Nel mese appena trascorso, i rappresentanti della famiglia dei drive-by download sono stati la maggiore minaccia per gli utenti. Nel corso degli attacchi drive-by, il computer dell’utente può essere infettato da un malware anche quando si sta visitando un sito legittimo.
Vyacheslav Zakorzhevsky
Minacce in Internet: drive-by download
Nel mese appena trascorso, i rappresentanti della famiglia dei drive-by download sono stati la maggiore minaccia per gli utenti. Nel corso degli attacchi drive-by, il computer dell’utente può essere infettato da un malware anche quando si sta visitando un sito legittimo.
Ricordiamo quindi come si svolge l’infezione dei computer nel caso dei drive-by download: dapprima l'utente viene reindirizzato al sito legittimo infetto oppure alla risorsa Web dei cybercriminali che ospita lo script redirect (uno dei più diffusi negli ultimi tempi è il Trojan-Downloader.JS.Pegel). L'utente viene reindirizzato allo script downloader che a sua volta lancia gli exploit. Di norma, gli exploit scaricano sul computer dell’utente il file eseguibile dannoso, che nella maggior parte dei casi è un backdoor, e ne avviano l’esecuzione.
Schema di funzionamento del drive-by download
Secondo il bilancio mensile, nella TOP 20 dei malware in Internet si sono piazzati nove exploit, tre redirector e uno script downloader utilizzati negli attacchi drive-by download.
Redirector e script downloader
Negli attacchi drive-by è il redirector ad innescare l’infezione. Tra i programmi malware più diffusi in Internet sono stati rilevati il Trojan.HTML.IFrame.dl (al 5œ posto in classifica), il Trojan.JS.IFrame.pg (al 10œ posto), il Trojan.JS.Redirector.lc (al 20œ posto), il Trojan.JS.Redirector.np (al 25œ posto) e il Trojan-Downloader.JS.Iframe.bzn (al 29œ posto).
Al 2œ posto della classifica dei malware individuati in Internet si è piazzato lo script downloader Trojan-Downloader.JS.Agent.frs. Se l’utente capita nel sito ospitante il redirector che innesca l’infezione e viene reindirizzato al Trojan-Downloader.JS.Agent.frs, sul suo computer, per mezzo di exploit che sfruttano le vulnerabilità di Java, PDF e JavaScript, vengono scaricati e lanciati dei backdoor pericolosissimi, quali per esempio il Backdoor.Win32.Shiz и Backdoor.Win32.Blakken (Black Energy 2).
Diffusione geografica dei casi di individuazione del Trojan-Downloader.JS.Agent.frs
Gli utenti che sono stati maggiormente esposti al rischio di infezione da parte del Trojan-Downloader.JS.Agent.frs sono localizzati in Russia, negli USA e in Gran Bretagna.
Downloader e exploit scritti in Java
I programmi di malware scritti nel linguaggio di programmazione multipiattaforma si stanno diffondendo con sempre maggiore velocità. Se fino a un anno fa, non si riscontravano o quasi casi di infezione da parte di malware di questo tipo, attualmente il loro numero continua a crescere.
Negli ultimi due mesi il numero dei malware della famiglia Trojan-Downloader.Java.OpenConnection è notevolmente aumentato. Nel corso degli attacchi drive-by, questi programmi svolgono le stesse funzioni degli exploit, con l’unica differenza che per scaricare il programma maligno da Internet sul computer dell’utente non sfruttano delle vulnerabilità, ma il metodo “OpenConnection” della classe URL.
Dinamica delle individuazioni del Trojan-Downloader.Java.OpenConnection
(numero di utenti singoli): ottobre – novembre 2010
In novembre, il 1œ posto nella classifica dei malware in Internet è occupato, con notevole distacco dal secondo classificato, dal Trojan-Downloader.Java.OpenConnection.bu. I programmi che sfruttano il metodo “OpenConnection” si sono inoltre piazzati anche al 21œ e al 26œ della classifica.
Diffusione geografica dei malware della famiglia Trojan-Downloader.Java
Per quanto riguarda i Paesi colpiti, si nota che la diffusione geografica dei downloader basati su Java è analoga a quella del Trojan-Downloader.JS.Agent.frs. Ciò è indice del fatto che i cybercriminali utilizzano i downloader Java insieme agli script downloader nel corso degli attacchi drive-by.
Oltre ai downloader Java, si rileva anche la presenza di exploit scritti in Java. Gli exploit sfruttano ampiamente, per esempio, la vecchia vulnerabilità CVE-2009-3867 della funzione getSoundBank. Il downloader Trojan-Downloader.JS.Agent.frs, di cui si è parlato in precedenza, sfrutta anche gli exploit Java.
Si ricorda inoltre che Java, il linguaggio di programmazione multipiattaforma, e i programmi di malware scritti in tale linguaggio possono essere eseguiti in qualsiasi sistema operativo nel quale sia installata la macchina virtuale Java.
