F-Secure: nel 2006 attacchi sempre più mirati

Non solo worm, ma phishing e nuove forme di attacco in area social networking nello studio sui fenomeni che hanno interessato il 2006.

Con la fine dell'anno, F-Secure presenta, oltre al consueto rapporto
semestrale su virus e malware, un'analisi più di dettaglio sui fenomeni che
hanno maggiormente caratterizzato questo 2006.

Fenomeni, che, va detto,
danno luogo a interprestazioni contrastanti.
Sebbene si sia osservata una
battuta d'arresto nella quantità effettiva di attacchi da worm, virus e altro
malware, sono divenuti cosa comune gli attacchi mirati, che usano backdoor,
rootkit e file booby-trapped contenenti codici maligni.

In generale, si
può dire che il 2006 sia stato caratterizzato da attacchi mirati, spesso poco
pubblicizzati e con un unico obiettivo: i soldi. Attacchi dove un hacker punta a
un precisa azienda e usa uno strumento occulto quale una rootkit per nascondere
una backdoor e quindi prelevare informazioni che, talvolta, rivende a terzi.
I

Parimenti in crescita è anche il fenomeno del phishing, che
utilizza tecniche di social engineering e siti contraffatti per sottrarre denaro
a chi ci casca.
Con qualche peculiarità.
Nel mese di ottobre, il team di
ricercatori dei laboratori di F-Secure è stato attratto da un fermento in atto
nella compravendita di nomi di domini registrati. Siti come hell.com e
auction.com a ottobre erano in vendita per cifre di molti milioni di dollari
l'uno. Cosa impressionante se si pensa che tali domini erano stati
originariamente registrati per 5-15 dollari. Molti di questi domini in vendita -
ed è qui che è scattato l'allarme - avevano nomi molto vicini a quelli di
istituzioni finanziarie ben note: chasebankonline. com, citi-bank.com,
bankofameriuca.com, ecc. La domanda è: a chi potrebbe interessare l'acquisto di
tali domini se non alla banca stessa o a un phisher?


Nel 2006, solo due sono stati gli attacchi massivi “tradizionali” da email
worm: Nyxem e Warezov. Lanciato in agosto, Warezov e le sue molte varianti si
autoinviano come allegati email a indirizzi trovati su computer precedentemente
infettati. Warezov tenta inoltre di scaricare varianti aggiornate di se stesso
da specifici siti web. Una volta che il file worm è attivato, mostra un
messaggio esca e si installa sul sistema creando una chiave di startup per sé
stesso nel registro di Windows e avviandosi quando il sistema viene avviato.
Esso resta quindi attivo nella memoria del sistema e cerca sugli hard disk tutti
i file contenenti indirizzi e-mail. Quindi si collega a un mail server e si
autoinvia a tutti gli indirizzi che ha trovato. La cosa interessante di questo
worm è che è in grado di autodiffondersi, come facevano i suoi antenati, e che
lo ha fatto davvero bene, rappresentando l'attacco più capillare di questo tipo
sferrato nel 2006.


Dall'estate, poi si sono intensificate le attività che sfruttano le
vulnerabilità Cross Site Scripting (XSS) dei siti web. Si tratta di una nuova
categoria di malware, che rappresenta una crescente preoccupazione per tutti i
siti, in particolare per quelli di Social Networking, presi particolarmente di
mira a causa della loro popolarità e ampia base di utenti. MySpace, ad esempio,
lo scorso mese di luglio è stato colpito dal worm Flash che sfruttava una
vulnerabilità di Macromedia Flash per reindirizzare gli utenti verso una pagina
web di dubbio gusto.A luglio, MySpace è stato anche il target di un banner
pubblicitario maligno collocato sul sito, che ha sfruttato la vulnerabilità WMF
di Windows per sparare adware a oltre un milione di utenti con computer privi
della patch idonea.

LASCIA UN COMMENTO

Inserisci il tuo commento
Inserisci il tuo nome