(Kaspersky Security Bulletin 2014)
Maria Garnaeva
Victor Chebyshev
Denis Makrushin
Roman Unuchek
Anton Ivanov
Sommario
L'anno in cifre
Le minacce IT per dispositivi mobili
Geografia delle minacce mobili
TOP-20 delle minacce IT destinate alle piattaforme mobili - Situazione relativa al 2014
Diminuzione del volume complessivo degli attacchi portati attraverso i Trojan-SMS
I Trojan bancari mobili
Le minacce IT destinate alla piattaforma Mac OS X
TOP-20 delle minacce IT rivolte al sistema operativo Mac OS X
Geografia delle minacce IT destinate alla piattaforma Mac OS X
Le applicazioni vulnerabili maggiormente sfruttate dai malintenzionati
Programmi malware in Internet (attacchi via Web)
Le minacce online rivolte al settore bancario
Le minacce IT in Internet: TOP-20
Geografia delle fonti degli attacchi web: TOP-10
Paesi i cui utenti sono risultati sottoposti ai maggiori rischi di infezioni informatiche diffuse attraverso Internet
Minacce informatiche locali
Oggetti maligni rilevati nei computer degli utenti: TOP-20
Paesi nei quali i computer degli utenti sono risultati sottoposti al rischio più elevato di infezioni informatiche locali
Tutti i dati statistici riportati nel presente resoconto sono stati ottenuti attraverso le speciali soluzioni anti-virus implementate nel Kaspersky Security Network (KSN), grazie all'attività svolta da vari componenti ed elementi di sicurezza IT, impiegati per assicurare un'efficace e pronta protezione nei confronti dei programmi malware. Essi sono stati ricevuti tramite gli utenti di KSN che hanno previamente fornito l'assenso per effettuare la trasmissione di dati statistici ai nostri analisti. A questo sofisticato sistema di scambio di informazioni su scala globale, riguardo alle pericolose attività condotte dal malware, prendono parte vari milioni di utenti dei prodotti Kaspersky Lab, ubicati in 213 diversi paesi e territori del globo.
I dati statistici contenuti nel presente report si riferiscono al periodo intercorrente tra il mese di novembre 2013 ed il mese di ottobre 2014.
L'anno in cifre
- Secondo i dati raccolti tramite il Kaspersky Security Network, nel 2014 i prodotti Kaspersky Lab hanno rilevato e neutralizzato 6.167.233.068 attacchi dannosi effettuati nei confronti dei computer e dei dispositivi mobile degli utenti.
- Sono stati complessivamente bloccati 3.693.936 tentativi di infezione di computer provvisti di sistema operativo Mac OS X.
- Sono stati individuati e respinti, in totale, 1.363.549 attacchi condotti nei confronti di dispositivi mobile operanti mediante la piattaforma Android.
- Le soluzioni anti-malware di Kaspersky Lab hanno complessivamente respinto ben 1.432.660.467 attacchi condotti attraverso siti Internet compromessi dislocati in vari paesi.
- Per condurre gli attacchi via web i malintenzionati si sono avvalsi di ben 9.766.119 diversi host unici.
- Il 44% degli attacchi Internet bloccati e neutralizzati grazie all'intervento dei prodotti anti-malware di Kaspersky Lab è stato condotto attraverso siti web nocivi dislocati sul territorio di Stati Uniti e Germania.
- Nel corso del periodo oggetto del presente report una consistente porzione di utenti della Rete (38,3%), anche per una sola volta, è risultata sottoposta ad attacchi informatici provenienti dal web.
- Lungo tutto l'arco dell'anno qui analizzato sono stati respinti tentativi di esecuzione di malware bancario sui computer di 1.910.520 utenti.
- Il nostro Anti-Virus Web ha effettuato il rilevamento di 123.054.503 oggetti nocivi unici (script, exploit, file eseguibili, etc.).
- Il nostro modulo Anti-Virus File ha rilevato con successo, sui computer degli utenti, 1.849.949 programmi maligni o potenzialmente indesiderabili.
