Doctor Web: resoconto sui virus ad aprile 2017

28 aprile 2017

Ad aprile sono accaduti molti eventi relativi alla sicurezza delle informazioni. All'inizio del mese i criminali informatici hanno organizzato un invio di email malevole attraverso cui distribuivano un trojan multicomponente. È progettato per il furto di informazioni riservate dal computer infetto. A metà aprile gli specialisti Doctor Web hanno esaminato uno schema di frode in cui i malfattori utilizzavano per l'inganno un programma malevolo. Alla fine del mese è stata individuata una vulnerabilità di protezione nella suite per ufficio Microsoft Office ed è stata registrata la diffusione di un trojan che ruba password dal computer infetto.

La minaccia del mese

Il trojan multifunzionale, denominato Trojan.MulDrop7.24844, veniva distribuito come un allegato compresso ai messaggi di posta elettronica.

Nell'archivio compresso si trova un container creato con utilizzo delle possibilità del linguaggio Autoit. Uno dei componenti, avviato da Trojan.MulDrop7.24844 sul computer infetto è un'applicazione per l'amministrazione remota — viene rilevata da Antivirus Dr.Web come Program.RemoteAdmin.753. Oltre a questo componente, il trojan salva su disco altre due applicazioni che sono versioni a 32 e 64 bit dell'utility Mimikatz. È progettata per l'intercettazione di password di sessioni aperte in Windows. Trojan.MulDrop7.24844 attiva un keylogger che registra in file informazioni sui tasti premuti dall'utente, e inoltre svolge una serie di altre funzioni che vengono determinate dal parametro impostato al suo avvio. Il trojan apre ai malintenzionati un accesso remoto attraverso il protocollo RDP (Remote Desktop Protocol) e di conseguenza loro possono gestire il computer infetto. Per sapere di più di questo programma malevolo, leggete un articolo pubblicato sul sito Doctor Web.

Secondo le statistiche di Antivirus Dr.Web

• Trojan.DownLoader
  Una famiglia dei trojan che hanno l'obiettivo di scaricare altre applicazioni dannose sul computer sotto attacco.
• Trojan.InstallCore
  Una famiglia dei programmi che installano applicazioni indesiderate e malevole.
• Trojan.LoadMoney
  Una famiglia dei programmi-downloader che vengono generati dai server del partner program LoadMoney. Queste applicazioni scaricano e installano diversi programmi indesiderati sul computer della vittima.
• Trojan.SMSSend.7306
  Un membro della famiglia dei programmi malevoli realizzati come un archivio con un installer integrato. Offre di inviare un SMS a pagamento a un numero di servizio breve per confermare l'installazione e ottenere l'accesso ai contenuti dell'archivio o di indicare un numero di telefono e di immettere il codice ricevuto nel messaggio di risposta, acconsentendo alle condizioni di un'iscrizione a pagamento. La "specializzazione" principale di Trojan.SMSSend è il ricatto.
• Win32.Virut.5
  Un virus polimorfo composto che infetta file eseguibili e contiene le funzioni di controllo remoto del computer infetto.

Secondo le informazioni dei server delle statistiche Doctor Web

• JS.DownLoader
  Una famiglia degli script malevoli, scritti nel linguaggio JavaScript. Scaricano e installano sul computer altri programmi malevoli.
• Trojan.InstallCore
  Una famiglia dei programmi che installano applicazioni indesiderate e malevole.
• Trojan.DownLoader
  Una famiglia dei trojan che hanno l'obiettivo di scaricare altre applicazioni dannose sul computer sotto attacco.
• BackDoor.Comet.3269
  Un membro della famiglia dei programmi malevoli che eseguono sul dispositivo infetto comandi impartiti dai criminali informatici e forniscono loro l'accesso non autorizzato al dispositivo.

Le statistiche delle applicazioni malevole nel traffico email

• JS.DownLoader
  Una famiglia degli script malevoli, scritti nel linguaggio JavaScript. Scaricano e installano sul computer altri programmi malevoli.
• Trojan.InstallCore
  Una famiglia dei programmi che installano applicazioni indesiderate e malevole.
• Trojan.PWS.Stealer
  Una famiglia dei trojan studiati per rubare password ed altre informazioni confidenziali sul computer infetto.
• W97M.DownLoader
  Una famiglia dei trojan-downloader che per il loro funzionamento si approfittano delle vulnerabilità nelle applicazioni di ufficio. Sono studiati per scaricare altre applicazioni malevole sul computer sotto attacco.

