilmente almeno uno dei PC sui quali hanno utilizzato precedentemente
quelle stesse credenziali di accesso e’ compromesso.
Cosa fare se il mio PC oppure il mio sito web risultano infetti ?
Elenchiamo di seguito alcune azioni da intraprendere, da eseguire in quest’ ordine :
- se non già fatto da Aruba, rimuovere tutto il codice malevolo eventualmente presente nelle pagine
web dei propri siti web. Se è necessario un aiuto nell'
individuazione di tale codice si può aprire un
ticket nell'
apposita area di assistenza.
- verificare eventuali infezioni presenti nel proprio computer. Nel caso in cui per la pubblicazione
del sito ci si avvalga di collaboratori e/o webmaster deve essere verificata l'
integrità di tutti i
computer utilizzati, è, infatti, sufficiente che uno solo di questi sia vulnerabile o infetto per subire il
furto delle credenziali di accesso.
- ripulire i PC eventualmente individuati tramite gli appositi software antivirus ed antiMalware,
procedere quindi ad attivare le opportune protezioni in termini di antivirus e firewall per evitare il
ripetersi di simili problemi.
Solo dopo essersi assicurati che ogni computer utilizzato per la pubblicazione del sito sia stato
messo in sicurezza, procedere con il cambio di tutte le credenziali di accesso utilizzate in
precedenza. Anche se non ci è possibile dare indicazioni sicure sui dati di accesso di servizi non
gestiti da Aruba (home banking, social network etc...) è assolutamente consigliabile
cambiare anche tali dati, rivolgendosi eventualmente ai rispettivi fornitori del servizio.
Nota Bene: Anche se al momento della verifica sul proprio computer non si dovessero individuare
dei Malware attivi, è comunque necessario fare il cambio delle credenziali di accesso in quanto se
queste sono state prese in precedenza sono ormai compromesse (ad esempio se si è provveduto nel
frattempo ad una re installazione o cambio del proprio PC)
Cos’altro ha fatto o può fare Aruba ?
Per combattere al meglio questo particolare fenomeno abbiamo :
- Resa disponibile la versione “sicura” di ogni protocollo usato per accedere ai nostri servizi :
https, smtps, pop3s, imaps,ftps. Per utilizzarli è pero’ necessaria una modifica della configurazione
del proprio PC secondo le guide riportate nella nostra KB.
- Realizzato software per la rimozione automatica dai siti web dei nostri clienti del codice
javascript relativo a Malware . Questo va ad affiancarsi ai software antivirus commerciali gia’
presenti .
- Realizzato software per il controllo automatico dei siti indicati da google come “pericolosi”
perché compromessi. Nel caso sia presente un sito di un cliente Aruba questo verrà informato ed il
sito ripulito.
- Attivata l’esclusione automatica degli ip che effettuano attività FTP o Mail sospetta in modo da
non permettere a macchine compromesse di connettersi ulteriormente ai nostri servizi.
Cosa non può fare Aruba
Come spiegato, questo problema particolare non riguarda direttamente Aruba o i fornitori di servizi
in genere dato che è principalmente un problema di sicurezza dei PC connessi ad internet.
E’ per questo che senza la collaborazione dei nostri clienti, possiamo fare ben poco per aiutarli a
risolvere le cause del problema rispetto al semplice agire sugli effetti.
Software consigliati contro il Malware
WINDOWS
SOFTWARE
RIMOZIONE
ANTIVIRUS
•
•
zeus trojan remover
v1.2.0
malwarebytes
•
•
•
Pc Tools
Zone Allarm
Avira
LINUX
•
•
zeus trojan remover
v1.2.0
malwarebytes
•
Avira
MAC
•
Pc Tools
FIREWALL
•
•
•
•
•
Pc Tools
Zone Allarm
Comodo
OnLine – Armor
Avira
•
•
Firestarter
Avira
SOFTWARE PER LA RIMOZIONE DI MALWARE
Per Windows e Linux
• Zeus trojan Remover v1.2.0 http://www.novirusthanks.org
• Malwarebytes http://www.malwarebytes.org/
ANTIVIRUS E FIREWALL
Per chi utilizza sistemi Windows, Linux e Unix
• Avira http://www.avira.com/it/download/index.php
Per chi utilizza Windows e MAC
• Pc Tools http://free.pctools.com/free-antivirus/
Zone Allarm compatibile con Windows
http://www.zonealarm.com/security/en-us/anti-virus-spyware-free-download.htm
FIREWALL
• Little Snitch http://www.versiontracker.com/dyn/moreinfo/macos/17642
Per chi utilizza I Mac
la free version è compatibile anche con i 64 Bit
• Comodo http://personalfirewall.comodo.com/
Compatibile con Xp,Vista,WIn7 32 e 64 Bit
• OnLine – Armor http://www.online-armor.com/downloads.php
compatibile con Windows
•
•
•
Pc Tools
Little Snitch
NetBarrier X4
Pc Tools http://free.pctools.com/free-antivirus/
Per chi utilizza Windows e MAC
NetBarrier X4
http://netbarrier.en.softonic.com/mac/download-version/netbarrier-x4.10.4.5
http://www.intego.com/pub/Manual_NBX4_it.pdf
Per chi utilizza i MAC
Firestarter
http://www.fs-security.com/
Per chi usa i sistemi linux
Videoguide Firewall
Comodo Firewall
http://vademecum.aruba.it/start/sic/firewall/comodo/
Sunbelt Firewall
http://vademecum.aruba.it/start/sic/firewall/sunbelt/
Agnitum Outpost Firewall
http://vademecum.aruba.it/start/sic/firewall/outpost/
Sicurezza del PC
http://vademecum.aruba.it/main/sicurezza_tot_subs.asp
Link approfondimenti
http://www.kaspersky.com/it/reading_room?chapter=207716819
http://www.itespresso.it/hellrts-il-nuovo-Malware-per-mac-os-x-44994.html
http://www.zeusnews.it/index.php3?ar=stampa&cod=11695
http://punto-informatico.it/2865579/PI/News/zeus-ora-punta-al-conto-banca.aspx
http://www.lineaedp.it/articolo.php?aId=0000043724
http://www.corriere.it/scienze_e_tecnologie/10_febbraio_22/twitter-attacco-account-compromessi_e3efaf141fc7-11df-b445-00144f02aabe.shtml
http://www.corriere.it/scienze_e_tecnologie/speciali/2009/smau/notizie/intervista-hypponensicurezza_c1687a8a-bfdb-11de-856b-00144f02aabc.shtml
http://www.corriere.it/notizie-ultima-ora/Scienze_e_tecnologia/Informatica-attacco-hacker-oggisfrutterebbe-falla-Firefox/18-02-2010/1-A_000083808.shtml
http://us.trendmicro.com/imperia/md/content/us/trendwatch/researchandanalysis/zeusapersistentcriminalente
rprise.pdf