Tipi ed esempi di malware

Che cosa significa malware?

La parola "malware" è una contrazione di "malicious software", software dannoso. Il malware è un software intrusivo progettato intenzionalmente per provocare danni a computer e sistemi informatici. Al contrario, un software che causa danni accidentali è in genere noto come bug.

Le persone ci chiedono a volte quale sia la differenza tra virus e malware. La differenza è che malware è un termine generale per una vasta gamma di minacce online, tra cui virus, spyware, adware, ransomware e altri tipi di software pericoloso. Un virus informatico è semplicemente uno dei tipi di malware.

Il malware può essere introdotto in una rete tramite phishing, allegati dannosi, download dannosi, social engineering o unità flash. In questa panoramica osserveremo i tipi comuni di malware.

Tipi di malware

È importante comprendere i diversi tipi di attacchi malware per proteggerci dalle violazioni. Benché alcune categorie di malware siano ben note (almeno di nome), altre lo sono meno:

Adware

Un adware, contrazione di "advertising-supported software", software sovvenzionato da pubblicità, mostra pubblicità indesiderata e a volte dannosa sullo schermo di un computer o su un dispositivo mobile, reindirizza i risultati delle ricerche a siti Web pubblicitari e acquisisce i dati degli utenti che possono essere venduti a inserzionisti senza il consenso dell'utente. Non tutto l'adware è malware, alcuni sono legittimi e sicuri da usare.

Gli utenti possono spesso influire sulla frequenza dell'adware o sui tipi di download consentiti attraverso la gestione dei controlli e delle preferenze per i pop-up all'interno dei browser Internet o tramite un'utilità di blocco degli annunci.

Esempi di adware:

Fireball: Fireball è apparso sui giornali nel 2017, quando un'azienda israeliana produttrice di software ha scoperto che aveva infettato 250 milioni di computer e un quinto delle reti aziendali nel mondo. Quando Fireball colpisce un computer, si impadronisce del browser. Sostituisce la home page con un falso motore di ricerca, Trotus, e inserisce avvisi importuni in qualsiasi pagina Web visitata. Impedisce anche di modificare le impostazioni del browser.
Appearch: Appearch è un altro programma adware diffuso che opera come browser hijacker. Integrato in genere con altro software gratuito, inserisce talmente tanti annunci nel browser da rendere la navigazione molto difficoltosa. Quando tentate di visitare un sito Web, verrete invece indirizzati ad Appearch.info. Se riuscite ad aprire una pagina Web, Appearch converte blocchi casuali di testo in collegamenti in modo che, quando selezionate il testo, un pop-up vi invita a scaricare aggiornamenti software.

Spyware

Lo spyware è una forma di malware che si nasconde nel dispositivo, monitora l'attività e ruba informazioni sensibili come dati finanziari, informazioni sugli account, credenziali di accesso e altro ancora. Lo spyware può diffondersi sfruttando vulnerabilità del software o integrandosi con software legittimo o trojan.

Esempi di spyware:

CoolWebSearch: questo programma ha tratto vantaggio dalle vulnerabilità di sicurezza in Internet Explorer per impadronirsi del browser, modificare le impostazioni e inviare dati di navigazione al suo autore.
Gator: integrato in genere con software di condivisione di file come Kazaa, questo programma monitora le abitudini di navigazione del Web della vittima e usa le informazioni per visualizzare annunci specifici.

Ransomware e crypto-malware

Il ransomware è un malware progettato per bloccare il sistema di un utente o negare l'accesso ai dati fino al pagamento di un riscatto. Il crypto-malware è un tipo di ransomware che cripta i file dell'utente e richiede il pagamento entro una scadenza specifica e spesso tramite una valuta digitale, ad esempio in Bitcoin. Il ransomware costituisce da molti anni una minaccia persistente per le organizzazioni di diversi settori. Oggi che sempre più aziende adottano la trasformazione digitale, la probabilità di subire un attacco ransomware è aumentata notevolmente.

Esempi di ransomware:

CryptoLocker è una forma di malware diffusa nel 2013 e nel 2014 che i cybercriminali hanno usato per ottenere l'accesso ai file in un sistema e criptarli. I cybercriminali hanno usato tattiche di social engineering per indurre i dipendenti a scaricare il ransomware nei propri computer, infettando la rete. Una volta scaricato, CryptoLocker visualizza un messaggio casuale in cui offre di decriptare i dati in cambio di un pagamento in contanti o Bitcoin entro la scadenza indicata. Anche se il ransomware CryptoLocker è stato eliminato, si ritiene che i suoi operatori abbiano estorto circa tre milioni di dollari a organizzazioni ignare.
Malware Phobos: forma di ransomware apparsa nel 2019. Questo tipo di ransomware è basato sulla famiglia di ransomware precedentemente nota come Dharma (o CrySis).

