La quantità di malware individuati nella prima metà del 2008 è in crescita vertiginosa.
Il 2007 si era chiuso con 500.000 unità e alla fine di giugno siamo già a 900.000. Questa esplosione non significa necessariamente la nascita di nuove tipologie di minacce, quanto piuttosto di varianti di famiglie già esistenti di trojan, backdoor, exploit e altre ora prodotte con un alto livello di efficienza.
I criminali stanno diventando sempre più professionali e stanno adattando e utilizzando sistemi e codici di livello enterprise: la complessità e la qualità della loro infrastruttura It e dei loro sistemi continua a crescere, offrendo loro il potere di invadere silenziosamente Internet.
La prima metà del 2008 ha fatto registrare un numero crescente di attacchi malware a singoli individui, aziende e organizzazioni.
Attacchi mirati
In un attacco malware mirato, il criminale profila la sua vittima e le invia un’email utilizzando nome, qualifica e spesso anche riferimenti alla sua funzione in azienda. Il contenuto del messaggio tipicamente è qualcosa che il destinatario potrebbe aspettarsi di ricevere via email.
L’email contiene solitamente un documento word o pdf o un altro file comune che in apparenza sembra normale, ma che in realtà è in grado di infettare il computer. Solitamente si tratta di un backdoor che offre all’hacker l’accesso alle informazioni presenti sul computer e che non lascia alcun segno apparente di infezione.
Attacchi con scopi politici
Gli attacchi malware mirati vengono anche utilizzati per scopi politici o militari. Durante i recenti scontri tra tibetani ed esercito cinese, la guerriglia nelle strade è stata accompagnata da azioni di spionaggio politico su Internet.
Associazioni per i diritti umani, organizzazioni pro-Tibet e singoli sostenitori della causa tibetana, sono stati attaccati per mezzo di una campagna email mirata e tecnologicamente avanzata, con lo scopo di infettare i loro computer per spiarne le azioni. Il contenuto delle email era legato ad annunci e messaggi reali dei gruppi pro-Tibet.
Alcune email facevano credere di veicolare le immagini dei tibetani colpiti dai militari cinesi e sembravano provenire da persone o organizzazioni fidate. Le email furono inviate a mailing list, forum privati e persone impegnate nei gruppi pro-Tibet. Alcune persone hanno ricevuto questo genere di attacco mirato più di una volta.
Spear Phishing
Gli stessi strumenti che i criminali usano per raccogliere informazioni sui singoli individui sono usati anche per individuare i profili dei gruppi. L’azione di “phishare” su un particolare gruppo prende il nome di “spear phishing”. Gli hacker inviano delle esche a coloro che rientrano nel profilo.
Lo spear phishing può colpire il destinatario indirizzandosi a lui con il suo nome proprio, che viene ricavato dall’indirizzo email: per esempio, john.smith@jsmithfamily.com diventa “Caro John”, piuttosto che il generico “Caro cliente” utilizzato nel phishing tradizionale.
Malware sempre più sofisticato
Non tutto il malware analizzato durante i primi sei mesi del 2008 era rappresentato da minacce note “riconfezionate”. Ci sono state anche novità interessanti come:
Mebroot
La flessibilità degli attacchi di malware dimostra che alcuni criminali dispongono di notevoli risorse e capacità. Creare sistemi avanzati di backend richiede tempo e denaro.
Quest’anno F-Secure ha individuato un rootkit Mbr (Master Boot Record) molto avanzato, conosciuto come “Mebroot” ed è probabilmente il malware più subdolo mai prodotto fino ad oggi. Le modifiche che il rootkit Mebroot apporta al sistema sono minime e di conseguenza è molto difficile da individuare.
Storm
Storm Worm è stato definito il malware 2.0 per il suo tempismo, i metodi di social engineering utilizzati e la complessità del suo progetto. Utilizza tecniche peer-to-peer e crea una botnet decentrata per non essere individuato.
Questo malware ha avuto un ruolo fondamentale nell’evoluzione delle minacce online che ha portato al trend dei virus diffusi attraverso i download automatici. Microsoft in aprile ha comunicato che il suo Malicious Software Removal Tool (MSRT) ha lavorato molto bene nell’eliminazione delle Storm bot, le componenti controllate da remoto nel network criminale della Storm gang.
Tuttavia, recentemente c’è stata una ripresa dell’invio di email per spingere le persone a visitare i siti Storm. La Storm botnet sicuramente non è così grande come qualche tempo fa, ma è comunque improbabile che il rischio sia cessato.
“Iniezioni criminali”
Durante la prima metà del 2008 i criminali hanno utilizzato strumenti potenti per individuare i siti che utilizzano server Sql contenenti pagine non sicure.
In realtà, i server Sql in sé non sono pericolosi; gli strumenti utilizzati dagli hacker vanno alla ricerca di quei form Internet che accettano input non controllati e non filtrati. Questa tecnica di hacking sfrutta l’inefficienza dei controlli sui dati ricevuti in input ed inserisce codice maligno all’interno di una query Sql.
Gli attacchi di massa di questo genere sono in aumento e sempre più siti ospitano dei file maligni. Milioni di siti sono stati colpiti e decine di migliaia ne sono tuttora infetti. Secondo F-Secure, al momento ci sono diversi gruppi criminali che utilizzano una serie di strumenti automatici per iniettare il codice maligno nei siti.
Non esistono più i siti “fidati” perché tutti possono contenere dei rischi per i visitatori. L’infezione tramite download automatico (drive-by-download) non è mai stata così diffusa.
Il ruolo dei browser
Le nuove versioni dei browser Internet più famosi sono appena state rilasciate: Firefox 3 è stata lanciata il 18 giugno con importanti azioni di marketing negli Stati Uniti; Opera 9.5 è stata rilasciata il 12 giugno, Internet Explorer 8 è in fase beta. Tutti questi browser contengono funzionalità di sicurezza potenziate che promettono tempi duri per il malware.
Applicazioni di terze parti
Dal momento che i browser sono diventati più “corazzati”, i bersagli più facili sono diventati le applicazioni di terze parti utilizzate da un numero enorme di utenti: Adobe Flash per esempio è installato su quasi tutti i computer che utilizzano Windows.
I laboratori di ricerca di F-Secure a maggio e a giugno hanno ricevuto un considerevole numero di codici Flash maligni. Molti attacchi basati su Adobe Flash sono stati usati in combinazione con gli attacchi del tipo Sql injection. Al momento solo la nuova versione 9.0.124.0 di Flash non è a rischio, ma la maggior parte dei computer non l’ha ancora installata.
Sicurezza dei dispositivi mobili
Durante la prima metà del 2008 non ci sono stati esempi particolarmente significativi di malware per i dispositivi mobili: è stato individuato solo un nuovo worm chiamato Beselo per l’S60 2nd edition, qualche esemplare di malware del tipo proof-of-concept e nuovi tool di spionaggio.
La versione video del rapporto (in inglese) è disponibile su http://www.fsecure.com/video-channel/
