Trend Micro: in crescita l'economia sommersa legata alla criminalità informatica

Nel 2007 le minacce Web mirate al guadagno economico sono cresciute sensibilmente. Dal punto di vista della sicurezza, nel 2008 la distinzione tra siti Web "buoni" e "cattivi" è destinata ad assottigliarsi ulteriormente.

Trend Micro Incorporated, ha pubblicato il report dal titolo “2007 Threat Report and 2008 Forecast”.

Secondo i ricercatori di TrendLabs, la struttura specializzata di Trend Micro, gli hacker hanno intensificato gli attacchi rivolti ai siti Web legittimi. Il numero dei siti Web compromessi sta lentamente superando il numero dei siti pericolosi creati appositamente dai criminali informatici. Questa tendenza sfata il detto "non visitare mai siti di dubbia reputazione" in quanto anche siti Web affidabili, come quelli di aziende “Fortune 500”, scuole ed enti pubblici, possono oggi celare minacce nascoste.

L'economia sommersa del malware è un settore in forte crescita grazie allo sfruttamento della fiducia degli utenti Web. Ad esempio, l'organizzazione Russian Business Network ha occupato la scena per tutto il 2007 per aver ospitato attività illecite quali siti che distribuivano contenuti pedo-pornografici, phishing e programmi malware. Il settore del malware non guarda in faccia nessuno. Nel 2007 Apple ha dovuto combattere contro la gang ZLOB, a dimostrazione del fatto che anche i sistemi operativi alternativi non sono sicuri per gli utenti online. Il 2007 ha registrato anche il debutto di Gromozon, un programma malware italiano camuffato da applicazione anti-spyware.

L'anno trascorso ha visto anche l'espansione della botnet NUWAR (Storm), come testimoniato dai ricercatori di Trend Micro che hanno trovato le prove della vendita e del noleggio di servizi malware e capacità di spamming ad hacker e spammer, a conferma del crescente livello di sofisticazione raggiunto da questo tipo di minaccia. Durante il 2007 il protocollo di comunicazione più utilizzato dai creatori di botnet è stato ancora IRC (Internet Relay Chat), probabilmente a causa della larga disponibilità e della grande facilità di creare sistemi bot di questo tipo. Nel contempo è stata registrata anche una crescente applicazione pratica nelle botnet di protocolli P2P cifrati.

Le minacce per la sicurezza non sono più limitate ai PC. Anche i dispositivi mobili, grazie alla loro crescente sofisticazione, sono esposti agli identici pericoli (virus, spam, Trojan horse, malware, ecc.). Gli apparecchi dotati di capacità wireless Wi-Fi e Bluetooth, oltre che di ampie capacità storage, sono diventati il canale principale delle fughe dei dati, oltre che il maggiore vettore d'infezione attraverso i perimetri di sicurezza.

Tra i molti dati interessanti contenuti nel report si segnalano in particolare i seguenti:

• L'exploit Windows Animated Cursor (EXPL_ANICMOO) ha assommato ad oltre il 50% di tutto il codice pericoloso che ha colpito la popolazione Internet. Il 74% delle infezioni provocate da questo codice malware nel corso del 2007 ha riguardato l'Asia. Lo stesso vale per una minaccia correlata rilevata come TROJ_ANICMOO.AX che nascondeva l'exploit al suo interno: il 64% dei computer infettati da questa minaccia si trova infatti in Cina.
• Quasi il 50% di tutte le infezioni ha riguardato il Nordamerica, ma anche i Paesi asiatici hanno registrato una sensibile crescita, che ha portato la regione al 40%.
• Le community di social networking e i contenuti creati dagli utenti, quali i blog personali, sono diventati importanti vettori d'infezione a causa degli attacchi rivolti alle tecnologie Web 2.0 sottostanti, in particolare lo streaming e lo scripting cross-site.
• Il volume delle infezioni è praticamente quadruplicato tra settembre e novembre 2007, a conferma che gli autori di malware continuano a identificare nelle festività natalizie un'importante opportunità per diffondere spam e spyware mentre gli utenti sono impegnati nell'effettuare acquisti online.

Nel 2007 le vittime principali del fenomeno del phishing nel settore e-commerce sono state il sito di aste online eBay e la sua consociata PayPal. Le istituzioni finanziarie, in particolare nel Nordamerica, hanno registrato un volume crescente di phishing.