Secondo i dati del bot Dr.Web per Telegram

• Android.Locker.139.origin
  Un membro della famiglia dei trojan Android studiati per il riscatto. Visualizza un messaggio invadente su una presunta trasgressione della legge da parte dell'utente e del conseguente bloccaggio del dispositivo mobile, per levare il quale viene suggerito all'utente di pagare un determinato importo.
• Android.HiddenAds.24
  Un trojan progettato per la visualizzazione di pubblicità invadente.
• BackDoor.Bifrost.29284
  Un membro di una famiglia di trojan-backdoor che sono in grado di eseguire sul computer infetto comandi impartiti su remoto dai malfattori.
• Android.SmsSend.15044
  Un membro della famiglia dei programmi malevoli che sono studiati per inviare SMS con tariffe elevate o per abbonare gli utenti a vari servizi di contenuti a pagamento.
• Joke.Locker.1.origin
  Un programma-scherzo per SO Android che blocca lo schermo del dispositivo mobile e ci visualizza una "schermata blue" di SO Windows (BSOD, Blue Screen of Death).

Ad aprile al servizio di supporto tecnico Doctor Web il più spesso si rivolgevano gli utenti le cui informazioni sono state cifrate dalle seguenti versioni dei trojan cryptolocker:

• Trojan.Encoder.858 — 33.57% delle richieste;
• Trojan.Encoder.3953 — 8.97% delle richieste;
• Trojan.Encoder.567 — 3.80% delle richieste;
• Trojan.Encoder.10144 — 3.59% delle richieste;
• Trojan.Encoder.761 — 2.58% delle richieste.

Dr.Web Security Space 11.0 per Windows
protegge dai cryptolocker (trojan-encoder)

Queste funzioni non sono disponibili nella licenza "Antivirus Dr.Web per Windows".

Prevenzione della perdita di dati

Per maggiori informazioni

Ad aprile 2017, 568.903 indirizzi Internet sono stati aggiunti al database dei siti malevoli e sconsigliati.

A metà aprile Doctor Web ha informato di uno schema di frode che viene utilizzato recentemente dai truffatori su Internet che vogliono guadagnare con le "partite truccate".

Di solito i truffatori vendono agli utenti creduloni informazioni inattendibili circa l'esito di prossime gare sportive, utilizzando tali informazioni si sarebbe in grado di fare presso bookmaker scommesse garantitamente vincenti. Adesso i criminali informatici offrono alla potenziale vittima di scaricare un archivio RAR autoestraente protetto da password che avrebbe contenuto un file di testo con i risultati di una partita. I truffatori inviano la password per l'archivio dopo la fine della gara – così la potenziale vittima sarebbe in grado di accertarsi della qualità della previsione. Tuttavia, invece di un archivio lei ottiene un software scritto dai malfattori che imita pienamente l'interfaccia e il comportamento di un archivio SFX creato tramite l'applicazione WinRAR. Questo "archivio" falso contiene un template di file di testo in cui attraverso un algoritmo speciale vengono inseriti i risultati richiesti della partita a seconda di ciò quale password verrà immessa dall'utente. Il programma è stato aggiunto ai database dei virus Dr.Web sotto il nome Trojan.Fraudster.2986, e gli indirizzi delle pagine web che lo diffondono – ai database dei siti sconsigliati.

Altri eventi nella sfera della sicurezza informatica

Alla fine di aprile è stata registrata la diffusione del programma malevolo Trojan.DownLoader23.60762 progettato per il furto di password dai browser popolari e per il download non autorizzato di file differenti. Sul computer infetto il trojan si incorpora nei processi dei browser e intercetta le funzioni responsabili della comunicazione di rete. Può eseguire i seguenti comandi:

• avvia un file da una cartella temporanea su disco del computer infetto;
• integrati in un processo in esecuzione;
• scarica un file indicato;
• lancia un file eseguibile indicato;
• salva e trasmetti ai malintenzionati il database SQLite utilizzato da Google Chrome;
• passa al server di controllo indicato;
• rimuovi file cookie;
• riavvia il sistema operativo;
• spegni il computer.

Maggiori informazioni su questo programma malevolo possono essere trovate in un materiale pubblicato sul nostro sito.

Inoltre, ad aprile è stata rilevata una falla nell'editor di testo Word che fa parte del pacchetto Microsoft Office. I malintenzionati hanno creato per questa falla un exploit, denominato Exploit.Ole2link.1. L'exploit è realizzato come un documento Microsoft Word con l'estensione .docx. A un tentativo di apertura di questo documento, viene caricato un altro file con il nome doc.doc che contiene uno script HTA incorporato, rilevato da Dr.Web sotto il nome di PowerShell.DownLoader.72. Questo script HTA, creato con utilizzo della sintassi Windows Script, richiama l'interprete dei comandi PowerShell. In esso viene processato un altro script malevolo che scarica un file eseguibile sul computer sotto attacco. Maggiori informazioni circa questa vulnerabilità sono ritrovabili in un articolo panoramico.