Le minacce IT per dispositivi mobili
Lungo tutto l'arco del periodo oggetto della nostra analisi sono stati individuati:
- 4.643.582 pacchetti di installazione maligni
- 295.539 nuove varianti di malware mobile
- 12.100 Trojan bancari per piattaforme mobile
Geografia delle minacce mobile
| Paese | % di utenti
|
1 | Russia | 45,7% |
2 | India | 6,8% |
3 | Kazakhstan | 4,1% |
4 | Germania | 4,0% |
5 | Ukraina | 3,0% |
6 | Vietnam | 2,7% |
7 | Iran | 2,3% |
8 | Gran Bretagna | 2,2% |
9 | Malaysia | 1,8% |
10 | Brasile | 1,6% |
| Paese* | % di applicazioni malevole |
1 | Vietnam | 2,34% |
2 | Polonia | 1,88% |
3 | Grecia | 1,70% |
4 | Kazakhstan | 1,62% |
5 | Uzbekistan | 1,29% |
6 | Serbia | 1,23% |
7 | Armenia | 1,21% |
8 | Repubblica Ceca | 1,02% |
9 | Marocco | 0,97% |
10 | Malaysia | 0,93% |
TOP-20 delle minacce IT destinate alle piattaforme mobile - Situazione relativa al 2014
Denominazione | % di attacchi | |
1 | Trojan-SMS.AndroidOS.Stealer.a | 18,0% |
2 | RiskTool.AndroidOS.MimobSMS.a | 7,1% |
3 | DangerousObject.Multi.Generic | 6,9% |
4 | RiskTool.AndroidOS.SMSreg.gc | 6,7% |
5 | Trojan-SMS.AndroidOS.OpFake.bo | 6,4% |
6 | AdWare.AndroidOS.Viser.a | 5,9% |
7 | Trojan-SMS.AndroidOS.FakeInst.a | 5,4% |
8 | Trojan-SMS.AndroidOS.OpFake.a | 5,1% |
9 | Trojan-SMS.AndroidOS.FakeInst.fb | 4,6% |
10 | Trojan-SMS.AndroidOS.Erop.a | 4,0% |
11 | AdWare.AndroidOS.Ganlet.a | 3,8% |
12 | Trojan-SMS.AndroidOS.Agent.u | 3,4% |
13 | Trojan-SMS.AndroidOS.FakeInst.ff | 3,0% |
14 | RiskTool.AndroidOS.Mobogen.a | 3,0% |
15 | RiskTool.AndroidOS.CallPay.a | 2,9% |
16 | Trojan-SMS.AndroidOS.Agent.ao | 2,5% |
17 | Exploit.AndroidOS.Lotoor.be | 2,5% |
18 | Trojan-SMS.AndroidOS.FakeInst.ei | 2,4% |
19 | Backdoor.AndroidOS.Fobus.a | 1,9% |
20 | Trojan-Banker.AndroidOS.Faketoken.a | 1,7% |
Osserviamo, in primo luogo, come nell'ambito della TOP-20 relativa alle minacce informatiche destinate ai dispositivi mobile, i Trojan-SMS risultino tuttora in maggioranza; in effetti, tale tipologia di software dannoso occupa ben dieci posizioni all'interno del rating qui sopra inserito, suddivise tra varie famiglie di malware mobile: Stealer, OpFake, FakeInst, Agent ed Erop.
Desideriamo sottolineare, a tal proposito, come lungo tutto l'arco dell'anno oggetto del nostro report il programma malware classificato dagli esperti di sicurezza IT con la denominazione di Trojan-SMS.AndroidOS.Stealer.a abbia sempre occupato le posizioni di vertice delle varie graduatorie stilate dagli esperti di Kaspersky Lab riguardo ai malware mobile maggiormente diffusi. Come evidenzia il rating qui sopra riportato, il Trojan-SMS in questione capeggia ugualmente, peraltro con un ampio margine percentuale, la TOP-20 che riassume i rilevamenti eseguiti dalle nostre soluzioni di sicurezza IT nel corso del periodo qui analizzato.
Trojan-SMS.AndroidOS.Stealer.a viene tuttora distribuito in maniera particolarmente attiva da parte dei cybercriminali specializzati nel diffondere minacce IT rivolte ai dispositivi mobile degli utenti. Il grafico presentato qui di seguito mette bene in evidenza come, a partire dal mese di maggio 2014, il numero degli attacchi informatici eseguiti mediante l'utilizzo del malware denominato Stealer sia del tutto comparabile, per entità, al numero complessivo di attacchi realizzati attraverso il dispiegamento degli altri Trojan-SMS maggiormente diffusi nel già vasto panorama del malware appositamente sviluppato per colpire le piattaforme mobile.
Numero di utenti mobile sottoposti ad attacco informatico da parte del malware denominato Trojan-SMS.AndroidOS.Stealer.a e dei rimanenti Trojan-SMS (Periodo: novembre 2013 - ottobre 2014).
Diminuzione del volume complessivo degli attacchi effettuati attraverso i Trojan-SMS
Così come in precedenza, risulta dominante, all'interno dei flussi globali di malware mobile, la presenza dei famigerati Trojan-SMS; la quota percentuale ad essi ascrivibile, nell'ambito della nostra "collezione", si è attestata su un valore pari al 23,9%.
Ripartizione dei malware mobile in base alle diverse funzionalità nocive da essi possedute
(file presenti nella raccolta di Kaspersky Lab)
Tuttavia, come illustra in dettaglio il precedente diagramma relativo alle dinamiche degli attacchi informatici imputabili alle suddette minacce IT, riservate ai dispositivi mobili, nel secondo semestre del 2014 il numero totale degli attacchi condotti mediante l'utilizzo dei Trojan-SMS è risultato considerevolmente diminuito. Nel corso dell'anno qui preso in esame, in effetti, la quota percentuale ad essi ascrivibile ha manifestato una sensibile flessione, quantificabile in 12,3% punti percentuali.
Ma andiamo ad esaminare più in dettaglio le dinamiche relative alla diffusione, sulla complessa e opaca scena del malware mobile, dei Trojan-SMS (ad eccezione di Stealer.a) che sembrano attualmente godere di maggior popolarità presso le già folte schiere dei cybercriminali specializzati nella distribuzione di minacce IT mobile.