Exploit PDF
In novembre sono stati individuati anche degli exploit che sfruttano le vulnerabilità e le peculiarità dei documenti PDF. In genere questi documenti sono scritti in linguaggio Javascript. Per numero di singoli download i rappresentanti di queste minacce, l’Exploit.JS.Pdfka.cyk e l’Exploit.JS.Pdfka.cyy, hanno occupato rispettivamente il 24œ e il 28œ posto in classifica. Tuttavia la tendenza che si registra vede un calo nel numero degli exploit PDF: negli ultimi sei mesi il numero medio delle risposte dell'antivirus ai malware della famiglia Pdfka è diminuito di quasi tre volte.
Dinamica delle individuazioni di programmi della famiglia Exploit.JS.Pdfka: da giugno a novembre
Ciò è dovuto alle misure attive intraprese da Adobe per chiudere le falle dei propri prodotti. Infatti, a novembre è uscito Adobe Reader X, nel quale si utilizza una protezione Sandbox che consente di contrastare meglio gli exploit.
TOP 20 dei programmi malware in Internet
| Attuale posizione in classifica | Variazione di posizione | Malware | Numero di utenti |
| 1 | Trojan-Downloader.Java.OpenConnection.bu | 167617 | |
| 2 | Trojan-Downloader.JS.Agent.frs | 73210 | |
| 3 | Exploit.Java.CVE-2010-0886.a | 68534 | |
| 4 | Trojan.HTML.Iframe.dl | 56075 | |
| 5 | Trojan.JS.Agent.bhr | 46344 | |
| 6 | Exploit.JS.Agent.bab | 42489 | |
| 7 | Trojan.JS.Agent.bmx | 40181 | |
| 8 | Trojan.HTML.Agent.di | 35464 | |
| 9 | Trojan.JS.Iframe.pg | 28385 | |
| 10 | Trojan.JS.Redirector.nz | 26203 | |
| 11 | Trojan.JS.Popupper.aw | 25770 | |
| 12 | Trojan-Downloader.Java.Agent.il | 23048 | |
| 13 | AdWare.Win32.FunWeb.q | 22922 | |
| 14 | Trojan-Downloader.Win32.Zlob.aces | 22443 | |
| 15 | AdWare.Win32.FunWeb.ci | 19557 | |
| 16 | Exploit.JS.CVE-2010-0806.b | 19487 | |
| 17 | Exploit.JS.CVE-2010-0806.i | 18213 | |
| 18 | Exploit.SWF.Agent.du | 17649 | |
| 19 | Trojan.JS.Redirector.lc | 16645 | |
| 20 | Trojan-Downloader.Java.Agent.hx | 16242 |
Archivi fasulli
La tendenza degli archivi fasulli, della quale abbiamo già parlato, non perde la sua attualità. Gli archivi fasulli si diffondono con grande efficienza: quando l’utente effettua una ricerca mediante i motori di ricerca, si rigenerano automaticamente delle pagine contenenti dei banner, che propongono le informazioni cercate.
Il principio di funzionamento di questo tipo di truffa Internet è semplice: per ricevere il contenuto dell’archivio, all’utente viene richiesto di inviare un SMS a pagamento. Tuttavia, una volta inviato l’SMS, l’utente non riceve le informazioni desiderate: l’archivio risulta infatti essere vuoto, “danneggiato”, contiene file torrent ecc.
Nella figura sottostante è riportato un esempio di invito fraudolento a scaricare delle informazioni in archivio:
“Kaspersky Lab” individua gli archivi fasulli, quali ad esempio quelli della famiglia Hoax.Win32.ArchSMS. Gli archivi fasulli ArchSMS vengono bloccati soprattutto sui computer degli utenti residenti nei Paesi della CSI.
Diffusione geografica di Hoax.Win32.ArchSMS
Minacce nei computer degli utenti
Anche le minacce che si diffondono per la maggior parte attraverso la rete locale e le memorie di massa e i dispositivi mobili godono di grande popolarità presso i cybercriminali e sono estremamente pericolose.
Questi virus, quali ad esempio Virus.Win32.Sality.aa (3œ posto), Virus.Win32.Sality.bh (8œ posto) e Virus.Win32.Virut.ce (6œ posto), occupano le prime posizioni della classifica dei programmi malware individuati nei computer degli utenti. La loro peculiarità essenziale, che consiste nella capacità di infettare i file eseguibili, ne aumenta l’efficienza.
Nella TOP 20 si trovano anche malware che sfruttano vulnerabilità già riparate: è questo il caso in particolare di Kido che si aggiudica i primi due posti in classifica. Gli exploit che sfruttano la vulnerabilità CVE-2010-2568 dei file short cut restano di grande attualità (13œ e 14œ posto). Spesso questi exploit vengono utilizzati per diffondere Stuxnet e altri programmi maligni. Ciò conferma ancora una volta quando si è già detto più volte in passato: gli utenti non possono e non devono ignorare gli aggiornamenti del sistema operativo e dei programmi più comunemente diffusi che hanno installato sui loro computer.
