Doctor Web: panoramica sull'attività di virus a luglio 2018

31 luglio 2018

All'inizio di luglio gli analisti di virus Doctor Web hanno esaminato un nuovo trojan miner di criptovalute che si diffondeva tramite uno schema particolare. Inoltre, durante il mese erano attivi gli spammer che pubblicizzavano siti fraudolenti. Inoltre, a luglio i database dei virus Dr.Web sono stati integrati con nuovi record di programmi malevoli orientati alla piattaforma mobile Android.

La minaccia del mese

Gli specialisti di sicurezza informatica hanno già incontrato le diffusioni di programmi malevoli tramite il meccanismo di aggiornamento di applicazioni. Proprio con questo metodo raggiungevano gli utenti il trojan cryptolocker Trojan.Encoder.12544 (Petya, Petya.A, ExPetya e WannaCry-2) e il backdoor BackDoor.Dande. A luglio il servizio di supporto tecnico Doctor Web è stato contattato da un utente sul computer del quale appariva periodicamente un'applicazione per il mining di criptovalute che ogni volta veniva rimossa dall'antivirus. Un'indagine condotta dagli analisti ha mostrato che il colpevole dell'incidente informatico è stato il programma "Kompjuternyj zal" (in russo "sala computer") progettato per l'automatizzazione di club di computer e Internet café.

Il meccanismo di aggiornamento di questo programma scaricava in automatico da Internet e installava nel sistema un trojan miner di criptovalute Trojan.BtcMine.2869. Per il 9 luglio gli specialisti Doctor Web hanno rilevato 2700 computer infettati da questo trojan. Maggiori informazioni su questo incidente informatico sono state pubblicate in un articolo sul nostro sito.

Secondo i server delle statistiche Doctor Web

JS.BtcMine

Una famiglia di script nel linguaggio JavaScript progettati per l'estrazione di criptovalute nascosta (il mining).

JS.Inject

Una famiglia di script malevoli, scritti nel linguaggio JavaScript. Integrano uno script malevolo nel codice HTML di pagine web.

Trojan.DownLoader

Una famiglia di trojan che hanno l'obiettivo di scaricare altre applicazioni malevole sul computer sotto attacco.

Trojan.Starter.7394

Un rappresentante della famiglia di trojan che hanno l'obiettivo principale di avviare nel sistema infetto un file eseguibile con un determinato set di funzioni malevole.

Le statistiche sulle applicazioni malevole nel traffico email

JS.Inject

Una famiglia di script malevoli, scritti nel linguaggio JavaScript. Integrano uno script malevolo nel codice HTML di pagine web.

JS.BtcMine

Una famiglia di script nel linguaggio JavaScript progettati per l'estrazione di criptovalute nascosta (il mining).

Trojan.PWS.Stealer

Una famiglia di trojan studiati per rubare password ed altre informazioni confidenziali sul computer infetto.

Trojan.Inject

Una famiglia di trojan che integrano un codice malevolo nei processi di altri programmi.

Cryptolocker

A luglio al servizio di supporto tecnico Doctor Web il più spesso si rivolgevano gli utenti le cui informazioni sono state cifrate dalle seguenti versioni dei trojan cryptolocker:

• Trojan.Encoder.858 — 17.69% dei casi;
• Trojan.Encoder.25574 — 11.38% dei casi;
• Trojan.Encoder.11464 — 8.06% dei casi;
• Trojan.Encoder.567 — 5.08% dei casi;
• Trojan.Encoder.5342 — 3.85% dei casi;
• Trojan.Encoder.24249 — 3.33% dei casi.

Siti pericolosi

A luglio gli specialisti Doctor Web hanno registrato diversi invii di massa di messaggi di posta che pubblicizzavano varie risorse fraudolente. In particolare, gli spammer inviavano falsi messaggi in nome dell'azienda Yandex offrendo di confermare l'associazione di un indirizzo di posta con un account sul portale passport.yandex.ru. Il link che i truffatori collocavano nell'email conduceva effettivamente sul portale Yandex. Mentre un altro link, che annunciava la ricezione di un premio (non esistente), portava la potenziale vittima su un sito dei truffatori sulla rete i quali chiedevano di pagare un piccolo importo per il regalo promesso.

In una serie di altri messaggi fraudolenti c'erano link a pagine di servizi pubblici, come Google Docs, su cui i malintenzionati collocavano una pagina web con un'immagine che simula il pannello standard di protezione automatica contro i robot reCAPCHA. Un clic con il mouse su questa immagine reindirizzava gli utenti su vari siti di phishing.

Gli indirizzi di tutte le risorse fraudolente rilevate dagli analisti Doctor Web sono stati aggiunti ai database dei siti sconsigliati di Parental control e Office control Dr.Web.

Nel corso di luglio 2018, 512.763 indirizzi internet sono stati aggiunti al database dei siti sconsigliati e malevoli.

Programmi malevoli e indesiderati per dispositivi mobili

Il mese passato nella directory Google Play sono stati rilevati diversi programmi malevoli pericolosi. Uno di essi è il trojan Android.Banker.2746 che visualizzava una falsa finestra di immissione dei dati personali durante l'avvio di applicazioni bancarie. Un altro trojan, denominato Android.DownLoader.753.origin, scaricava banker Android da un server dei malintenzionati per evitare il rilevamento del programma malevolo principale in Google Play. C'erano anche altri banker tra i trojan che venivano distribuiti a luglio. Uno di essi è Android.BankBot.279.origin. Veniva scaricato sui dispositivi mobili quando l'utente visitava siti fraudolenti. Inoltre, a luglio i malintenzionati di nuovo distribuivano un'applicazione malevola backdoor che gli analisti Doctor Web conoscono da aprile 2017. Essa spiava utenti e propagava un worm che infettava computer con il sistema operativo Windows. Inoltre, il mese passato gli specialisti Doctor Web hanno rilevato ed esaminato diversi nuovi programmi studiati per lo spionaggio informatico. Essi sono stati denominati Program.Shadspy.1.origin e Program.AppSpy.1.origin.

Gli eventi più notevoli relativi alla sicurezza mobile a luglio:

• rilevamento di trojan in Google Play;
• diffusione dei banker Android;
• diffusione di un backdoor Android che i malintenzionati utilizzavano per infettare computer con Windows;
• rilevamento di nuovi programmi spione commerciali.

Maggiori informazioni circa la situazione con i virus per dispositivi mobili a luglio sono ritrovabili nella nostra panoramica specifica.