malware, sempre più malware. ecco i più diffusi su pc e mobile

MALWARE, SEMPRE
PIÙ MALWARE.
ECCO I PIÙ DIFFUSI SU PC
E MOBILE
UNA SINTESI DEI RAPPORTI
PIÙ AUTOREVOLI SUL TEMA
Marco Bozzetti, OAI founder
Il Rapporto 2013 OAI chiaramente indica come il
malware sia stato l’attacco più diffuso in Italia nel
2012/13, e sia anche il più temuto. Tale evidenza è
confermata dal recente Rapporto Clusit 2014 che,
grazie ai dati forniti da Fastweb e basati sulle analisi
di più di 200.000 indirizzi IP in Italia, indica come
i malware non solo sono l’attacco più diffuso, ma
hanno registrato una continua crescita nel corso
2013. Nell’ambito del medesimo rapporto, relativamente a un ‘campione Clusit per il 2013’ non specificato, emerge una diversa classifica sugli attacchi
più diffusi in Italia, dove al primo posto si posizionano quelli basati sulle vulnerabilità.
Le vulnerabilità del software di base e applicativo sono alla base dei malware, così come lo sono
anche gli attacchi SQL Injection, XSS e altri, APT
inclusi. È quindi evidente che classifiche e percentuali dipendono da come si definiscono le diverse
tipologie di attacco e da come si individuano e rilevano gli attacchi. L’ultima indagine IBM X-Force
a livello mondiale pone per esempio i malware al
quarto posto per diffusione ed evidenzia come questi siano diffusi prevalentemente tramite le vulnerabilità delle più diffuse applicazioni e i più diffusi
browser (fig. 1).
Ma che cosa si intende per ‘malware’? È un termine generico, che indica un qualsiasi programma
software realizzato per causare danni al computer
(ai suoi programmi e ai suoi dati) sul quale viene
eseguito. Rientrano quindi in questo termine software malevoli quali i virus, i worm, gli spyware, gli
82
maggio 2014
Fig. 1 - Lo sfruttamento delle vulnerabilità applicative
(Fonte: IBM X-Force Report 1Q2014)
adware, gli scareware, i trojan horse, i back door, i
root kit, gli agenti botnet, e così via. La genericità
del termine spiega anche la diversità di dati e di
rilevazioni nei diversi rapporti nazionali ed internazionali. Indipendentemente dal primo o quarto posto, il dato certo e condiviso è che i malware sono
una tipologia di attacco molto diffusa e critica in
ogni parte del mondo, prevalente e centrale in Italia.
Come già evidenziato in questa rubrica, si creano
nuovi malware sia totalmente nuovi sia derivandoli
da quelli ‘antichi’, basandosi su vulnerabilità di software (tipicamente di base) senza patch e/o non
più supportato dal produttore. Le previsioni per il
2014/15 a livello mondiale, e valide anche per l’Italia, parlano di una forte crescita in volume e so-
fisticazione dei malware per tablet e smartphone
e per ransomware crittografici che criptano dati e
file bloccandoli fino al pagamento di un riscatto.
I più diffusi in Italia
Il citato Rapporto Clusit 2014, grazie alle rilevazioni
Fastweb, indica che i malware più diffusi in Italia
sono Downadup e ZeroAccess. Nel seguito sono
approfonditi questi due malware e i più diffusi a
livello mondiale per i sistemi mobili.
Downadup
Downadup, chiamato anche Conficker, Downdup
o Kido worm, è un worm per Windows diffuso dal
2008 che sfrutta le vulnerabilità di Windows XP SP2
e Windows 2003 SP1 non corrette con l’opportuna
patch rilasciata nel 2008 e che ancora si diffonde
grazie all’uso diffuso dei sistemi operativi citati non
aggiornati a questa patch. È uno dei virus più prolifici che ha creato una delle più grandi botnet a oggi
conosciute, con, si stima, più di 3 milioni di sistemi
infettati. È un worm intelligente e poliedrico, che
scannerizza la rete alla ricerca di altri sistemi vulnerabili e che può infettare e propagarsi via porte
USB con l’Universal Plug and Play, copiandosi su
chiavette e dischi removibili. È anche in grado di
individuare password di rete relativamente semplici.
Si interfaccia in modalità ‘peer-to-peer’ con un sistema di comando e controllo centrale (C&C) per
aggiornarsi o ricevere ulteriori file, tipicamente altri
codici maligni, e per ricevere comandi. Sul sistema
attaccato blocca gli accessi, facendoli apparire come
in time-out, e disabilita i sistemi di protezione, in
particolare le notifiche del Windows Security Alert.
ZeroAccess
ZeroAccess, chiamato anche Sirefef, è un trojan
horse per sistemi operativi Windows che utilizza
un rootkit per celarsi nella macchina che lo ospita involontariamente, e sulla quale apre una ‘back
door’ utilizzata anche per ricevere comandi (logica
C&C) e scaricare file eseguibili, ossia altri malware.
Si può diffondere con varie modalità, tipicamente
con il ‘drive-by download’, e crea così botnet di
grandi dimensioni. ZeroAccess ha il primario obiettivo di compiere frodi finanziarie attraverso il ‘pay
per click’ di programmi ‘truffa’ che scarica e attiva
sul sistema compromesso. Crea infatti un archivio
crittato e nascosto sull’hard disk del sistema violato
e vi installa i codici maligni per le attività fraudolente, ivi incluse la possibilità di instradare le ricerche dell’utente verso siti web ‘truffa’. Un esempio
è la falsa segnalazione di un codice maligno e la
spinta ad acquisire un software per eliminarlo. Un
altro è di scaricare software per estrarre ‘bitcoins’,
la moneta virtuale ancora embrionale in Italia, per
l’attaccante a spese del proprietario del pc attaccato. La truffa, eseguita su grandi botnet, ha portato
a frodi economicamente significative.
Malware per sistemi mobili
L’altro fronte di diffusione dei malware sono i sistemi mobili, che ormai hanno superato come vendite i pc anche di tipo laptop. Tablet e smartphone
sono a tutti gli effetti dei potenti pc: essi supportano diversi tipi di sistemi operativi: iOS di Apple
per iPhone e iPad; Windows 7 e 8 di Microsoft, in
prodotti obsoleti anche Win CE; Linux e sistemi
derivati (tra i più recenti Tizen, Sailfish e Firefox),
il più noto, diffuso e attaccato dei quali è Android.
I malware per sistemi mobili si basano sia sulle vulnerabilità di questi sistemi operativi, sia sulle vulnerabilità delle loro applicazioni, che includono anche,
ma non solo, quelle più sopra elencate per i pc.
I più diffusi malware per mobile nel 2013 secondo
il rapporto Trend Micro risultano essere:
• Fakeinst: trojan horse per Android. Una volta attivato, invia SMS a servizi premium a pagamento,
con relativo danno economico per il possessore
del sistema mobile; esistono numerose varianti;
è al primo posto con il 29%.
• Opfake: altro trojan horse per Android. Si diffonde
tramite gli Android Packet (in sigla APK). Funzionalmente simile a Fakeinst, invia SMS a servizi a
pagamento. È al secondo posto con il 24%.
• Ginmaster: trojan horse polimorfico per Android.
Si diffonde prevalentemente tramite giochi e filmati/foto sexy; è al terzo posto ma nettamente
distaccato dai primi due: 7%.
• Jifake, trojan horse per Android, Symbian e Windows CE. Si presenta come un’applicazione MMS;
è al quarto posto anch’esso con il 7%.
Marco Bozzetti
[email protected]
maggio 2014
83