Le email sono sempre meno “efficaci”. Gli attacker puntano ora sui “Drive by download” e su rootkit più raffinati. L’analisi di F-Secure, che prevede oltre un milione di codici maligni a fine 2008.
F-Secure, noto produttore di soluzioni per la sicurezza informatica, ha appena pubblicato un documento con il quale, da un lato, riassume il panorama delle minacce oggi veicolate attraverso la rete Internet e, dall’altro, pubblica alcune previsioni sulle tendenze alle quali assisteremo nei prossimi mesi.
Il numero di campioni malware in circolazione non è mai stato così alto. “I nostri laboratori giornalmente ricevono una media di 25.000 malware. Se questo trend dovesse proseguire, il numero totale di virus e trojan supererà il traguardo del milione a fine 2008“.
Chi sviluppa malware ha modificato le sue tattiche rispetto al passato. Poiché ogni azienda filtra oggi gli allegati dei messaggi di posta elettronica, questo approccio è divenuto molto meno efficace. Gli aggressori stanno quindi preferendo affidarsi a soluzioni “drive-by download”: il codice nocivo, in questo caso, è ospitato sul web e gli utenti sono spronati a scaricarlo cliccando, ad esempio, su link inseriti in messaggi ricevuti via e-mail.
Drive-by downloads
Questo genere di infezione si può verificare non appena l’utente visiti un sito web “maligno” utilizzando un sistema che non è stato opportunamente “messo in sicurezza” mediante la tempestiva applicazione della patch via a via rese disponibili. L’aggressore, sfruttando le vulnerabilità non sanate, insite nel browser o nel sistema operativo dell’utente, può così riuscire ad installare automaticamente dei programmi dannosi sulla macchina del “malcapitato”, semplicemente persuadendolo a visitare una pagina web allestita allo scopo.
Esistono molteplici espedienti per indurre l’incauto utente a visitare una pagina web “maligna”:
- Un primo metodo prevede che l’aggressore confezioni delle campagne di spam inserendo, nel corpo del messaggio, testi simili ai seguenti: “C’è un video che ti interessa su YouTube”, “Hai ricevuto una cartolina d’auguri” oppure, ancora, “Grazie per il tuo ordine”. Cliccando sui link proposti, il browser viene condotto sulla pagina web dannosa.
- Un altro metodo assai diffuso, consiste nel creare molte pagine web, linkate tra loro, contenenti migliaia di parole differenti. Tali pagine, una volta indicizzate da parte di Google, possono essere proposte tra i risultati delle interrogazioni che gli utenti effettuano sul motore di ricerca. Cliccando su uno dei link “maligni” che vengono proposti e visitando la pagina con un sistema non adeguatamente “patchato”, ecco che verrebbe automaticamente scaricato ed installato il malware.
- Il terzo metodo impiegato per la distribuzione di malware consiste nello sfruttare vulnerabilità di siti web famosi e comunemente ritenuti fidati per insediare codice dannoso. L’attacco può concretizzarsi non solo mediante SQL injection ma anche sfruttando falle XSS.
In alcuni casi, inoltre, circuiti di advertising poco controllati sono anch’essi stati oggetto di attacco. Maggiormente esposti sono risultati i circuiti aperti a tutti, dietro semplice attivazione di un account utente: gli aggressori sono riusciti a forzare l’inserimento di codice javascript dannoso avendo così l’opportunità di esporlo su siti web famosi e ad elevato traffico.
Rootkit sempre più raffinati
Conosciuto con il nome di “Mebroot”, è probabilmente il rootkit più raffinato al momento in circolazione. Questo malware infetta il Master Boot Record (MBR) del disco fisso in modo da autoavviarsi subito dopo l’accensione del computer, prima del caricamento del sistema operativo. Proprio per il fatto che il rootkit viene caricato automaticamente prima di qualsiasi altro componente software, “Mebroot” sa così nascondersi alle attività di scansione operate dai vari prodotti antimalware.F-Secure spiega come i rootkit che infettano MBR siano spesso portatori di trojan in grado di sottrarre informazioni di tipo bancario e credenziali di accesso a servizi finanziari.
I primi trojan per dispositivi mobili
F-Secure ha osservato la nascita e la diffusione dei primi trojan per dispositivi mobili in grado di tenere sotto scacco il contenuto di questi oggetti. Una volta infettato uno smartphone, i dati in esso memorizzati vengono tenuti “in ostaggio”. Gli aggressori, dietro il versamento di una somma di denaro variabile, li renderanno nuovamente disponibili al legittimo proprietario. Si tratta, questa, di una vera e propria estorsione in salsa digitale.
Alcuni “ransomware”, componenti nocivi che, una volta insediatisi sul sistema, tentano di estorcere del denaro all’utente mettendo sotto scacco, ad esempio, i suoi file personali, sono via a via comparsi anche sui sistemi Windows: è la prima volta, però, che F-Secure ne rileva dei campioni relativamente al mondo “mobile”.
Sempre più problemi nel campo “mobile”
F-Secure prevede che i dispositivi mobili saranno sempre più oggetto di attacchi nel prossimo futuro. Già si sono registrati esempi di malware che spronano l’utente a scaricare componenti dannosi attraverso l’invio di MMS o connessioni Bluetooth.