Doctor Web: panoramica sull'attività di virus a giugno 2018

3 luglio 2018

Il primo mese estivo è stato relativamente tranquillo in termini di sicurezza informatica. Nella seconda metà di giugno gli analisti di virus Doctor Web hanno registrato un mailing attraverso cui i truffatori sulla rete cercavano di ingannare gli utenti di Internet. Inoltre, durante il mese passato sono stati rilevati nuovi programmi malevoli per la piattaforma mobile Android.

La minaccia del mese

Nella seconda metà di giugno sono stati registrati diversi casi di invio di massa di email attraverso cui i malfattori cercavano di attirare le potenziali vittime su siti fraudolenti. Oltre alla posta elettronica, per l'invio dello spam i criminali informatici utilizzavano attivamente moduli di feedback collocati su varie risorse internet, e neanche la presenza di "captcha" li fermava. I messaggi contenevano un testo standard sulla ricezione da parte dell'utente di un'operazione o un trasferimento di denaro. Ecco alcuni esempi di simili messaggi: "Buongiorno, abbiamo inviato un pagamento di $33,50 USD Codice fattura da pagare: 2478347616. La notifichiamo che il credito residuo è sufficiente per il rinnovo automatico", "Il credito residuo corrente del conto personale è 13.300 rubli. La informiamo dell'accredito di un pagamento di 1.017 rubli per la fattura N. 97724", "La notifichiamo dell'accredito di un pagamento di 0.031 rubli. Il credito residuo del conto personale corrente è 37.561 rubli", "I dettagli del Suo ordine: Aumento del credito residuo - 2 unità - 379.03 $. Grazie per aver utilizzato il sistema di ordini online". È interessante notare che tutti i link in simili email conducevano sul servizio gratuito Google Docs su cui i malintenzionati avevano collocato un documento PDF con l'offerta di ritirare un premio di denaro.

Cliccando sul link in questo documento PDF, la potenziale vittima arrivava su uno dei siti fraudolenti che offrivano di ricevere una vincita o una ricompensa.

L'ulteriore schema della truffa è abbastanza semplice, viene utilizzato da tempo dai truffatori sulla rete: per ricevere il premio offerto, il visitatore del sito deve trasferire una piccola somma ai criminali informatici, dopodiché, ovviamente, non riceve alcuna ricompensa. Gli indirizzi di tutte le risorse internet fraudolente rilevate dagli analisti Doctor Web sono stati aggiunti ai database dei siti sconsigliati di Parental control e Office control.

Secondo i server delle statistiche Doctor Web

JS.BtcMine.36

Uno script nel linguaggio JavaScript progettato per l'estrazione nascosta delle criptovalute (il mining).

Trojan.DownLoader

Una famiglia di trojan che hanno l'obiettivo di scaricare altre applicazioni malevole sul computer sotto attacco.

JS.Inject

Una famiglia di script malevoli, scritti nel linguaggio JavaScript. Integrano uno script malevolo nel codice HTML di pagine web.

Trojan.Starter.7394

Un rappresentante della famiglia di trojan che hanno l'obiettivo principale di avviare nel sistema infetto un file eseguibile con un determinato set di funzioni malevole.

Trojan.Dimnie.5

Un trojan spione che è in grado di rubare informazioni riservate dal dispositivo infetto e fornire l'accesso non autorizzato al computer. Contiene anche un modulo banker.

Le statistiche sulle applicazioni malevole nel traffico email

Trojan.DownLoader

Una famiglia di trojan che hanno l'obiettivo di scaricare altre applicazioni malevole sul computer sotto attacco.

Trojan.Dimnie.5

Un trojan spione che è in grado di rubare informazioni riservate dal dispositivo infetto e fornire l'accesso non autorizzato al computer. Contiene anche un modulo banker.

JS.BtcMine.36

Uno script nel linguaggio JavaScript progettato per l'estrazione nascosta delle criptovalute (il mining).

Trojan.PWS.Stealer

Una famiglia di trojan studiati per rubare password ed altre informazioni confidenziali sul computer infetto.

Cryptolocker

A giugno al servizio di supporto tecnico Doctor Web il più spesso si rivolgevano gli utenti le cui informazioni sono state cifrate dalle seguenti versioni dei trojan cryptolocker:

• Trojan.Encoder.858 — 15,47% dei casi;
• Trojan.Encoder.25574 — 12,31% dei casi;
• Trojan.Encoder.11464 — 8,32% dei casi;
• Trojan.Encoder.13671 — 5,99% dei casi;
• Trojan.Encoder.24249 — 4,33% dei casi;
• Trojan.Encoder.10700 — 2,32% dei casi.

Siti pericolosi

A giugno 2018, 395.477 indirizzi Internet sono stati aggiunti al database dei siti malevoli e sconsigliati.

Programmi malevoli e indesiderati per dispositivi mobili

Il mese scorso gli analisti di virus Doctor Web hanno rilevato su Google Play un grande numero di programmi in cui era incorporato un modulo adware indesiderato Adware.Appalytic.1.origin. Questo modulo visualizzava avvisi fastidiosi in cui offriva di scaricare vari software, e inoltre apriva in autonomo in Play Store le pagine di applicazioni pubblicizzate. In seguito, i nostri specialisti hanno rilevato su Google Play alcuni nuovi trojan della famiglia Android.FakeApp i quali, su comando dei malfattori, caricavano una grande varietà di siti web. Inoltre, a giungo vaniva distribuito il trojan Android.Spy.461.origin, utilizzato dagli autori di virus per spionaggio informatico. Oltre a ciò, tra i programmi malevoli che minacciavano i proprietari di smartphone e tablet Android c'era il trojan di invio di SMS Android.SmsSend.1989.origin che abbonava gli utenti a servizi a pagamento.

Gli eventi più notevoli relativi alla sicurezza "mobile" a giungo:

• rilevamento di nuovi trojan Android su Google Play;
• diffusione di un trojan spione.

Maggiori informazioni circa la situazione con i virus per dispositivi mobili a giugno sono ritrovabili nella nostra panoramica specifica.