Le previsioni per il 2008

Sulla base delle minacce emergenti, per il 2008 Trend Micro prevede il seguente panorama delle minacce:

1. Il codice legacy utilizzato nei sistemi operativi e le vulnerabilità delle applicazioni più diffuse continueranno a costituire un bersaglio ideale per l'inserimento di codice pericoloso che consenta ai criminali informatici di violare la sicurezza di reti e computer nell'intento di sottrarre informazioni proprietarie riservate.
2. I più noti siti Web operanti in aree quali social networking, banche/finanza, giochi online, motori di ricerca, viaggi, biglietti per eventi, pubblica amministrazione, news, lavoro, blog, e-commerce e aste online continueranno a rappresentare il vettore di attacco privilegiato dai criminali informatici per inserirvi link a programmi per il phishing e il furto dell'identità.
3. I dispositivi non gestiti, quali smartphone, lettori MP3, cornici digitali, chiavette USB e console per videogiochi, continueranno a offrire a criminali informatici e autori di malware l'opportunità per penetrare il perimetro di sicurezza delle aziende grazie alle loro capacità di archiviazione, elaborazione e supporto Wi-Fi. Gli access point pubblici, come quelli presenti all'interno di locali di ritrovo, biblioteche, alberghi ed aeroporti, continueranno a fungere da vettore di attacco o canale di distribuzione per il malware.
4. I servizi di comunicazione, quali la posta elettronica e l'instant messaging, oltre che la condivisione dei file, continueranno a essere esposti a minacce basate sui contenuti quali spam delle immagini, URL e allegati pericolosi che utilizzano tecniche di social engineering mirate e localizzate, in considerazione dell'efficacia dimostrata nei confronti delle potenziali vittime da parte dei criminali interessati ad estendere le dimensioni delle botnet e a sottrarre informazioni riservate.
5. Le strategie per la protezione dei dati e la sicurezza del software diventeranno uno standard nel ciclo di vita delle applicazioni commerciali a causa del numero crescente di gravi incidenti verificatisi. Ciò comporterà una crescente attenzione per le tecnologie di cifratura dei dati durante le fasi di archiviazione e trasmissione, in particolare per ciò che riguarda il controllo dell'accesso ai dati nelle catene di informazione e distribuzione.

Il report completo è consultabile sul sito di Trend Micro Incorporated.

Report Settimanale sul Malware

Secondo i dati raccolti questa settimana sul sito Internet “Infected or Not” di Panda Security (www.infectedornot.com), il 27.82 per cento dei computer protetti da soluzioni antivirus sono comunque colpiti dal malware.

“Ciò è dovuto al fatto che ogni giorno compaiono alcune centinaia di nuovi tipi di malware e i software tradizionali di sicurezza non sono in grado di proteggere gli utenti in modo efficace. Questa nuova emergenza richiede un approccio innovativo, come TotalScan di Panda Security , una soluzione online che può rilevare semplicemente e con rapidità quasi tre milioni di differenti esemplari di malware, grazie al proprio accesso ad una base di conoscenza molto elevata ”,

afferma Luis Corrons, direttore tecnico dei Laboratori di Panda Security.

Questa settimana rispetto ai codici maligni più dannosi, in vetta alla classifica si trova Virtumonde spyware, seguito da due varianti del worm Bagle.

TotalScan Top 10

1. Spyware/Virtumonde
2. W32/Bagle.HX.worm
3. W32/Bagle.RC.worm
4. W32/Autorun.PX.worm
5. W32/Puce.E.worm
6. Adware/Comet
7. Adware/Zango
8. Adware/SaveNow
9. W32/Bagle.RP.worm
10. Adware/CWF

In base alle nuove tendenze evidenziate questa settimana, i laboratori di Panda Security sottolineano le azioni del Trojan Banetmex.A e dei worm Xorer.O e Archivarius.A

Il Trojan Banetmex.A è progettato per inviare messaggi di phishing agli indirizzi e-mail in modo da rubare i dati confidenziali degli utenti dai computer colpiti. Questo trojan, sottrae anche informazioni sensibili per accedere a determinate organizzazioni, reindirizzando gli utenti colpiti verso pagine false che assomigliano a pagine originali di alcune banche. I dati riservati inseriti vengono inviati ai cyber-crook. Inoltre, Banetmex.A scarica il Trojan backdoor Sdbot.LQZ da una determinata pagina web.