Trojan

Un trojan (o cavallo di Troia) si camuffa da software legittimo per indurre a eseguire software dannoso nel computer. Poiché sembra affidabile, gli utenti lo scaricano, consentendo inavvertitamente l'ingresso di malware nel proprio dispositivo. I trojan stessi operano come punto di ingresso. Diversamente da un worm, hanno bisogno di un host per funzionare. Quando un trojan è installato in un dispositivo, gli hacker possono usarlo per eliminare, modificare o acquisire dati, coinvolgere il dispositivo all'interno di una botnet, spiare il dispositivo o ottenere l'accesso alla rete.

Esempi di trojan:

Il malware Qbot, noto anche come "Qakbot" o "Pinkslipbot", è un trojan bancario attivo dal 2007 e incentrato sul furto di dati utente e credenziali bancarie. Il malware è evoluto fino a includere nuovi meccanismi di distribuzione, tecniche di comando e controllo e funzionalità anti-analisi.
Il malware TrickBot, identificato per la prima volta nel 2016, è un trojan sviluppato ed eseguito da cybercriminali avanzati. Progettato in origine come trojan bancario per rubare dati finanziari, TrickBot si è trasformato in malware multifase modulare che fornisce ai suoi operatori una suite completa di strumenti per svolgere numerose attività informatiche illegali.

Worm

I worm, uno dei tipi più comuni di malware, si diffondono nelle reti di computer sfruttando le vulnerabilità del sistema operativo. Un worm è un programma autonomo che replica se stesso per infettare altri computer senza richiedere alcun intervento da parte di altri. Poiché possono diffondersi rapidamente, i worm vengono spesso usati per eseguire un payload, ovvero un frammento di codice creato per danneggiare un sistema. I payload possono eliminare file in un sistema host, criptare dati per un attacco ransomware, rubare informazioni, eliminare file e creare botnet.

Esempio di worm:

SQL Slammer è stato un worm informatico ben noto che non usava metodi di distribuzione tradizionali. Generava invece indirizzi IP casuali e inviava se stesso a tali indirizzi, in cerca di quelli non protetti da software anti-virus. Non appena si è diffuso nel 2003, ha prodotto più di 75.000 computer infetti coinvolti inconsapevolmente in attacchi DDoS contro diversi dei principali siti Web. Benché da molti anni siano ormai disponibili le patch di sicurezza appropriate, SQL Slammer è comunque riemerso nel 2016 e nel 2017.

Virus

Un virus è un frammento di codice che inserisce se stesso in un'applicazione e viene eseguito all'esecuzione dell'app. Una volta penetrato nella rete, un virus può essere usato per rubare dati sensibili, avviare attacchi DDoS o compiere attacchi ransomware. Diffuso in genere tramite siti Web, condivisione di file o download di allegati e-mail infetti, un virus resta latente finché il file o il programma host infetto non viene attivato. Quando questo succede, il virus può replicare se stesso e diffondersi nei sistemi.

Esempio di virus:

Stuxnet: Stuxnet è apparso nel 2010 e si ritiene generalmente che sia stato sviluppato dai governi degli Stati Uniti e di Israele per sabotare il programma nucleare iraniano. Diffuso tramite una chiavetta USB, ha preso di mira i sistemi di controllo industriale di Siemens, causando guasti e l'autodistruzione delle centrifughe a una velocità record. Si ritiene che Stuxnet abbia infettato oltre 20.000 computer e danneggiato un quinto delle centrifughe nucleari iraniane, riportando il programma indietro di diversi anni.

Keylogger

Un keylogger è un tipo di spyware che monitora l'attività dell'utente. I keylogger possono essere usati per scopi legittimi, ad esempio dalle famiglie per tenere traccia dell'attività online dei propri bambini o dalle organizzazioni per monitorare l'attività dei dipendenti. Tuttavia, se installati per scopi dannosi, i keylogger possono essere usati per rubare dati delle password, informazioni bancarie e altri dati sensibili. I keylogger possono essere inseriti in un sistema tramite phishing, social engineering o download dannosi.

Esempio di keylogger:

Nel 2017 uno studente dell'University of Iowa è stato arrestato dopo aver installato keylogger nei computer del personale per rubare le credenziali di accesso e modificare i voti. Lo studente è stato ritenuto colpevole e condannato a quattro mesi di carcere.