Numero di utenti mobile sottoposti ad attacco da parte dei Trojan-SMS più diffusi (ad eccezione di Stealer.a) - Periodo: novembre 2013 - ottobre 2014
La repentina diminuzione del numero dei rilevamenti eseguiti nello scorso mese di maggio riguardo ai Trojan-SMS è indubbiamente da collegare ai significativi cambiamenti intervenuti, in Russia, nel campo dei messaggi telefonici a pagamento. Ricordiamo a tal proposito come, tradizionalmente, entro i confini della Federazione Russa gli attacchi informatici eseguiti attraverso il dispiegamento dei famigerati Trojan-SMS risultino particolarmente diffusi. Il fatto è che, a partire dal mese di maggio 2014, gli operatori di telefonia mobile russi sono stati obbligati ad introdurre, nel quadro dei servizi da essi erogati, uno specifico meccanismo di Advise of Charge (AoC): adesso, quindi, nel momento in cui da un dispositivo mobile viene inviato un messaggio verso un numero a pagamento, l'operatore è obbligato a notificare al proprietario di tale dispositivo il costo del servizio reso; l'utente, a sua volta, dovrà poi provvedere a confermare l'effettuazione del relativo pagamento.
La naturale conseguenza di tutto ciò è che l'ingente business legato all'utilizzo dei Trojan-SMS da parte dei malintenzionati è divenuto di sicuro meno redditizio per questi ultimi, nonché meno attuabile, dal punto di vista tecnico, per le folte schiere dei cybercriminali mobile. Adesso, in sostanza, per cercare di ottenere dei profitti illeciti mediante l'utilizzo dei Trojan-SMS, i criminali devono necessariamente avvalersi di programmi Trojan sì in grado di inviare messaggi SMS verso costosi numeri a pagamento, ma ugualmente in grado di intercettare la richiesta di conferma proveniente dall'operatore di telefonia mobile. Per completare il quadro, poi, gli attuali Trojan-SMS devono per forza essere in grado di trasmettere al suddetto operatore una falsa notifica di conferma, a nome (apparentemente) dell'utente raggirato.
Tali specifiche circostanze hanno determinato il fatto che alcuni programmi di partenariato (o programmi di affiliazione che dir si voglia), operanti sul labile confine che può talvolta distinguere certe pratiche illegali da certe operazioni che rientrano nell'ambito del legittimo, si siano in sostanza rifiutati di continuare a condurre il business in questione. Si è trattato, in tal caso, di alcuni programmi di partnership che, in precedenza, erano risultati preposti alla distribuzione di applicazioni dannose provviste delle classiche funzionalità nocive che contraddistinguono i Trojan-SMS. All'interno di tali applicazioni, di fatto, non venivano adeguatamente e chiaramente precisate le condizioni previste per la fornitura del servizio a pagamento, oppure non venivano semplicemente indicate le tariffe stabilite - all'insaputa dell'utente - per la relativa sottoscrizione del servizio in forma di abbonamento.
È lecito presupporre, a questo punto, che i creatori e gli sviluppatori di Trojan-SMS situati entro i confini della Federazione Russa siano in qualche modo costretti a trovare nuovi metodi e fonti di guadagno. Una parte di essi potrebbe quindi passare alla conduzione di attacchi nei confronti di utenti mobile ubicati in altri paesi; altri ancora potrebbero invece dedicarsi, nell'immediato futuro, alla scrittura di programmi malware più avanzati e complessi rispetto ai Trojan-SMS, quali i famigerati Trojan-Banker. Ci auguriamo tuttavia che vi sia ugualmente un significativo numero di autori di malware che non intenda più attraversare il rischioso confine dell'illegalità e si impegni, invece, nella conduzione di attività del tutto legittime.
I profondi cambiamenti che, soprattutto in quest'ultimo semestre, hanno contrassegnato le dinamiche di diffusione dei Trojan-SMS più frequentemente distribuiti dai malintenzionati specializzati nel colpire i dispositivi mobile, appaiono in tutta evidenza esaminando più da vicino i casi relativi, ad esempio, ai malware denominati OpFake.bo, FakeInst.a e OpFake.a. Gli indici ad essi attribuibili sono in effetti diminuiti in maniera drastica, passando dalla consistente cifra di 10.000 - 20.000 utenti mobile da essi sottoposti mensilmente ad attacco, ad una quantità di vittime di sicuro meno preoccupante, pari a 1.000 - 2.000 unità.
I Trojan bancari mobile
Nel periodo oggetto della nostra consueta analisi annuale relativa all'evoluzione del malware, sono stati da noi individuati ben 12.100 Trojan bancari mobile, ovvero un numero 9 volte superiore rispetto all’anno precedente.
Numero di sample di Trojan bancari mobile presenti nella raccolta di Kaspersky Lab
(Situazione relativa al periodo novembre 2013 - ottobre 2014)
Nel mondo, lungo tutto l'arco dell'anno oggetto del presente report, sono stati complessivamente attaccati - perlomeno una volta - da parte dei Trojan banker appositamente sviluppati per colpire le piattaforme mobile, ben 45.032 utenti.
Sta crescendo, nel frattempo, il numero dei paesi in cui si registrano attacchi informatici a danno degli utenti mobile mediante l’utilizzo di questi temibilissimi programmi malware: i famigerati Trojan bancari specificamente creati dai virus writer per attaccare i dispositivi mobili hanno difatti cercato di colpire potenziali utenti-vittima ubicati in 90 diversi paesi del globo.