Il malware appartenete a questa famiglia è progettato per bloccare programmi di sicurezza informatica e controllare a distanza il PC colpito.

Il worm Xorer.O crea una copia di se stesso nella root directory di tutti i driver. Scarica anche una serie di file nel sistema e si connette alle pagine web per fare il download di alcuni file maligni, incluso un suo aggiornamento. Tra questi file si trova il Trojan alg.exe, progettato per agire come un router e monitorare il traffico del network, ciò permette di introdurre un piccolo codice HTML nelle pagine visitate dall’utente. Il codice mostra una piccola cornice che assomiglia ad una finestra di dialogo, con annunci pubblicitari messi a caso, situata nel fondo destro della pagina. “Società immorali pagano i cyber-criminali per mostrare le loro inserzioni in questo modo. Di conseguenza, gli ideatori di malware guadagnano dalle loro azioni.”, afferma Luis Corrons, direttore tecnico dei Laboratori di Panda Security. Xorer.O usa un rootkit per nascondere tutti i file scaricati o immessi nel sistema.

Il worm Archivarius.A, dall’altra parte, si diffonde attraverso i network P2P. Per fare ciò, riproduce una sua copia nella cartella “I miei Download”, attribuendo centinaia di nomi diversi ai programma IT, giochi, codecs, etc. In questo modo, quando gli utenti proveranno a scaricare uno dei programmi, una copia del worm verrà introdotta nel computer e si attiverà una volta che il programma entra in funzione.

Maggiori informazioni sul sito Panda Security.

McAfee rende ancora più sicuro Internet

La nuova piattaforma web di McAfee guida milioni di consumatori per un utilizzo sicuro di Internet. McAfee rende ancora più sicuro Internet, grazie al completamento dell'acquisizione della società a capitale privato ScanAlert.

McAfee, Inc. (NYSE: MFE) rende ancora più sicuro Internet, grazie al completamento dell'acquisizione della società a capitale privato ScanAlert, Inc. ScanAlert è l’azienda che ha creato il servizio di certificazione della sicurezza dei siti web HACKER SAFE, che protegge oltre 50 milioni di transazioni e-commerce al mese e consiglia proattivamente quali sono i siti sicuri per effettuare i propri acquisti. La tecnologia ScanAlert verrà integrata all’interno di SiteAdvisor®, la premiata tecnologia per la navigazione e la ricerca sicure di McAfee, che ha appena raggiunto un importante traguardo: è stato scaricato oltre 100 milioni di volte dai consumatori che richiedono la valutazione dei siti web di SiteAdvisor oltre un miliardo di volte ogni giorno. Questa solida piattaforma di sicurezza per il Web è perfettamente complementare alla piattaforma PC sicura di McAfee, rendendo così Internet ancor più sicuro per milioni di utenti in tutto il mondo.

“Le minacce su Internet sono in costante aumento e i consumatori si rendono conto sempre più che cliccare su un sito web non testato o non certificato è una sfida contro la sorte,” ha affermato Dave DeWalt, chief executive officer e presidente di McAfee. “Grazie alla sua avanzata piattaforma web e PC integrata, McAfee offre ciò di cui hanno più bisogno gli utenti: un servizio intuitivo e semplice da utilizzare che li aiuti proattivamente a evitare i siti sconosciuti e pericolosi e che blocchi le minacce che tentato di infettare i loro PC tramite email, instant messaging e spyware. McAfee rende sicuro Internet testando regolarmente le aziende sul Web, e indirizzando milioni di consumatori sui siti che sono stati certificati.”

L’azienda inglese NGS (Next Generation Security) Software Ltd. ha recentemente segnalato che migliaia di database server accessibili su Internet non dispongono di aggiornamenti critici e sono vulnerabili a eventuali attacchi. Inoltre, le minacce Internet sono aumentate, e ora mirano a colpire i siti Web 2.0 e di social networking, dove gli aggressori selezionano pezzi di informazioni personali per rendere le minacce più autentiche. In particolare, la chiara sovrapposizione di abitudini di navigazione online diffuse - visitare siti sconosciuti, cliccare su email provenienti da mittenti sconosciuti, scambiarsi immagini e file musicali - forniscono un’infinità di opportunità perfette per gli hacker professionisti. A conferma, i consumatori sono più consapevoli: uno studio del 2006 di TNS, multinazionale di ricerche di mercato, ha rivelato che il 70% dei consumatori intervistati hanno interrotto ordini online per la mancanza di fiducia nelle transazioni.

