3 giugno 2013

All’inizio di maggio è stato scoperto un trojan pericoloso che sostituiva furtivamente le pagine web che utenti cercavano di aprire nel browser. Un altro trojan individuato a maggio eseguiva azioni malevole su Facebook, Google Plus e Twitter. Alla fine del mese, è stato intercettato ancora un altro server della botnet “Rmnet” i cui dati mostravano che nella rete dannosa si propagavano due componenti nuovi di questo file virus. Inoltre, a maggio sono state scoperte nuove applicazioni malevole per Android, perlopiù spyware.

Malware

Le informazioni statistiche raccolte dall’utility Dr.Web CureIt! mostrano che il malware più diffuso a maggio è stato Trojan.Hosts.6815 (rilevato sul 2,53% dei computer infetti). Il secondo posto è occupato da Trojan.Mods.1, un cavallo di troia che sostituisce contenuti delle pagine web visitate dall’utente, di cui abbiamo scritto in una nostra notizia. Le scansioni eseguite dall’utility Dr.Web CureIt! sui computer infetti hanno rilevato 15.830 copie di questo trojan (il 1,95% del totale). Come prima, è alto il numero dei programmi Trojan.Mayachok che si trovano nella memoria operativa dei computer infetti. Inoltre spesso vengono rilevati BackDoor.IRC.NgrBot.42 e diverse varianti di Trojan.Redirect. La tabella sottostante riporta le venti minacce più diffuse a maggio, secondo le statistiche di Dr.Web CureIt!:

Botnet

Attualmente, Doctor Web controlla due sottoreti della botnet creata sulla base del file virus Win32.Rmnet.12. A maggio 2013, il numero complessivo di nodi attivi è stato 619.346 nella prima sottorete e 459.524 nella seconda. Nell’ultima decade di maggio abbiamo notato un rialzo inaspettato. Così nell’arco di dieci giorni, 116.617 computer nuovi hanno aderito alla prima sottorete e 143.554 nodi si sono uniti alla seconda. Il numero medio giornaliero di nuovi bot è stato 11.000 e 14.000 rispettivamente. I diagrammi sottostanti illustrano la dinamica di queste sottoreti nel periodo dal 19 al 29 maggio 2013:

Nello stesso tempo, la botnet affine Win32.Rmnet.16 si espandeva molto lentamente: dal 19 al 29 maggio soli 181 computer nuovi si sono registrati in questa rete dannosa. Il numero totale di bot attivi è stato 5.220. Possiamo concludere che il file virus Win32.Rmnet.16 adesso non rappresenta alcun rischio di epidemia.

All’inizio di aprile 2013, Doctor Web ha informato di aver intercettato un server di gestione della botnet BackDoor.Bulknet.739. Questa rete dannosa viene utilizzata dai malintenzionati per inviare email di spam. La sua presenza è più grande in Italia, Francia, Turchia, Stati Uniti, Messico e Thailandia. Se all’inizio di aprile il server intercettato riceveva query da circa settemila computer compromessi, alla fine di maggio i bot attivi erano 17.242. Il seguente diagramma mostra la crescita avvenuta nel periodo dal 19 al 29 maggio.

Alla fine di maggio, Doctor Web ha preso sotto controllo ancora un altro server della bot “Rmnet”. Nella sottorete appartenente a questo server, si propagano due moduli malevoli nuovi, chiamati con il nome generale Trojan.Rmnet.19. Uno di questi moduli cerca macchine virtuali, mentre l’altro disattiva gli antivirus Microsoft Security Essential, Norton Antivisus, Eset NOD32, Avast, Bitdefender, AVG installati sugli elaboratori compromessi. Per disattivare gli antivirus, il modulo emula un’azione dell’utente, cioè il clic su icone. Secondo i dati del 29 maggio, 20.235 nodi attivi risultano connessi al server di gestione intercettato da Doctor Web. Un’altra informazione: dal 19 al 29 maggio 8.447 nodi nuovi si sono registrati su questo server. Possiamo vedere i cambiamenti della sottorete sul seguente diagramma.

Le informazioni più dettagliate su questa minaccia sono state pubblicate in una notizia di Doctor Web.

Rimane attiva anche la botnet BackDoor.Dande. Il trojan BackDoor.Dande infetta sole postazioni su cui è installato un speciale software per l’ordine di farmaci e si occupa di rubare le informazioni riservate. Attualmente, Doctor Web sa dell’esistenza di due sottoreti, in una delle quali funzionano 331 postazioni compromesse, nell’altra 1.291.

Inoltre rimane attiva anche la botnet BackDoor.Flashback.39 composta da elaboratori Apple. Benché sia passato più di un anno dal momento della sua scoperta, questa rete dannosa funziona ancora e include 65.987 Mac infetti.

A febbraio 2013, Doctor Web ha comunicato del trojan Linux.Sshdkit che attacca server Linux. Questo malware è una libreria dinamica le cui versioni possono funzionare nelle distribuzioni Linux a 32 bit e a 64 bit. Una volta installato nel sistema, il cavallo di troia si incorpora nel processo sshd intercettando le funzioni di autenticazione. Dopo che l’utente ha inserito il login e la password, il cavallo di troia invia questi dati su un server remoto in possesso dei malintenzionati.