Quadro mondiale relativo alla ripartizione geografica dei tentativi di infezione compiuti dai Trojan bancari destinati ai dispositivi mobili (numero di utenti sottoposti ad attacco nel periodo novembre 2013 - ottobre 2014)
TOP-10 relativa ai paesi maggiormente sottoposti ad attacchi da parte di Trojan-Banker:
| Paese | Numero di utenti sottoposti ad attacco | % sul numero complessivo di attacchi* |
1 | Russia | 39.561 | 87,85% |
2 | Kazakhstan | 1.195 | 2,65% |
3 | Ukraina | 902 | 2,00% |
4 | USA | 831 | 1,85% |
5 | Bielorussia | 567 | 1,26% |
6 | Germania | 203 | 0,45% |
7 | Lituania | 201 | 0,45% |
8 | Azerbaijan | 194 | 0,43% |
9 | Bulgaria | 178 | 0,40% |
10 | Uzbekistan | 125 | 0,28% |
* Quote percentuali relative al numero di utenti attaccati nel paese, in relazione al numero complessivo di utenti sottoposti ad attacco
Come da tradizione ormai ampiamente consolidata, la leadership del ranking in questione continua ad essere detenuta dalla Federazione Russa.
Le minacce IT destinate alla piattaforma Mac OS X
Nel 2014 i prodotti Kaspersky Lab appositamente sviluppati per la protezione dei computer provvisti di sistema operativo Mac OS X hanno bloccato 3.693.936 tentativi di infezione informatica.
Gli esperti di Kaspersky Lab hanno complessivamente individuato 1.499 nuovi programmi malware "dedicati" alla piattaforma Mac OS X, ovverosia 200 software nocivi in meno rispetto all'anno precedente.
In pratica, è risultato sottoposto ad attacco informatico un utente Apple su due.
Nell’arco dell’anno esaminato nel presente report, ogni utente Mac si è imbattuto, in media, 9 volte in minacce IT destinate al sistema operativo Mac OS X.
TOP-20 delle minacce IT rivolte al sistema operativo Mac OS X
Denominazione | % di attacchi* |
AdWare.OSX.Geonei.b | 9,04% |
Trojan.Script.Generic | 5,85% |
Trojan.OSX.Vsrch.a | 4,42% |
Trojan.Script.Iframer | 3,77% |
AdWare.OSX.Geonei.d | 3,43% |
DangerousObject.Multi.Generic | 2,40% |
AdWare.OSX.Vsrch.a | 2,18% |
Trojan.Win32.Generic | 2,09% |
AdWare.OSX.FkCodec.b | 1,35% |
Trojan.OSX.Yontoo.i | 1,29% |
Trojan-PSW.Win32.LdPinch.ex | 0,84% |
AdWare.Win32.Yotoon.heur | 0,82% |
Trojan.OSX.Yontoo.j | 0,80% |
Exploit.Script.Generic | 0,76% |
AdWare.OSX.Bnodlero.a | 0,58% |
AdWare.JS.Agent.an | 0,57% |
Trojan.OSX.Yontoo.h | 0,52% |
Exploit.PDF.Generic | 0,51% |
AdWare.Win32.MegaSearch.am | 0,5% |
Trojan.Win32.AutoRun.gen | 0,43% |
* Quote percentuali relative al numero di utenti attaccati da tali malware, sul numero complessivo di utenti unici sottoposti ad attacco
Desideriamo innanzitutto sottolineare come, all'interno della graduatoria da noi stilata, ben otto posizioni su venti - incluso il primo posto del rating - risultino occupate da AdWare, i fastidiosi programmi "pubblicitari". Abitualmente, tale genere di software giunge sui computer degli utenti assieme a programmi del tutto legittimi, scaricati, tuttavia, non attraverso il sito ufficiale del produttore, bensì tramite un generico storage. Così, oltre al programma desiderato, sul computer dell'ignaro utente viene ugualmente installato un insidioso modulo AdWare, il quale può provvedere all'aggiunta di determinati link pubblicitari tra i segnalibri del browser web, oppure sostituire il motore di ricerca installato per impostazione predefinita, oppure, ancora, far comparire fastidiose pubblicità contestuali, e via dicendo.
È piuttosto curioso osservare come all'ottavo posto della TOP-20 qui sopra inserita sia andato a collocarsi il malware classificato dagli esperti di sicurezza informatica con la denominazione di Trojan.Win32.Generic, un software nocivo appositamente creato per compiere attività dannose nell'ambito degli OS della famiglia Windows. Ciò è dovuto, con ogni probabilità, alla possibile penetrazione di tale programma Trojan all'interno delle virtual machine, ambienti virtuali nei quali, verosimilmente, risultava installato il sistema operativo Windows.
Nel corso dell'anno 2014, gli esperti di sicurezza IT hanno inoltre individuato alcuni interessanti e singolari programmi malware rivolti alla piattaforma Mac OS X; tali software nocivi, dotati di specifiche peculiarità, "meritano" una rassegna a parte.
Backdoor.OSX.Callme – Tale programma backdoor è in grado di fornire, al malintenzionato di turno, l'accesso remoto al sistema informatico preso di mira e realizza, al tempo stesso, il furto dell'elenco dei contatti, al fine di ricercare, con ogni probabilità, nuovi utenti-vittima. Il malware in causa viene distribuito direttamente nel corpo di un documento MS Word appositamente allestito, il quale, una volta lanciato, provvede ad installare all'interno del sistema il suddetto programma backdoor, mediante lo sfruttamento di una determinata vulnerabilità.
Backdoor.OSX.Laoshu – Si tratta di un software dannoso che, ogni minuto, effettua uno screenshot dello schermo. Tale backdoor si è rivelato essere firmato dal proprio sviluppatore mediante apposito certificato digitale attendibile; è pertanto del tutto lecito presupporre che il creatore (o i creatori) del software in questione si siano "debitamente" preparati ad inserire il suddetto malware all'interno dell'App Store, il noto negozio di applicazioni gestito dalla casa di Cupertino.
