Doctor Web: panoramica sulle attività dei virus a marzo 2018
3 aprile 2018
Il marzo passato gli specialisti Doctor Web hanno rilevato ed esaminato molti nuovi programmi malevoli. All'inizio del mese è stato registrato un invio di massa di messaggi di phishing che sarebbero messaggi dall'azienda Mail.Ru. Inoltre, gli analisti hanno studiato diversi trojan nuovi che appartengono alla numerosa famiglia di malware Trojan.LoadMoney. Nella seconda metà del mese è stato trovato un pericoloso trojan, Trojan.PWS.Stealer.23012, che ruba dal dispositivo infetto file e altre informazioni confidenziali. Infine, a marzo gli analisti dei virus hanno rilevato tutta una serie di programmi malevoli per la piattaforma mobile Google Android.
Le principali tendenze di marzo
- Invio di massa via email di messaggi di phishing
- Diffusione di nuovi esemplari della famiglia Trojan.LoadMoney
- Comparsa di un pericoloso trojan che ruba informazioni confidenziali
La minaccia del mese
La diffusione del programma malevolo Trojan.PWS.Stealer.23012 è iniziato l'11 marzo 2018. I link del trojan venivano pubblicati dai malintenzionati nei commenti ai filmati sulla popolare risorsa internet YouTube. Molti di questi filmati sono dedicati all'uso di metodi fraudolenti per ottenere privilegi nei videogiochi (i cosiddetti "cheat" o trucchi) utilizzando applicazioni specifiche. I criminali informatici cercano di far passare il trojan per tali applicazioni e per altre utility pratiche.
Sul computer compromesso il trojan raccoglie i file Cookies e inoltre i login e le password salvate in alcuni browser popolari, cattura una schermata e copia file locati sul Desktop di Windows. Le informazioni ricavate, insieme ai dati sulla posizione del dispositivo infetto, vengono inviate sul server dei malintenzionati. Maggiori informazioni sui principi di funzionamento di Trojan.PWS.Stealer.23012 sono disponibili in un articolo pubblicato sul nostro sito.
Secondo le statistiche di Antivirus Dr.Web
- Trojan.Starter.7394
- Un rappresentante della famiglia di trojan che hanno l'obiettivo principale di avviare nel sistema infetto un file eseguibile con un determinato set di funzioni malevole.
- Trojan.Inject
- Una famiglia di programmi malevoli che integrano un codice malevolo nei processi di altri programmi.
- Trojan.Zadved
- Estensioni studiate per sostituire furtivamente i risultati dei motori di ricerca nella finestra del browser e per mostrare falsi messaggi pop-up dei social network. Inoltre, le loro funzioni dannose includono la sostituzione di annunci visualizzati su vari siti.
- Trojan.Moneyinst.520
- Un programma malevolo che installa sul computer vittima diversi programmi, tra cui altri trojan.
- Trojan.Encoder.11432
- Un worm di rete che avvia sul computer della vittima un pericoloso trojan cryptolocker. È conosciuto anche con il nome di WannaCry.
- BackDoor.Meterpreter.56
- Un esemplare della famiglia di programmi malevoli che consentono ai malintenzionati di gestire in remoto il computer compromesso e di impartire ad esso diversi comandi.
- JS.Inject
- Una famiglia di script malevoli, scritti nel linguaggio JavaScript. Integrano uno script malevolo nel codice HTML di pagine web.
- BackDoor.IRC.Bot.4771
- Un esemplare della famiglia di programmi malevoli che consentono ai malintenzionati di gestire in remoto il computer compromesso e di impartire ad esso diversi comandi. Il trojan viene gestito attraverso il protocollo di scambio di messaggi testuali IRC (Internet Relay Chat).
- Trojan.Encoder.11432
- Un worm di rete che avvia sul computer della vittima un pericoloso trojan cryptolocker. È conosciuto anche con il nome di WannaCry.
- JS.DownLoader
- Una famiglia di script malevoli, scritti nel linguaggio JavaScript. Scaricano e installano sul computer altri programmi malevoli.
- JS.Inject
- Una famiglia di script malevoli, scritti nel linguaggio JavaScript. Integrano uno script malevolo nel codice HTML di pagine web.
