Sicurezza: inizio anno col botto per i malware. Mai così tanti come a gennaio

Il report Threatscape di Fortinet di gennaio 2010 segnala un avvio intenso del nuovo anno con una presenza dominante di attività malware basate su botnet, guidate da nuove varianti del sempre attivo downloader Bredolab, responsabile di oltre il 40% delle attività totali di malware durante il mese di gennaio. Rispetto al periodo precedente, inoltre, la presenza di malware specifico è raddoppiata, facendo registrare il numero più alto di istanze di codice dannoso mai rilevato. Il periodo è stato contraddistinto anche dagli exploit in circolazione sulla rete, con vulnerabilità di alto profilo destinati ad Adobe PDF e Microsoft Internet Explorer che hanno causato livelli massimi di attività. Per non tralasciare il fatto che in questo periodo alle attività di Bredolab si sono aggiunte quelle di Buzus, un bot che funziona in modo analogo a Bredolab, ma che si diffonde tramite il proprio motore di mass mailing SMTP. Le principali minacce del mese di gennaio includono: Bredolab - Si mantiene nelle prime posizioni: per il terzo mese consecutivo, il botnet Bredolab si è aggiudicato le prime posizioni nell'elenco di Fortinet dei dieci principali malware, con varianti nella prima e seconda posizione che complessivamente ammontano a oltre il 40% delle attività totali di malware rilevate. Un'altra variante presente in questo elenco, correlata agli attacchi di Gumblar, diffonde il loader Bredolab tramite siti Web dannosi che contengono codice Javascript nascosto allo scopo di avviare un'infezione. Il team Threat Research di Fortinet, inoltre, ha scoperto un nuovo motore di mailing Web che consentirà a Bredolab di diffondersi tramite account quali Hotmail e Gmail, ampliandone ulteriormente la portata e aprendo la strada a servizi di spamming più efficaci su queste piattaforme. Benché il volume complessivo di malware sia tornato a livelli più contenuti, analoghi a quelli precedenti a ottobre 2009, in questo periodo Bredolab si è aggiudicato la maggior parte delle attività minacciose, portando il Giappone al primo posto in termini di volume di malware rilevato.

I noti attacchi a oltre 30 società

Aurora - A differenza della Bella Addormentata (Sleeping Beauty) è attivo e pericoloso: i noti attacchi a oltre 30 società, inclusa Google, avranno anche lo stesso nome della principessa della fiaba della Bella Addormentata, ma non sono di certo tranquilli e accattivanti. Con nome in codice "Aurora" (identificatore effettivo: CVE-2010-0249), la vulnerabilità zero-day di Internet Explorer si è manifestata a metà gennaio ed è subito salita al quarto posto tra le attività di rete dannose in questo periodo, diventando uno dei sei principali difetti critici identificati. Gli exploit di Aurora, unitamente alle attività di comunicazione e propagazione dei botnet, costituiscono la maggior parte dei principali attacchi alla rete rilevati a gennaio. Spamming - Una vecchia conoscenza sempre attuale: Buzus, una new-entry nel report Threatscape di Fortinet di questo periodo, è rappresentato da due varianti e funziona diffondendo lo spamming tramite il proprio motore SMTP. Buzus (Circa 2008) è tornato alla ribalta in questo periodo tramite un presunto biglietto di auguri di Natale da 123greetings.com, allegato come file zip. In questo mese, inoltre, due nuove tattiche hanno ulteriormente contribuito ad aumentare i livelli di spamming, incluso un interessante aggancio di social engineering che porta gli utenti a credere di aver scoperto un segreto per far soldi: un testo eMail con un link che indirizza le persone a un presunto algoritmo per vincere denaro tramite il gioco d'azzardo online. L'altra tattica, invece, si basa sulle attività più basilari di spamming: un messaggio semplice, solitamente con l'oggetto "Sei tu", diffonde un link che

Le minacce non sono di certo mancate

"In questo mese le minacce non sono di certo mancate, a indicare che il 2010 sarà probabilmente un altro anno molto movimentato da questo punto di vista. La quantità di codice dannoso in circolazione aumenta in base alle risorse disponibili e alle tecniche di packing/obfuscation, mentre gli exploit attivi e gli attacchi zero-day rivolti a software molto diffusi, come Microsoft IE e Adobe PDF, creano un ambiente vulnerabile per gli utenti, in qualsiasi punto di connessione", ha dichiarato Derek Manky, Project Manager, Cyber Security and Threat Research di Fortinet. "Fino a quando queste minacce offriranno un vantaggio economico ai malintenzionati che le creano, continueranno a manifestarsi attacchi nuovi e creativi. Ad esempio, questo mese abbiamo scoperto un nuovo motore di mailing Web sulla rete, in grado di distribuire lo spamming in modo più efficace tramite servizi diffusi come Gmail. Si tratta di un ulteriore episodio che ci ricorda quanto sia importante mantenere aggiornate le patch e adottare un approccio alla sicurezza a più livelli per proteggere gli utenti su tutti i fronti".

(05 febbraio 2010)

© 2002-2012 Key4biz