Backdoor.OSX.Ventir – È, in sostanza, un Trojan-Spy multi-modulare, la cui principale funzione è rappresentata dall'opportunità, per il cybercriminale, di poter controllare e gestire da remoto il computer sottoposto ad attacco, a totale insaputa dell'utente-vittima. Esso contiene, al suo interno, un driver logkext appositamente creato per intercettare le sequenze dei tasti premuti dall'utente; il codice sorgente di tale driver è open source e risulta, quindi, pubblicamente accessibile.
Trojan.OSX.IOSinfector – Si tratta di un installer per la versione mobile Trojan-Spy.IPhoneOS.Mekir (OSX/Crisis).
Trojan-Ransom.OSX.FileCoder – Il primo codificatore di file in grado di operare sulla piattaforma OS X. Si tratta, verosimilmente, di un prototipo provvisto di funzionalità operative; il relativo autore, per ragioni a noi sconosciute, ha deciso di abbandonare lo sviluppo di tale programma malware.
Trojan-Spy.OSX.CoinStealer – Si tratta del primo software nocivo, destinato al sistema operativo Mac OS X, appositamente progettato per compiere il furto dei Bitcoin, la nota criptovaluta. Il temibile malware in questione si presenta, all'utente-vittima, camuffato sotto forma di varie utility open source per Bitcoin. In realtà, Trojan-Spy.OSX.CoinStealer provvede ad installare un’estensione dannosa per il browser e/o una versione "patchata" di bitcoin-qt (un’utility open source impiegata per realizzare il mining dei Bitcoin).
Trojan-Downloader.OSX.WireLurker – È un programma malware alquanto insolito, preposto al furto dei dati appartenenti alla potenziale vittima. Esso non attacca soltanto i computer Mac, ma anche i dispositivi provvisti di sistema operativo iOS a questi ultimi collegati; segnaliamo, nella circostanza, l'esistenza di una variante Windows del malware in causa. WireLurker è risultato essere distribuito attraverso un noto negozio cinese di applicazioni per OS X e iOS.
Geografia delle minacce IT destinate alla piattaforma Mac OS X
Quadro mondiale relativo alla ripartizione geografica degli attacchi informatici condotti, nel corso dell'anno 2014, nei confronti degli utenti del sistema operativo Mac OS X (sulla base del numero di utenti sottoposti ad attacco)
TOP-10 relativa ai paesi maggiormente sottoposti ad attacchi da parte di malware per Mac
| Paese | Numero di utenti sottoposti ad attacco | % di attacchi* |
1 | USA | 98077 | 39,14% |
2 | Germania | 31466 | 12,56% |
3 | Giappone | 13808 | 5,51% |
4 | Gran Bretagna | 13763 | 5,49% |
5 | Federazione Russa | 12207 | 4,87% |
6 | Francia | 9239 | 3,69% |
7 | Svizzera | 6548 | 2,61% |
8 | Canada | 5841 | 2,33% |
9 | Brasile | 5558 | 2,22% |
10 | Italia | 5334 | 2,13% |
* Quote percentuali relative al numero di utenti complessivamente attaccati nel paese, in relazione al numero complessivo di utenti unici sottoposti ad attacco da parte di programmi malware per OS X
La prima posizione della classifica elaborata dagli esperti di Kaspersky Lab è andata ad appannaggio degli Stati Uniti, che hanno fatto registrare un indice pari a 39,14 punti percentuali. L'elevato numero di attacchi portati nei confronti degli abitanti del paese nordamericano trova una logica spiegazione nella larga diffusione, all'interno del territorio statunitense, dei computer targati Apple. Il secondo gradino del podio virtuale vede la presenza della Germania (12,56%), mentre il Giappone (5,51%) si è situato in terza posizione.
Le applicazioni vulnerabili maggiormente sfruttate dai malintenzionati
La graduatoria delle applicazioni vulnerabili, qui di seguito riportata, è stata elaborata sulla base dei dati statistici da noi raccolti in merito alle operazioni di rilevamento e neutralizzazione degli exploit da parte dei prodotti Kaspersky Lab; il grafico tiene in debita considerazione sia gli exploit utilizzati dai malintenzionati per la conduzione degli attacchi informatici via Web, sia gli exploit impiegati dai malfattori per compromettere le applicazioni custodite localmente sui computer o sui dispositivi mobile degli utenti.
Ripartizione degli exploit - utilizzati dai cybercriminali per la conduzione di attacchi informatici - in base alle varie tipologie di applicazioni sottoposte ad attacco – Situazione relativa all'anno 2014
È stato in primo luogo osservato come, nel periodo oggetto del presente report statistico, la maggior parte dei tentativi di sfruttamento di vulnerabilità da noi rilevati sia stata di fatto indirizzata a vulnerabilità, o falle di sicurezza che dir si voglia, individuate all’interno di Oracle Java. Rispetto all'analoga graduatoria dello scorso anno, tuttavia, la quota relativa alla suddetta piattaforma è risultata in pratica dimezzata, visto che, in soli dodici mesi, tale significativo indice è sceso dal 90,5% al 45%, come evidenzia il grafico qui sopra inserito. Il sensibile calo del livello di popolarità e diffusione, nell'ambito delle pratiche cybercriminali, delle vulnerabilità rilevate in seno alla piattaforma Java, si è manifestato in maniera progressiva lungo tutto l'arco del 2014; con ogni probabilità, tale specifica circostanza è da collegare all'avvenuta "chiusura" delle vulnerabilità Java più datate, così come all'assenza di notizie in merito all'individuazione di nuove falle di sicurezza all'interno di Oracle Java.