- Trojan.Encoder.24788
- Un esemplare della famiglia di trojan ransomware che criptano file sul computer e chiedendo alla vittima il riscatto per la decriptazione.
- Java.Jrat.58
- Un programma malevolo per la gestione del computer in remoto (Remote Access Tools, RAT) scritto nel linguaggio Java.
- Trojan.PWS.Stealer
- Una famiglia di trojan studiati per rubare password ed altre informazioni confidenziali sul computer infetto.
- Trojan.Encoder.858 — 15.38% dei casi;
- Trojan.Encoder.11464 — 7.26% dei casi;
- Trojan.Encoder.11539 — 6.62% dei casi;
- Trojan.Encoder.24249 — 5.77% dei casi;
- Trojan.Encoder.567 — 3.63% dei casi;
- Trojan.Encoder.2667 — 2.35% dei casi.
- trovato un trojan in dozzine di modelli di smartphone Android;
- comparsi nuovi trojan banker;
- rilevati programmi malevoli in Google Play.
Secondo le informazioni dei server delle statistiche Doctor Web
Le statistiche sulle applicazioni malevole nel traffico email
Cryptolocker
A marzo al servizio di supporto tecnico Doctor Web il più spesso si rivolgevano gli utenti le cui informazioni sono state cifrate dalle seguenti versioni dei trojan cryptolocker:
Dr.Web Security Space per Windows protegge dai trojan cryptolocker
Siti pericolosi
All'inizio di marzo l'azienda Doctor Web ha riferito di un invio di massa via email di messaggi di phishing che sarebbero messaggi dall'azienda Mail.Ru. In questi messaggi i malintenzionati avvertivano gli utenti del blocco dei loro account sul server Mail.Ru e offrivano loro di eseguire l'autenticazione ripetuta. Il link nell'email conduceva su un falso sito Mail.Ru, mentre le informazioni inserite dall'utente venivano immediatamente trasmesse ai malintenzionati.
L'indirizzo del falso sito è stato aggiunto ai database di Office control e di Parental control Dr.Web.
Durante marzo 2018 624.474 indirizzi internet sono stati aggiunti al database dei siti sconsigliati e malevoli.
| febbraio 2018 | marzo 2018 | La dinamica |
|---|---|---|
| + 1 174 380 | + 624 474 | - 46.8% |
Altri eventi nella sfera della sicurezza informatica
I trojan della famiglia Trojan.LoadMoney studiati per scaricare altri programmi malevoli sul computer infetto sono conosciuti dal 2013. A marzo gli analisti Doctor Web hanno esaminato diversi nuovi esemplari di questa famiglia. Gli autori dei virus non hanno implementato effetti visivi nel codice dei programmi malevoli, quindi questi trojan non si manifestano nel sistema infetto, e la loro attività malevola non è facilmente rilevabile. Ulteriori informazioni sui programmi malevoli Trojan.LoadMoney analizzati sono ritrovabili in un nostro articolo panoramico.
Programmi malevoli e indesiderati per dispositivi mobili
A marzo gli analisti Doctor Web hanno pubblicato i risultati dello studio del trojan Android.Triada.231 incorporato dagli autori dei virus nel firmware di oltre 40 modelli di smartphone Android. Android.Triada.231 infetta i processi di tutte le applicazioni e può eseguire di nascosto diverse azioni malevole. Durante il mese scorso nella directory Google Play sono stati rilevati molti nuovi trojan, tra cui esemplari della famiglia Android.Click, capaci di caricare e visualizzare qualsiasi pagina web, e inoltre il banker Android Android.BankBot.344.origin. Inoltre, gli specialisti Doctor Web hanno rilevato nuovi trojan banker creati sulla base del codice sorgente dell'applicazione malevola Android.BankBot.149.origin. Uno di essi ha ricevuto il nome Android.BankBot.325.origin. Questo banker visualizzava finestre di phishing, veniva utilizzato per il cyber-spionaggio e forniva ai malfattori l'accesso in remoto ai dispositivi infetti.
Gli eventi più notevoli relativi alla sicurezza "mobile" a marzo:
Per maggiori informazioni circa la situazione con i virus mobile a marzo consultate la relativa panoramica.