I cyber criminali perfezionano gli attacchi drive-by
Da Milano – L’ultimo report mensile sulle attività dei malware di Kaspersky Lab evidenzia l’uso crescente degli attacchi drive-by per infettare i computer. Si tratta di attacchi particolarmente pericolosi perché avvengono ad insaputa dell’utente e possono provenire da siti Web legittimi a loro volta attaccati dagli hacker . In pratica, chi va a visitare un sito infetto viene reindirizzato ad una pagina web che contiene degli script downloader, spesso lanciati da diversi tipi di exploit proprio allo scopo di scaricare malware sui computer degli utenti.
A febbraio, la maggioranza degli attacchi drive-by si è avvalsa del linguaggio CSS (Cascading Style Sheet) col fine di memorizzare alcuni dati per gli script downloader. Questo nuovo metodo risulta particolarmente efficace perché rende difficile per gli antivirus il riconoscimento degli script dannosi, permettendo così ai cyber criminali di infettare senza essere scoperti.
La classifica di Febbraio. Ci sono tre nuovi ingressi nella Top 20 dei programmi più malevoli scoperti su internet a febbraio 2011 e tutti hanno pagine che contengono CSS e script downloader malevoli. Il Troian-Downloader.HTML.Agent.sl si è classificato al 1 posto, mentre gli altri entrano in tredicesima e diciannovesima posizione – rispettivamente Exploit.JS.StyleSheeter.b e Trojan.JS.Agent.bte.
Gli script downloader all’interno di queste pagine web scaricano due differenti tipi di exploit. Uno di loro, che sfrutta la vulnerabilità CVE-2010-1885 del sistema Help e del Centro di Supporto di Windows Microsoft, si è piazzato al quarto posto nella nostra classifica Top 20. In media questo malware è stato rilevato su 10mila computer ogni giorno. Il secondo tipo di exploit sfrutta la vulnerabilità CVE-2010-0840 nella scrittura Java e si deve accontentare di tre entrate: il Trojan-Downloader.Java.OpenConnection al terzo posto, il Trojan.Java.Agent.Ak al settimo posto e il Troja-Downloader.Java.OpenConnection.dc al nono posto della classifica delle minacce provenienti da internet.
Attenzione al PDF. Il mese di Febbraio ha confermato che ci sono ancora PDF potenzialmente pericolosi: il numero dei computer unici in cui sono state rilevate minacce da PDF ha raggiunto le 58mila unità. Uno di questi malware provenienti da PDF – Exploit.JS.Pdfka.ddt – è entrato nella top 20 dei programmi malevoli su internet all’ottava posizione.
Malware aiuta Malware. Un programma malevolo è stato usato per proteggere il worm Palevo P2P ed è stato trovato su 67mila computer nell’ultimo mese. Questo worm è responsabile della creazione della botnet Mariposa che è stata chiusa dalla polizia Spagnola poco tempo fa. Sembra molto probabile che la recente diffusione di questo worm protetto da packer è legata a un tentativo da parte dei cyber criminali di creare una nuova botnet o di ripristinare quella precedente.
Penetrato mercato android. Inoltre quest’ultimo mese ha visto la scoperta di numerosi nuovi programmi maligni per la piattaforma Android. Di grande popolarità fra i cyber criminali sono stati i malware per la piattaforma J2ME. Ad esemprio il Trojan -SMS.J2ME.Agent.cd, è entrato nella Top 20 dei programmi malevoli al diciottesimo posto. La sua attività principale è quella di mandare SMS a numeri a pagamento.