La seconda posizione del rating esaminato nel presente capitolo del nostro consueto report annuale dedicato alle statistiche del malware, è andata ad appannaggio della categoria "browser" (42%), ovvero dei programmi comunemente utilizzati per la navigazione in Internet; tale categoria comprende gli exploit appositamente creati dai virus writer per attaccare i browser più diffusi presso il pubblico della Rete, quali Internet Explorer, Google Chrome, Mozilla Firefox ed altri ancora. Desideriamo a tal proposito porre in evidenza come, per tutto il 2014, il gruppo di applicazioni in questione abbia detenuto la posizione di leadership assoluta nell'ambito degli analoghi rating da noi stilati con cadenza trimestrale, come peraltro testimoniano gli elevati indici percentuali rilevati per la categoria browser nel corso di questi ultimi tre trimestri. L'alto numero di exploit volti a sfruttare le vulnerabilità Java, rilevato nel periodo a cavallo tra la fine del 2013 e l'inizio del 2014, ha tuttavia fatto sì che i browser non siano andati ad occupare la prima posizione della graduatoria annuale relativa alle applicazioni vulnerabili maggiormente sfruttate dai malintenzionati.
Come evidenzia il grafico qui sopra riportato, il terzo posto del rating in questione risulta occupato dagli exploit specificamente elaborati dagli autori di malware per colpire le vulnerabilità individuate nell'applicazione Adobe Reader (5%). Tali vulnerabilità vengono utilizzate dai cybercriminali per la conduzione degli attacchi via Internet di tipo drive-by; gli exploit PDF, al pari di quelli destinati alla piattaforma Java e ai programmi di navigazione, fanno anch'essi parte della composizione di una moltitudine di kit di exploit.
E' di particolare importanza sottolineare come, nel corso dell'anno oggetto della nostra analisi, sia stata osservata, da parte degli esperti di Kaspersky Lab, una significativa diminuzione del numero degli attacchi informatici condotti dai malfattori della Rete mediante l’utilizzo degli exploit pack. Ciò può essere dovuto a diversi fattori, ed in particolar modo agli arresti, eseguiti da parte delle forze dell'ordine, di alcuni degli sviluppatori di tali pericolosi oggetti nocivi. Inoltre, numerosi exploit pack hanno di fatto cessato di attaccare i computer protetti dai prodotti Kaspersky Lab. In sostanza, i kit di exploit eseguono uno specifico controllo sulla macchina sottoposta ad attacco; qualora, all'interno del potenziale computer-vittima, risulti installata una delle soluzioni di sicurezza IT sviluppate da Kaspersky Lab, gli exploit pack interrompono immediatamente il tentativo di assalto informatico. Nonostante quanto sopra descritto, ad ogni caso, lo sfruttamento delle vulnerabilità rilevate nelle applicazioni continua a rimanere uno dei principali metodi di cui al giorno d'oggi si avvalgono i cybercriminali per cercare di recapitare pericolosi software nocivi sui computer degli utenti.
Programmi malware in Internet (attacchi via Web)
I dati statistici esaminati in questo capitolo del nostro consueto report annuale sull’evoluzione del malware sono stati ottenuti sulla base delle attività svolte dall'Anti-Virus Web, modulo di sicurezza preposto alla protezione dei computer degli utenti Windows nel momento in cui dovesse essere effettuato il download di oggetti nocivi da pagine web nocive/infette. I siti Internet dannosi vengono appositamente allestiti dai cybercriminali; possono tuttavia risultare infetti sia le risorse web il cui contenuto viene determinato dagli stessi utenti della Rete (ad esempio i forum), sia i siti legittimi violati.
Nel 2014 le soluzioni anti-malware di Kaspersky Lab hanno complessivamente neutralizzato e respinto ben 1.432.660.467 attacchi condotti attraverso siti Internet compromessi dislocati in vari paesi del globo. Ciò significa che - durante la quotidiana navigazione in Rete degli utenti del Kaspersky Security Network - i nostri prodotti per la sicurezza IT hanno esercitato un'efficace azione protettiva, in media, 3.925.097 volte al giorno.
I kit di exploit hanno ancora una volta rappresentato l'arma principale utilizzata dai cybercriminali per condurre gli attacchi informatici via browser. L’impiego degli exploit garantisce difatti ai malintenzionati ottime opportunità di poter infettare i computer degli utenti - a totale insaputa di questi ultimi - qualora nelle macchine sottoposte a contagio informatico non risulti installata un’adeguata protezione anti-malware, oppure sia presente anche una sola applicazione vulnerabile (tra quelle che godono di maggior popolarità presso il pubblico degli utenti), per la quale non siano stati ancora effettuati gli indispensabili aggiornamenti di sicurezza.
Le minacce online rivolte al settore bancario
Complessivamente, nel periodo oggetto del nostro report, le soluzioni di sicurezza di Kaspersky Lab hanno neutralizzato e respinto tentativi di infezione informatica, da parte di programmi malware appositamente elaborati dai virus writer per colpire la sfera bancaria - e carpire quindi le risorse finanziarie degli utenti-vittima mediante l'accesso non autorizzato agli account bancari posseduti da questi ultimi - sui computer di ben 1.910.520 utenti della rete globale di sicurezza Kaspersky Security Network.