Programmi malevoli per Linux

Durante il mese scorso gli esperti Doctor Web hanno registrato 1.317.388 attacchi a vari dispositivi Linux, di cui in 147.401 veniva utilizzato il protocollo SSH e in 1.169.987 il protocollo Telnet. Il rapporto proporzionale dei programmi malevoli che i criminali informatici caricavano sui dispositivi attaccati è mostrato nel seguente diagramma:

• Linux.Mirai
  Un trojan per SO Linux progettato per l'organizzazione di attacchi DDoS. Può disattivare il timer di guardia watchdog che previene il blocco del sistema operativo (per escludere il riavvio del dispositivo).
• Linux.DownLoader
  Una famiglia di programmi e script malevoli per Linux che sono studiati per scaricare e installare altri programmi malevoli sul dispositivo attaccato.
• Linux.BackDoor.Remaiten
  Una famiglia di programmi malevoli per Linux progettati per l'attuazione di attacchi DDoS. I trojan di questa famiglia possono hackerare dispositivi attraverso il protocollo Telnet con il metodo di selezione della password, e in caso di successo salvano sul dispositivo un downloader scritto in Assembly. Questo downloader è progettato per lo scaricamento e l'installazione sul dispositivo di altre applicazioni malevole.
• Linux.Mrblack
  Un programma trojan studiato per eseguire attacchi DDoS, è orientato al lavoro con le distribuzioni Linux per i processori ARM. Il trojan ha un gestore di comandi incorporato che permette di eseguire direttive ottenute dal server di controllo remoto.
• Linux.DDoS
  Una famiglia di programmi malevoli per dispositivi Linux. Sono progettati per l'organizzazione di attacchi DDoS.
• Linux.PNScan
  Una famiglia di worm di posta progettati per l'infezione dei router con SO della famiglia Linux. Il worm ha i seguenti obiettivi: infetta dispositivi in autonomo, apre le porte 9000 и 1337, si occupa di richieste su queste porte e organizza la comunicazione con il server di controllo.

Ad aprile gli analisti dei virus Doctor Web hanno esaminato una versione aggiornata di un programma malevolo della famiglia Linux.UbntFM, che è stata denominata Linux.UbntFM.2. Questo trojan è stato sviluppato dagli autori dei virus per i sistemi operativi della famiglia Linux, tra cui per Air OS, che viene prodotto e installato sui dispositivi da Ubiquiti Networks. È realizzato come gli script bash che si diffondono in un archivio tgz.

Linux.UbntFM.2 crea sul computer compromesso nuovi account e inoltre può scaricare ed eseguire qualsiasi file. Inoltre, il trojan può attaccare dispositivi remoti attraverso una vulnerabilità nell'interfaccia web di Air OS, che permette di caricare qualsiasi file con qualsiasi percorso senza eseguire l'autenticazione. Se non è stato possibile stabilire il protocollo (o sul dispositivo attaccato non è installato Air OS), il trojan può cercare di trovare le credenziali per la connessione SSH in base al dizionario, utilizzando i login "root", "admin", "ubnt" e le password conservate nel file "passlst". Maggiori informazioni sui principi di funzionamento di questo programma malevolo sono contenute nella descrizione tecnica.

Inoltre, ad aprile è stata rilevata una nuova versione di un trojan della famiglia Fgt — si chiama Linux.BackDoor.Fgt.645. Dalle versioni precedenti questa variante si distingue tramite funzionalità limitate (di cui è rimasto soltanto un modulo di selezione di password per la violazione dei nodi remoti e un dropper), inoltre, la nuova versione ha avuto la possibilità di inviare richieste di download e avvio di uno script sh.

Programmi malevoli e indesiderati per dispositivi mobili

Ad aprile al database dei virus Dr.Web è stato aggiunto un nuovo trojan-spione, denominato Android.Chrysaor.1.origin. Gli autori dei virus potevano utilizzarlo per attacchi mirati finalizzati a rubare informazioni riservate agli utenti dei dispositivi mobili con SO Android. Inoltre, il mese scorso nella directory Google Play sono stati rilevati diversi nuovi trojan banker. Uno di loro ha il nome Android.BankBot.179.origin. Veniva distribuito con il pretesto dei programmi per la visualizzazione di video online che effettivamente svolgevano la funzione dichiarata. Un altro banker Android rilevato in Google Play è stato aggiunto al database dei virus come Android.BankBot.180.origin. Rappresentava un programma-torcia.

Gli eventi più notevoli relativi alla sicurezza "mobile" ad aprile:

• scoperto un trojan Android progettato per lo spionaggio informatico;
• si sono infiltrati in Google Play trojan bancari che rubavano informazioni riservate e soldi agli utenti di Android.

Per maggiori informazioni circa le minacce ai dispositivi mobili ad aprile, consultate il nostro resoconto specifico.

Scopri di più con Dr.Web

Statistiche di virus Libreria delle descrizioni Tutti i resoconti sui virus