Doctor Web ha intercettato uno dei server di controllo di Linux.Sshdkit utilizzando il metodo ben conosciuto “sinkhole”. Analizzando le informazioni del server, abbiamo confermato che il trojan trasmette a server remoti le credenziali di accesso rubate dai server Linux attaccati. A maggio 2013, il trojan ha inviato sul server i dati di accesso a 562 server Linux, tra cui vi sono server di grandi hosting provider.

Minaccia del mese: Trojan.Facebook.311

Gli utenti dei social network hanno già subito più attacchi da parte dei truffatori e propagatori di malware. A metà maggio, i social network sono stati assaliti dal programma Trojan.Facebook.311, un’estensione JavaScript per i browser Google Chrome e Mozilla Firefox. Le estensioni malevole si propagavano attraverso una pagina web creata dai malintenzionati che proponevano agli utenti incauti di scaricare un falso “aggiornamento di sicurezza per la riproduzione del video”.

Al momento dell’avvio del browser, Trojan.Facebook.311 installato cerca di scaricare dal server remoto un file contenente una serie di comandi dei malintenzionati. In seguito, le estensioni malevole incorporate nei browser aspettano il momento in cui l’utente accede al social network e poi cominciano a eseguire diverse azioni a nome dell’utente, per esempio: pubblicare uno status, mettere “Mi piace”, collocare una notizia sulla bacheca, mandare messaggi personali ecc. Il malware può funzionare non solo in Facebook, ma anche in Twitter e Google Plus, in particolare inviando spam agli utenti di questi social network. Sul sito di Doctor Web è stata pubblicata una notizia che racconta di questa minaccia in maggiori dettagli.

Attacco agli utenti di Skype

Il 23 maggio molte riviste sulla rete hanno riferito una spedizione dello spam mirata soprattutto agli utenti russi di Skype. I malintenzionati sfruttavano la messaggistica istantanea di Skype per inviare messaggi contenenti link malevoli a nome degli utenti inclusi nella rubrica. Se l’utente cliccava su tale collegamento, tramite i servizi di condivisione di file 4shared.com o dropbox.com si scaricava un archivio compresso con dentro il programma Trojan.Gapz.17 che poi scaricava Trojan.SkypeSpam.11. Lo scopo di questo trojan è inviare messaggi utilizzando contatti degli utenti di Skype, Windows Messenger, QIP, Google Talk e Digsby.

La definizione di Trojan.SkypeSpam.11 è stata aggiunta ai database di Dr.Web ancora il 22 maggio.

Minacce per Android

L’ultimo mese primaverile non è stato un periodo tranquillo per gli utenti della piattaforma mobile Android. A maggio abbiamo osservato la comparsa di una serie di spyware studiati per rubare informazioni confidenziali dai dispositivi Android.

Così l’applicazione malevola Android.Pincer.2.origin, scoperta a metà maggio, è un trojan pericoloso che può intercettare SMS in entrata e rimandarli a un server remoto. Gli autori di Android.Pincer.2.origin hanno previsto la possibilità di individuare SMS che arrivano da un numero di telefono determinato. Per attivare questa possibilità, i malintenzionati inviano al trojan un comando appropriato tramite SMS. Il malware che si diffonde sotto forma di un certificato di sicurezza rappresenta una seria minaccia per i proprietari dei dispositivi Android poiché gli SMS intercettati possono contenere codici mTAN inviati dai sistemi di home banking o altre informazioni sensibili degli utenti. Una notizia pubblicata sul sito di Doctor Web descrive questo malware in più dettagli.

Inoltre, a maggio è stato scoperto un ennesimo spyware orientato agli utenti giapponesi. Android.AccSteal.1.origin si propagava sotto forma di un’applicazione “per adulti”, come anche altri malware di questo tipo. Una volta avviata sul dispositivo mobile, l’applicazione caricava verso il server remoto dei malintenzionati le seguenti informazioni riservate: nome dell’account Google Mail, IMEI, nome del modello del dispositivo mobile, numero di cellulare dell’utente.

A differenza dei malware simili, quest’applicazione esegue effettivamente le funzioni aspettate dall’utente, cioè permette di visualizzare filmati erotici, ma questa possibilità è disponibile solo se il dispositivo è connesso a Internet di cui il programma informa l’utente in una finestra di dialogo. Tenendo presente che Android.AccSteal.1.origin si diffonde attraverso un sito fraudolento che imita un aspetto di Google Play già obsoleto, possiamo ipotizzare che i malintenzionati vogliano distrarre l’attenzione degli utenti da questo fatto per assicurare più avvii dell’applicazione e di conseguenza più furti delle informazioni confidenziali.

I criminali informatici non hanno risparmiato neanche gli utenti cinesi. Il trojan – spyware Android.Roids.1.origin che a maggio si diffondeva su un forum cinese popolare sotto forma di un’utility di sistema è in grado di trasmettere al server remoto una quantità impressionante di informazioni sensibili. Tali informazioni includono l’elenco delle applicazioni installate, il registro di SMS e chiamate, la rubrica, la lista di file salvati sulla scheda di memoria e altri dati. Oltre a ciò, il trojan è capace di registrare conversazioni nelle chiamate e di localizzare l’utente tramite le coordinate GPS.

File malevoli, rilevati a maggio nel traffico e-mail

File malevoli, rilevati a maggio sui computer degli utenti