Bot e botnet

Un bot è un computer infettato da malware per poter essere controllato da remoto da un hacker. Il bot, talvolta noto come computer zombie, può quindi essere usato per sferrare più attacchi o entrare a far parte di una raccolta di bot, denominata botnet. Le botnet possono includere milioni di dispositivi e diffondersi senza essere rilevate. Le botnet aiutano gli hacker con numerose attività dannose, tra cui attacchi DDoS, l'invio di messaggi spam e di phishing e la diffusione di altri tipi di malware.

Esempi di botnet:

Malware Andromeda: la botnet Andromeda era associata a 80 famiglie di malware diverse. A un certo punto si è estesa talmente tanto da arrivare a infettare un milione di nuovi computer al mese, distribuendo se stessa tramite social media, messaggistica istantanea, e-mail di spam, kit di exploit e altro ancora. L'operazione è stata vanificata dall'FBI, dall'European Cybercrime Centre dell'Europol e da altri nel 2017, ma molti PC hanno continuato a essere infetti.
Mirai: nel 2016 un dirompente attacco DDoS ha lasciato gran parte della East Coast degli Stati Uniti senza accesso a Internet. L'attacco, che le autorità hanno inizialmente temuto essere opera di uno stato-nazione ostile, era stato causato dalla botnet di Mirai. Mirai è un tipo di malware che trova automaticamente dispositivi Internet of Things (IoT) da infettare e li arruola in una botnet. Da qui, questo esercito IoT può essere usato per creare attacchi DDoS in cui un flusso di traffico indesiderato dannoso inonda i server di un obiettivo. Mirai continua a causare problemi ancora oggi.

Malware PUP

I programmi PUP (Potentially Unwanted Program, programmi potenzialmente indesiderati) possono includere pubblicità, barre degli strumenti e pop-up non correlati al software scaricato. Strettamente parlando, i programmi PUP non sono sempre malware: i loro sviluppatori fanno notare che vengono scaricati con il consenso degli utenti, diversamente dal malware. Tuttavia, è ormai ampiamente noto che le persone scaricano programmi PUP prevalentemente perché non si rendono conto di aver dato il proprio consenso.

I programmi PUP sono spesso integrati in altri componenti software più legittimi. La maggior parte degli utenti riceve un programma PUP per aver scaricato un nuovo programma senza aver letto le scritte in piccolo durante l'installazione e di conseguenza senza essersi accorta di aver dato il consenso a programmi aggiuntivi privi di un vero scopo.

Esempio di malware PUP:

Malware Mindspark: programma PUP facilmente installabile finito nei computer degli utenti senza che questi si accorgessero del download. Mindspark può modificare le impostazioni e attivare comportamenti sul dispositivo all'insaputa dell'utente. È notoriamente difficile da eliminare.

Malware ibridi

Oggi il malware è per lo più una combinazione di tipi diversi di software dannoso, che includono spesso parti di trojan e worm e talvolta un virus. In genere, il programma malware appare all'utente finale come trojan, ma, una volta eseguito, attacca altre vittime sulla rete come un worm.

Esempio di malware ibrido:

Nel 2001 uno sviluppatore di malware che si attribuiva il nome di "Lion" ha rilasciato un malware ibrido, una combinazione di worm e rootkit. I rootkit consentono agli hacker di manipolare i file del sistema operativo, mentre i worm sono potenti vettori per la rapida diffusione di frammenti di codice. Questa combinazione dannosa ha creato il caos, infliggendo danni a oltre 10.000 sistemi Linux. Questo malware basato su una combinazione di worm e rootkit è stato progettato esplicitamente per sfruttare le vulnerabilità nei sistemi Linux.

Malware fileless

Il malware fileless è un tipo di software dannoso che usa programmi legittimi per infettare un computer. Non usa file e non lascia impronte e questo lo rende problematico da rilevare e rimuovere. I malware fileless sono emersi nel 2017 come tipo di attacco più diffuso, ma molti di questi metodi di attacco circolano da diverso tempo.

Senza essere archiviate in un file o installate direttamente in un computer, le infezioni fileless penetrano direttamente nella memoria e il contenuto dannoso non tocca mai il disco rigido. I cybercriminali hanno fatto ricorso sempre più spesso a malware fileless come forma alternativa ed efficace di attacco, in quanto è più difficile da rilevare dagli anti-virus tradizionali, a causa del footprint ridotto e dell'assenza di file da analizzare.

Esempi di malware fileless:

Frodo, Number of the Beast e The Dark Avenger sono tutti esempi iniziali di questo tipo di malware.