Le soluzioni aumentano la fiducia dei clienti, e le venditeestendendo tutti i livelli di protezione al mondo del business online, McAfee certifica i siti di e-commerce solo dopo che sono stati sottoposti a una verifica di sicurezza completa, che include la scansione di ogni sito alla ricerca di vulnerabilità, l'identificazione delle soluzioni di sicurezza per tali problemi e la certezza che siano stati risolti. Dopo che ogni sito ha ricevuto la certificazione HACKER SAFE, mantiene la certificazione stessa solo superando scansioni quotidiane. Queste verifiche di sicurezza rigorose e costanti aumentano la fiducia dei consumatori in modo che i clienti che utilizzano ScanAlert possano godere, in media, di tassi di conversione degli acquisti migliorati del 14%.

“Le aziende registrano un aumento dei tassi di conversioni in acquisto quando i consumatori si trovano più a loro agio, e HACKER SAFE ha funzionato per tutti coloro con cui ho mai lavorato, sia come consulente che nel commercio di orsacchiotti,” ha affermato Bill Cronin, Ecommerce Director di Vermont Teddy Bear. “Il ROI è reale e i tassi di conversione aumentano.”

“Il logo HACKER SAFE è uno dei marchi di certificazione per lo shopping sicuro più visualizzati al mondo,” ha affermato Tim Dowling, vice president, McAfee. “In un ambiente dove i consumatori sono preoccupati circa la legittimità dei siti di e-commerce, le aziende che fanno business online dipendono sempre più dal fatto di creare e mantenere un rapporto di fiducia con i consumatori. La combinazione di HACKER SAFE®, che fornisce quelle rassicurazioni necessarie per incrementare le vendite, con SiteAdvisor, che indirizza il traffico dei consumatori su siti sicuri, hanno la capacità di incrementare in modo significativo il commercio elettronico.”

McAfee SiteAdvisor ha testato il 95% dei siti Web e segnala proattivamente agli utenti i siti web con classificazioni intuitive di colore verde, giallo e rosso per guidare i consumatori su siti sicuri e tenerli alla larga da quelli pericolosi che rilasciano malware, contengono exploit browser, visualizzano pubblicità pop-up, cercano di truffare un utente, forniscono un servizio di shopping scarso, o inviano spam dopo che si è fornito un indirizzo e-mail. La tecnologia SiteAdvisor per le ricerche sicure include inoltre protezione anti-phishing basata su browser per proteggere i consumatori da quei siti creati per sottrarre informazioni personali. D’altra parte, i siti web testati e ritenuti pericolosi possono risolvere i problemi riscontrati da McAfee assicurandosi una nuova classificazione “verde” e perciò traggono beneficio dall’aumento di traffico di visitatori che vanno esclusivamente sui siti analizzati da SiteAdvisor.

McAfee SiteAdvisor è integrato in tutte le suite di sicurezza McAfee, McAfee Total Protection, McAfee Internet Security Suite e McAfee VirusScan® Plus, che offrono tecnologie complete che collaborano per evitare che i PC degli utenti vengano compromessi da hacker, virus, spyware, download pericolosi contenuti in messaggi email e instant messaging, etc.. McAfee SiteAdvisor può anche migliorare i prodotti di sicurezza di altri fornitori. Funziona con Microsoft Internet Explorer e Mozilla Firefox per le piattaforme MacOS, Linux e PC. È disponibile gratuitamente all’indirizzo mcafee.com .

McAfee, Inc. ha acquistato il servizio HACKER SAFE per circa 51 milioni di dollari in contanti e con un earn-out ulteriore di 24 milioni di dollari se vengono raggiunti obiettivi prestabiliti in termini di performance.

Ulteriori informazioni sono disponibili all’indirizzo McAafee.com

Ecco i virus più curiosi del 2007

Panda Security pubblica l’almanacco dei codici più originali scoperti lo scorso anno.

Come di consueto i laboratori di Panda Security presentano l’almanacco annuale dei codici maligni più curiosi apparsi nel 2007.