Numero di computer sottoposti ad attacco da parte di programmi malware destinati a colpire la sfera bancaria degli utenti - Situazione relativa al periodo novembre 2013 – ottobre 2014
Riteniamo di particolare interesse evidenziare come il numero degli attacchi informatici effettuati dai malware bancari sia aumentato in maniera considerevole proprio nei mesi di maggio e giugno 2014. Tale particolare circostanza è da ricondurre sia all'inizio della stagione delle ferie e delle vacanze estive, periodo dell'anno in cui tradizionalmente si assiste ad una sensibile crescita del volume delle attività finanziarie condotte dagli utenti dei sistemi di banking online - sia allo svolgimento del principale evento sportivo dell'anno, ovvero il Campionato del Mondo di calcio Brasile 2014, nel corso del quale i cybercriminali hanno dispiegato pericolosi malware finanziari, preposti al furto dei dati sensibili utilizzati dagli innumerevoli turisti per l'effettuazione dei pagamenti online.
Complessivamente, nel corso del periodo annuale qui preso in esame, le soluzioni di sicurezza IT sviluppate da Kaspersky Lab ed implementate nei computer degli utenti iscritti al programma di protezione globale KSN, hanno fatto registrare 16.552.498 notifiche relative a tentativi di infezione condotti da parte di programmi malware preposti al furto delle risorse finanziarie degli utenti attraverso l'accesso online (illecito!) ai relativi conti bancari presi di mira.
Geografia degli attacchi
Quadro mondiale relativo agli attacchi informatici condotti dai cybercriminali - durante l'anno 2014 - mediante l'utilizzo di malware bancario (in base al numero di utenti attaccati nei vari paesi del pianeta)
TOP-10 relativa ai paesi in cui si è registrato il numero più elevato di utenti sottoposti ad attacco informatico da parte di malware bancari
| Paesi | Numero di utenti
|
1 | Brasile | 299.830 |
2 | Federazione Russa | 251.917 |
3 | Germania | 155.773 |
4 | India | 98.344 |
5 | USA | 92.224 |
6 | Italia | 88.756 |
7 | Gran Bretagna | 54.618 |
8 | Vietnam | 50.040 |
9 | Austria | 44.445 |
10 | Algeria | 33.640 |
TOP-10 inerente alle famiglie di malware bancario maggiormente diffuse
La TOP-10 relativa alle famiglie a cui appartengono i programmi malware maggiormente utilizzati, nel corso del 2014, nell'ambito degli attacchi informatici eseguiti dai malintenzionati nei confronti degli utenti dei sistemi di online banking - redatta sulla base del numero totale di utenti sottoposti ad attacco - si presenta nella maniera seguente:
| Denominazione | Numero di utenti
|
1 | Trojan-Spy.Win32.Zbot | 742.794 |
2 | Trojan-Banker.Win32.ChePro | 192.229 |
3 | Trojan-Banker.Win32.Lohmys | 121.439 |
4 | Trojan-Banker.Win32.Shiotob | 95.236 |
5 | Trojan-Banker.Win32.Agent | 83.243 |
6 | Trojan-Banker.AndroidOS.Faketoken | 50.334 |
7 | Trojan-Banker.Win32.Banker | 41.665 |
8 | Trojan-Banker.Win32.Banbra | 40.836 |
9 | Trojan-Spy.Win32.SpyEyes | 36.065 |
10 | Trojan-Banker.HTML.Agent | 19.770 |
Così come in precedenza, il Trojan bancario maggiormente diffuso sulla scena del malware globale risulta essere il famigerato software maligno denominato ZeuS (Trojan-Spy.Win32.Zbot). Lungo tutto l'arco dell'anno oggetto del presente report, tale programma nocivo è risultato costantemente al primo posto delle classifiche da noi presentate nell'ambito dei consueti resoconti trimestrali sull'evoluzione delle minacce informatiche; non costituisce pertanto motivo di particolare sorpresa il fatto che, su base annuale, il suddetto malware occupi ugualmente il gradino più alto della TOP-10. La seconda posizione della graduatoria da noi stilata è andata ad appannaggio del software dannoso classificato dagli esperti di sicurezza IT con la denominazione di Trojan-Banker.Win32.ChePro, mentre la terza posizione risulta occupata dall'oggetto dannoso rilevato dalle nostre soluzioni anti-malware come Trojan-Banker.Win32.Lohmys. Le due famiglie in questione risultano provviste di identiche funzionalità nocive e, tra l'altro, sono solite diffondersi, entrambe, tramite appositi messaggi e-mail di spam maligno, il cui oggetto si "ispira", abitualmente, a temi ed argomentazioni inerenti al banking online (ad esempio "Account di Internet banking"). Le suddette e-mail dannose recano, al loro interno, un documento Word contenente una determinata illustrazione; cliccando su quest'ultima, l'ignaro destinatario del messaggio provoca, inconsapevolmente, l'esecuzione del pericoloso codice nocivo scritto "consegnato" dai cybercriminali.