Bombe logiche

Le bombe logiche sono un tipo di malware che si avvia solo se attivato, ad esempio in un'ora e una data specifica o al ventesimo accesso a un account. Virus e worm spesso contengono bombe logiche per distribuire il proprio payload (ovvero codice dannoso) in un momento predefinito o quando viene soddisfatta un'altra condizione. Il danno causato dalle bombe logiche varia dalla modifica dei byte dei dati alla trasformazione dei dischi rigidi in illeggibili.

Esempio di bomba logica:

Nel 2016 un programmatore ha causato il malfunzionamento dei fogli di calcolo presso una filiale dell'azienda Siemens a intervalli di alcuni anni, tanto che l'azienda ha dovuto continuare ad assumerlo perché correggesse il problema. In questo caso, nessuno ha avuto alcun sospetto fino a quando una coincidenza non ha svelato la presenza del codice dannoso.

Come si diffonde il malware?<

Tra i modi più comuni di diffusione delle minacce malware sono inclusi i seguenti:

E-mail: se una casella e-mail viene hackerata, il malware può indurre il computer a inviare e-mail con allegati infetti o collegamenti a siti Web dannosi. Quando un destinatario apre l'allegato o fa clic sul collegamento, il malware viene installato nel suo computer e il ciclo si ripete.
Supporti fisici: gli hacker possono caricare malware su unità flash USB e attendere che ignare vittime le colleghino ai propri computer. Questa tecnica viene spesso usata nello spionaggio industriale.
Avvisi pop-up: sono inclusi finti avvisi di sicurezza che inducono a scaricare software di sicurezza fittizio, che in alcuni casi può essere un ulteriore malware.
Vulnerabilità: un difetto di sicurezza nel software può consentire al malware di ottenere accesso non autorizzato al computer, all'hardware o alla rete.
Backdoor: punto di ingresso intenzionale o accidentale in software, hardware, reti o sicurezza del sistema.
Download indesiderati: download accidentale di software con il consenso dell'utente finale o a sua insaputa.
Escalation di privilegi: situazione in cui l'autore di un attacco ottiene accesso con privilegi elevati a un computer o una rete e quindi lo usa per sferrare un attacco.
Omogeneità: se tutti i sistemi sono in esecuzione nello stesso sistema operativo e connessi alla stessa rete, il rischio che un worm si diffonda con successo in altri computer è maggiore.
Minacce di natura mista: pacchetti malware che combinano caratteristiche di più tipi di malware, ponendosi come più difficili da rilevare e bloccare, in quanto sono in grado di sfruttare vulnerabilità diverse.

Segnali di infezione da malware

Se avete notato uno dei comportamenti seguenti, è possibile che nel vostro dispositivo sia presente malware:

Computer lento, che si arresta in modo anomalo o si blocca
Famigerata schermata blu
Programmi che si aprono o chiudono automaticamente o che modificano se stessi
Mancanza di spazio di archiviazione
Maggiore presenza di pop-up, barre degli strumenti e altri programmi indesiderati
Invio di e-mail e messaggi senza alcuna azione da parte vostra

Usate un anti-virus per proteggervi da minacce malware:

Il modo migliore di proteggervi da un attacco malware e da programmi potenzialmente indesiderati è usare un anti-virus completo. Kaspersky Total Security offre protezione 24 ore su 24, 7 giorni su 7, da hacker, virus e malware, contribuendo alla sicurezza di dati e dispositivi.

Articoli correlati:

Quali sono i diversi tipi di malware?

Kaspersky

Per malware si intende un software dannoso progettato per causare danni. Informazioni sulla differenza tra virus e malware, tipi di software dannoso ed esempi di malware.

Articoli in primo piano

https://content.kaspersky-labs.com/fm/press-releases/3d/3d3e4c313de2309e864e8618554296a0/processed/2056037282-q75.jpg

Le minacce online per il Black Friday: Come fare acquisti su Internet in tutta sicurezza

https://content.kaspersky-labs.com/fm/press-releases/9a/9ab786c055cf72bd27b0314c7661d867/processed/shutterstock2162875373-q75.jpg

Che cos'è una scansione del Dark Web?

https://content.kaspersky-labs.com/fm/press-releases/1a/1a19b1ee24da69673b856109a467b4a9/processed/gettyimages-1366240594-q75.jpg

I principali attacchi alle piattaforme di scambio di criptovalute: come garantire la protezione contro gli attacchi hacker

https://content.kaspersky-labs.com/fm/press-releases/5c/5c6329bac1b4c2791a7e5f357211a1a8/processed/hackers-and-email-addresses-1-q75.jpg

Cosa possono fare gli hacker con l'indirizzo e-mail?

https://www.kaspersky.it/content/it-it/images/repository/isc/2023/sim-swapping%20-1.jpg