Il più moderno. Il Trojan Aifone.A è senza dubbio il codice al passo con i tempi rilevato negli ultimi mesi. Non appena Apple ha lanciato l’iPhone, questo malware ne faceva promozione … sebbene fosse un trucco per diffondere copie di se stesso tra gli utenti.

Il sequestratore. Sinowal.FY è il Trojan progettato per cifrare i file che trova sui computer infetti e costringe, quindi, i navigatori ad acquistare un tool specifico per decifrarli. Un vero sequestratore che tiene in ostaggio i file.

Il più pericoloso. RogueMaria.A è un worm che mira a divertire gli utenti e nel frattempo li infetta. Questo codice è disegnato per installare una versione del famoso videogioco Mario Bros ogni volta che si avvia il computer. Che gentile!

I poliglotta. I worm MSNFunny.B, Mimbot.A o MsnSend.A sarebbero apprezzati nelle agenzie internazionali di comunicazione, in quanto possono inviare messaggi in dozzine di lingue. Le frasi non sono costruite bene, ma non si può avere tutto!

In campagna elettorale. Voter.A è un worm con senso civico ed invita i cittadini del Kenya a partecipare alle elezioni e votare per uno dei candidati. Sfortunatamente, la tecnica è molesta, infatti, viene visualizzata un’immagine dell’aspirante eletto ogni nove secondi. Ci si domanda se questo supporto possa essere utile.

L’apprendista imitatore. Sohanat.DB blocca l’accesso ad alcuni motori di ricerca, mostrando un’imitazione, non troppo riuscita, di Google. Se gli utenti visitano una delle pagine ricercate, saranno condotti ad un sito pornografico o colpiti dal malware. Se i suoi autori avessero posto più attenzione ai dettagli, forse avrebbero avuto più successo.

Il paparazzo. AttachMsngr.G è un Trojan molto interessato a conoscere tutte le attività che gli utenti svolgono sui propri PC: cattura le battiture della tastiera, i movimenti del mouse ed è in grado, inoltre, di archiviare le conversazioni di MSN Messenger. Sarà un addetto di cronaca rosa in cerca di scoop?

Il cantastorie. CivilArmy.B è un worm che sa come raccontare una storia. Prima di avvisare gli utenti che il loro computer è infetto, narra una romantica favola di due giovani amanti. Forse è un tentativo per incoraggiare i navigatori a leggere di più…o forse no.

Il domandone. Il Trojan LiveDeath.A, quando colpisce il PC, apre la console dei comandi e obbliga gli utenti a rispondere ad una serie di domande, quali “qual è il tuo colore preferito?” Qualsiasi sia la risposta, il computer si spegnerà.

Nonostante possano sembrare curiose e divertenti, il comportamento migliore è proteggersi da queste minacce con un software adeguato, dotato di tecnologie preventive.

Per maggiori informazioni visitate il sito di Panda Software Italia oppure Encyclopedia di Panda Security.

Il trojan che attacca Google e Yahoo

Nel report settimanale di Panda Security vengono segnalati due malware:LunchLoad.A e FackeGoogleBar.M.

Il primo, LunchLoad.A si intrufola nei sistemi con il nome di backup2_36. Quando questo trojan è attivo scarica numerosi file che permettono l'identificazione del malware con il quale connettersi al computer. Per effettuare la connessione, il Trojan si allaccia ad un server dal quale riceve le informazioni sul tipo di codice maligno da scaricare, su quando farlo funzionare, etc. Inoltre, registra gli indirizzi MAC di ogni computer infettato.

L'altro è FakeGoogleBar.M che altera la toolbar di Google. Anche se non è installato sul PC, crea altri file che gli permettono di operare ugualmente.
Riscrivendo alcuni Windows Registry; questa la chiave di registro:

HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Explorer\ Browser Helper Objects\

che permettono ad un DLL library di essere iniettato nel browser in questo modo quando lo si utilizza, il Trojan si mette in funzione. È anche in grado di aprire una porta sul computer e stabilire una connessione http attraverso la quale inviare al suo creatore informazioni riservate. Per ottenere questo dato, FakeGoogleBar.M registra le parole inserite dall’utente nei motori di ricerca come Google o Yahoo.

Copia anche tutti gli URL che contengono parole chiavi come “bank” o “.gov”. Queste informazioni rubate sono mandate all’autore del malware attraverso un sito web creato appositamente.

Il report settimanale lo trovate qui