Avira ha fatto il punto sulle principali minacce malware alle quali sono potenzialmente esposti gli utenti in base al paese di provenienza.
Lo ha fatto in occasione del Safer Internet Day, giornata internazionale dedicata alla sicurezza in rete,
L’analisi degli attacchi malware verificatisi più di frequente ha evidenziato una stretta correlazione con l’area geografica di residenza.
Lo ha chiarito in una nota il direttore di Avira Protection Labs, Alexander Vukcevic: “quello in cui ci si imbatte durante la navigazione dipende in prevalenza dalle specifiche campagne malware, dagli standard locali di sicurezza web e dal comportamento individuale. Non ci sono garanzie che non possiate imbattervi nuovamente nello stesso malware: probabilmente potrebbe essere veicolato da un altro gruppo di criminali informatici“.
Malware che ritornano
Avira ha così riassunto l’incidenza dei malware a seconda del paese considerato, nonché il tipo di attività malevola tendenzialmente messa in campo e la strategia migliore per difendersi.
In Italia la diffusione maggiore è quella del malware conosciuto come TR/Dropper.Gen.
Secondo Avira TR/Dropper.Gen è uno dei malware che riesce a mascherarsi meglio, spesso sotto forma di email provenienti da FedEx, PayPal o dell’ultima campagna di phishing.
È un programma cosiddetto dropper, quindi è progettato per rilasciare ed eseguire una vasta gamma di codici dannosi sui dispositivi. Il codice in questione può essere contenuto nel dropper o scaricato su richiesta dal web ogni volta che si esegue il dropper.
Tramite il download di elementi nocivi gli hacker sono in grado di aggiornare o modificare facilmente il codice dannoso in base alle esigenze.
Il codice TR/Dropper.Gen è noto perché scarica e installa altri malware, registra le sequenze di tasti premuti, si impossessa di nomi utente e password, dirotta i browser e concede agli hacker l’accesso remoto al dispositivo.
Leggi la nostra guida ai sistemi di protezione mobile
Il malware negli altri paesi
Il criptomining ha registrato un decisivo incremento in tutto il mondo, alimentato dalla crescita esplosiva del valore di mercato delle criptovalute. PUA/CryptoMiner.Gen è uno dei malware più diffusi in Germania.
La creazione di criptovalute implica un processo chiamato “mining”, in cui la potenza di calcolo di un computer viene utilizzata per risolvere complesse equazioni matematiche. Questa procedura richiede due risorse dispendiose: energia elettrica e hardware. Gli hacker si sono resi conto che, incorporando furtivamente software di criptomining nelle applicazioni, possono fare tutto a costo zero: in questo modo riescono a monetizzare i loro guadagni in criptovalute più facilmente che con i malware tradizionali.
I dispositivi di solito vengono infettati da un programma CryptoMiner durante il download e l’esecuzione di software da Internet o mentre si visitano siti web che eseguono furtivamente software di criptomining in background senza il loro consenso. Dato che si tratta di un’applicazione potenzialmente indesiderata, CryptoMiner non danneggia direttamente il dispositivo, ma lo rende estremamente lento nell’esecuzione delle attività quotidiane e vi fa perdere tempo prezioso.
Negli Usa si diffonde HTML/Infected.WebPage.Gen2. Le pagine web infette sono una delle principali fonti di diffusione di minacce informatiche. Le persone credono che queste pagine siano sicure perché le hanno già visitate molte volte in passato: così cercano di aggirare gli avvisi del loro programma di sicurezza, rischiando quindi di lasciar entrare dei malware nel proprio dispositivo. La lotta per avere un sito web affidabile e sicuro è come un inseguimento senza fine del gatto con il topo: gli hacker cercano perennemente pagine vulnerabili in cui introdurre il loro codice dannoso, mentre gli amministratori di sistema sono sempre alla ricerca di vulnerabilità e segnali di un attacco. Queste minacce sono molto più diffuse negli Stati Uniti che altrove, probabilmente sia a causa dell’estensione del paese che per il maggior numero di aziende e privati che gestiscono il proprio sito web.
| Nome | Attività | Difesa |
| TR/Dropper.Gen
(Italia)
|
Spesso utilizzato nei tentativi di phishing per introdurre altri malware | Fate attenzione ad aprire email sospette e allegati. |
| PUA/CryptoMiner.Gen
(Germania) |
Utilizza la potenza di calcolo del vostro dispositivo per ricavare criptovalute | Prestate attenzione agli avvisi di PUA della vostra soluzione di sicurezza. |
| HTML/Infected.WebPage.Gen2 (USA)
|
Si insidia in un sito web affidabile e installa vari malware nel vostro dispositivo | Utilizzate una soluzione di sicurezza che scansiona i siti web alla ricerca di infezioni. |
| PUA/OpenCandy
(UK)
|
Causa un fastidioso flusso di pubblicità | Scaricate le app con cautela. Fate attenzione agli avvisi di PUA. |
| EXP/CVE-2015-2426
(Francia) |
Prendono il controllo di dispositivi privi di patch tramite la vulnerabilità di Windows | Mantenete aggiornato il vostro dispositivo esemplificatevi la vita utilizzando un Software Updater. |
PUA/OpenCandy è una classica Potentially Unwanted App (applicazione potenzialmente indesiderata) in continua evoluzione e in diffusione nel Regno Unito. Il software di sicurezza non può bloccarla completamente, perché non è direttamente dannosa. Spesso cerca di intrufolarsi in un dispositivo senza preavviso o di nascondersi dietro una falsa descrizione in un pacchetto di altri software scaricati. InstallCore un tempo prendeva il controllo delle barre di ricerca dei browser e rallentava i dispositivi fino quasi a bloccarli. Nella sua ultima versione invece, distribuisce annunci pubblicitari a valanghe.
La miglior difesa è quella di fare attenzione quando si scaricano le app, in particolare da fonti non sicure e di leggere attentamente le condizioni di utilizzo. Una buona soluzione di sicurezza vi avvertirà se state scaricando delle PUA o se siete in procinto di installarle.
EXP/CVE-2015-2426, in Francia, sembra il codice di archiviazione di un libro della biblioteca, ma è un exploit che può essere devastante. CVE è l’acronimo di Common Vulnerabilities and Exposures (vulnerabilità ed esposizioni comuni), uno standard per la catalogazione delle vulnerabilità dei computer e la data 2015 indica che è in circolazione da quattro anni. Più comunemente noto come “OpenType Font Driver Vulnerability”, grazie a un font OpenType appositamente creato, questo malware permette agli hacker di eseguire da remoto il codice e assumere il controllo di un dispositivo. A meno che il computer non sia aggiornato e provvisto di tutte le patch, questo exploit rimane un possibile vettore di attacchi alle varie versioni del sistema operativo Windows. Ecco perché è fondamentale mantenere il proprio dispositivo aggiornato e con tutte le patch integrate.