Continuando la nostra breve analisi riassuntiva, rileviamo come la quarta posizione del rating sia andata ad appannaggio del software nocivo classificato come Trojan-Banker.Win32.Shiotob. Si tratta, più precisamente, di un Trojan bancario in grado di monitorare il traffico, con il preciso scopo di intercettare i dati sensibili utilizzati per effettuare le operazioni di pagamento online; così come molti altri programmi dannosi, anche tale malware viene principalmente distribuito dai malintenzionati attraverso messaggi e-mail di spam maligno.
È di particolare rilevanza sottolineare come la stragrande maggioranza delle famiglie di malware presenti nella composizione della TOP-10 da noi elaborata, riportata nella tabella qui sopra inserita, si avvalga di apposite tecniche di "web injection", utilizzate per iniettare codice HTML arbitrario all'interno della pagina web visualizzata dall'utente tramite il proprio browser; al tempo stesso, i suddetti malware fanno largo uso di sofisticati processi di intercettazione dei dati sensibili relativi alle transazioni finanziarie eseguite in Rete dagli utenti, dati inseriti da questi ultimi nei form appositamente contraffatti, i quali vanno poi a rimpiazzare i moduli originali.
Sebbene nel corso del 2014 quasi tre quarti degli attacchi informatici - sferrati dai cybercriminali con il preciso intento di impadronirsi delle risorse finanziarie degli utenti - siano stati condotti mediante il dispiegamento di appositi malware bancari, occorre rimarcare come le minacce informatiche legate alla sfera finanziaria degli utenti non si limitino al solo malware bancario, specificamente creato e sviluppato dai virus writer per attaccare i clienti dei sistemi di banking online.
Ripartizione degli attacchi informatici volti a carpire illecitamente il denaro degli utenti - Suddivisione realizzata sulla base delle varie tipologie di malware utilizzate dai cybercriminali (situazione relativa all'anno 2014)
La seconda tipologia di minaccia IT per grado di popolarità e diffusione - tra i vari metodi alternativi praticati dai malfattori per realizzare il furto del denaro elettronico - è rappresentata dagli stealer adibiti al furto dei portafogli virtuali Bitcoin, gli ambiti wallet digitali contenenti criptovaluta; nel 2014, la quota ascrivibile a tale metodo illecito di ricavare profitti in Rete si è attestata su un valore pari al 14%. Come evidenzia il grafico qui sopra riportato, al terzo posto della graduatoria troviamo poi un'ulteriore minaccia IT strettamente legata alla celebre criptomoneta; il preciso scopo di tale tipologia di malware consiste nell'infettare il potenziale computer-vittima, per generare illecitamente, in seguito, gli ambiti Bitcoin. I malintenzionati, quindi, non disdegnano persino di utilizzare le risorse e la potenza di calcolo di cui è provvisto il computer della vittima designata; nella fattispecie, l'utilizzo dei Bitcoin miner nocivi (le famigerate applicazioni adibite al mining dei Bitcoin a totale insaputa dell'utente sottoposto ad attacco) ha rappresentato il 10% del volume complessivo degli attacchi di natura finanziaria condotti dai criminali informatici nel 2014.
Le minacce IT in Internet: TOP-20
Come abbiamo visto nella sezione introduttiva del presente report, nel corso del periodo annuale qui esaminato il nostro Anti-Virus Web ha complessivamente effettuato il rilevamento di ben 123.054.503 oggetti nocivi unici (script, exploit, file eseguibili, etc.).
Abbiamo provveduto ad identificare le 20 minacce IT che, durante l'anno 2014, sono state più frequentemente incontrate dagli utenti durante la navigazione in Internet. Gli oggetti dannosi che compaiono nella TOP-20 qui sotto riportata hanno da soli generato il 95,8% del volume complessivo di attacchi informatici condotti dai cybercriminali attraverso i browser web.
Denominazione* | % sul totale complessivo degli attacchi** | |
1 | Malicious URL | 73,70% |
2 | Trojan.Script.Generic | 9,10% |
3 | AdWare.Script.Generic | 4,75% |
4 | Trojan.Script.Iframer | 2,12% |
5 | Trojan-Downloader.Script.Generic | 2,10% |
6 | AdWare.Win32.BetterSurf.b | 0,60% |
7 | AdWare.Win32.Agent.fflm | 0,41% |
8 | AdWare.Win32.Agent.aiyc | 0,38% |
9 | AdWare.Win32.Agent.allm | 0,34% |
10 | Adware.Win32.Amonetize.heur | 0,32% |
11 | Trojan.Win32.Generic | 0,27% |
12 | AdWare.Win32.MegaSearch.am | 0,26% |
13 | Trojan.Win32.AntiFW.b | 0,24% |
14 | AdWare.JS.Agent.an | 0,23% |
15 | AdWare.Win32.Agent.ahbx | 0,19% |
16 | AdWare.Win32.Yotoon.heur | 0,19% |
17 | AdWare.JS.Agent.ao | 0,18% |
18 | Trojan-Downloader.Win32.Generic | 0,16% |
19 | Trojan-Clicker.JS.Agent.im | 0,14% |
20 | AdWare.Win32.OutBrowse.g | 0,11% |
* Oggetti infetti neutralizzati sulla base dei rilevamenti effettuati dal componente Anti-Virus Web. Le informazioni sono state ricevute tramite gli utenti dei prodotti Kaspersky Lab che hanno previamente fornito l'assenso per effettuare la trasmissione di dati statistici ai nostri analisti.
** Quota percentuale sul totale complessivo degli attacchi web rilevati sui computer di utenti unici.
