Il rapporto trimestrale di F-Secure sullo stato della sicurezza informatica sottolinea come la produzione di malware sia in continua crescita e che, se questo trend continuerà, il numero totale di virus e trojan raggiungerà quota un milione entro la fine del 2008. I soli ricercatori di questa società ricevono quotidianamente una media di 25.000 campioni di malware. Tuttavia, le persone sembrano non accorgersi di questo incremento perché gli hacker sono sempre più abili e cambiano continuamente le tattiche utilizzate per infettare i computer. Solo un anno fa quasi tutto il malware veniva diffuso attraverso gli allegati delle email, modalità che ha reso famosi i terribili Bagle, Mydoom e Warezov. Questa tecnica oggi non funziona più perché quasi tutte le aziende filtrano le email con gli allegati pericolosi e quindi i nuovi cyber criminali preferiscono utilizzare la tecnica del download automatico da Internet, dove solitamente l’utente riceve un’email spam con all’interno un link che conduce a un sito infetto.
Le infezioni tramite il download automatico possono avvenire in diversi modi. Se non si ha un sistema protetto e con le patch per le minacce più recenti, si può infettare il pc semplicemente visitando un sito con del malware o effettuando download da questi siti. Una delle tecniche più usate dai cyber criminali per indirizzare gli utenti sulle pagine web infette è l’invio di email contenenti un link e dei messaggi come ”c’è un tuo video su YouTube”, “hai ricevuto una cartolina d’auguri”, o “grazie per l’ordine effettuato”. Un altro metodo consiste nel creare pagine web infette contenenti migliaia di parole chiave indicizzate dai motori di ricerca e aspettare semplicemente che le persone visitino quei siti. In questo modo, quando si fa una ricerca di termini apparentemente innocui e si clicca su alcuni risultati che sembrano identici agli altri, il computer viene infettato automaticamente. Tra l’altro in questo modo l’utente non si accorge neanche di essere stato colpito perché apparentemente sul computer non avviene niente di strano. Il terzo metodo più utilizzato per diffondere il malware coinvolge siti molto conosciuti che possono arrivare anche a un milione di visitatori unici al giorno: una volta gli hacker ne cambiavano l’homepage, ora inseriscono solamente uno javascript nella pagina principale. Anche in questo caso non ci si accorge di essere stati colpiti e poi difficilmente si sospetta dei siti che si visitano quotidianamente. E infine, gli hacker possono anche infiltrarsi nei network di pubblicità online e, attraverso dei banner pubblicitari fasulli, attaccare indirettamente l’utente e avere la certezza che il codice maligno creato venga visualizzato da milioni di utenti, spesso senza che i webmaster di questi siti ne siano a conoscenza.
In generale, è importante rendersi conto che i cyber criminali stanno abbandonando sempre più gli attacchi SMTP per rivolgersi verso attacchi HTTP, che permettono di disporre di molte più vie per diffondere il malware. Prendere consapevolezza di questo cambiamento è importante perchè le aziende spesso misurano il rischio di essere infettati attraverso il numero di email con allegati pericolosi che il sistema di protezione riesce a fermare. Invece, anche se questo numero è in diminuzione, non cala il rischio di essere colpiti dai cyber criminali. Un altro recente metodo di diffusione del malware è l’utilizzo di link FTP.
Uno dei rootkit più subdoli tra quelli osservati nell’ultimo periodo e che si diffonde attraverso i download automatici di cui si diceva è quello noto come Mebroot. Questo rootkit si sostituisce al sistema infetto Master Boot Record (MBR) che è il settore dell’hard disk che contiene il primo codice caricato ed eseguito durante il booting e che contiene la sequenza di comandi necessaria per l'avvio del sistema operativo del PC. Le modifiche che il rootkit Mebroot apporta al sistema sono minime e di conseguenza è molto difficile da individuare. I virus MBR erano i più comuni circa 15 anni fa all’epoca del sistema operativo DOS e si pensava che questo tipo di minacce non si sarebbe più manifestato ai giorni nostri. Per questo motivo gli esperti di F-Secure sono rimasti molto sorpresi di vederlo ricomparire nel 2008. Questo significa che i cyber criminali hanno sia le risorse sia la capacità di sviluppare attacchi così complessi: sono riusciti a sviluppare un codice che viene lanciato durante l’avvio del PC, si inietta nel sistema operativo Windows e si nasconde molto bene. Questi MBR rootkit sono principalmente trojan usati per colpire le banche online dove i criminali vedono la possibilità di un ritorno economico. È probabile che questa tecnica venga usata anche per altri tipi di malware.
Riuscire a guadagnare soldi dagli attacchi informatici oggi è il primo obiettivo degli hacker. In Cina è stato addirittura individuato il primo trojan per smartphone che colpisce e poi chiede il riscatto. Questo tipo di trojan in passato ha già colpito i computer: prende i dati dell’utente in ostaggio e permette di liberarli con una password dopo che il possessore del pc paga una somma di denaro. Nel caso di Kiazha, il primo trojan di questo tipo per smartphone, l’infezione avviene quando l’utente fa il download sul proprio dispositivo mobile di un software simile a uno dei programmi scaricabili via Internet che in realtà poi libera dei virus che infettano lo smartphone. In seguito questo trojan invia un messaggio che invita l’utente a pagare un equivalente di circa sette dollari per riavere i dati rubati o il telefono pulito. Oggi gli smartphone sono così importanti per le persone che pur di riavere indietro la rubrica del telefono, gli impegni segnati in calendario e le email, sono disposti a pagare. Questa minaccia è destinata a crescere sempre di più in futuro.
I worm Beselo si diffondono via MMS e Bluetooth e truffano gli utenti spingendoli a installare un’applicazione SIS. Quello che rende la famiglia dei worm Beselo particolarmente interessante e pericolosa è che utilizza, invece che un’estensione SIS standard, una comune estensione dei file media (ipg, mp3, rm). Questo porta il destinatario a credere che si stia ricevendo un’immagine o un file musicale e quindi l’utente è più portato ad accettare le richieste che appaiono sul display. I nomi comunemente usati dai worm Beselo sono beauty.jpg, sex.mp3 e love.rm. Quindi, il consiglio degli esperti di F-Secure è di rispondere “no” a ogni richiesta di installazione che appare quando si cerca di aprire un file media ricevuto, anche perchè un’immagine o un file musicale vero si visualizza immediatamente e non richiede all’utente l’installazione di un programma. Perciò, ogni immagine o file musicale che fa qualcosa di diverso dall’aprirsi immediatamente, non è ciò che dice di essere. I worm Beselo colpiscono i dispositivi Symbian S60 seconda edizione e quindi probabilmente con la terza edizione invece che una richiesta d’installazione l’utente vedrà apparire solo un messaggio d’errore. Il worm HatiHati.A è un altro portatore di guai per gli smartphone e si diffonde tramite le memory card MMC: il worm si installa sul dispositivo e inizia a mandare SMS a un numero predefinito che esaurisce in breve il credito dell’utente.
Post
