Doctor Web: panoramica sull'attività di virus a settembre 2022

31 ottobre 2022

A settembre l'analisi delle statistiche sui rilevamenti dell'antivirus Dr.Web ha mostrato un calo del numero totale di minacce rilevate del 9,29% rispetto ad agosto. Contemporaneamente è diminuito anche il numero di minacce uniche — del 38,95%. Come in precedenza, gli utenti si imbattevano prevalentemente nelle applicazioni pubblicitarie. Nel traffico email erano largamente diffusi gli script malevoli, nonché file PDF malevoli utilizzati in attacchi di phishing. Oltre a ciò, i malintenzionati non hanno rinunciato ai tentativi di infettare i computer degli utenti tramite l'invio delle applicazioni che sfruttano vulnerabilità in documenti Microsoft Office.

Il mese scorso il numero di richieste utente di decriptazione file è cresciuto del 41,26%. Il ransomware di criptazione più diffuso a settembre è stato Trojan.Encoder.3953 con il 25,83% del numero totale di incidenti registrati, mentre il leader di molti mesi Trojan.Encoder.26996 è sceso alla seconda posizione.

Gli analisti di virus dell'azienda Doctor Web hanno rilevato nuove minacce sullo store di applicazioni Google Play. Tra di esse sono falsi programmi con funzionalità trojan appartenenti alla famiglia Android.FakeApp, utilizzati dai malintenzionati in vari schemi fraudolenti, e inoltre, applicazioni pubblicitarie.

Secondo i dati del servizio delle statistiche Doctor Web

Minacce del mese passato:

Adware.SweetLabs.5

Store di applicazioni alternativo e componente aggiuntivo della GUI di Windows dagli autori di Adware.Opencandy.

Adware.Downware.20091

Adware.Downware.20088

Adware utilizzato come installer intermedio di software pirata.

Adware.OpenCandy.247

Adware.OpenCandy.251

Famiglia di applicazioni studiate per installare sul computer vari adware aggiuntivi.

Statistiche sulle applicazioni malevole nel traffico email

JS.Inject

Una famiglia di script malevoli, scritti nel linguaggio JavaScript. Incorporano uno script malevolo nel codice HTML di pagine web.

W97M.DownLoader.2938

Famiglia di trojan downloader che utilizzano vulnerabilità in documenti Microsoft Office. Sono studiati per scaricare altri programmi malevoli sul computer attaccato.

PDF.Fisher.367

PDF.Fisher.371

PDF.Fisher.366

Documenti PDF utilizzati in invii email di phishing.

Ransomware di criptazione

A settembre il numero di richieste di decriptazione dei file colpiti dai rassommare di criptazione è aumentato del 41,26% rispetto ad agosto.

• Trojan.Encoder.3953 — 25.83%
• Trojan.Encoder.26996 — 23.94%
• Trojan.Encoder.11539 — 2.61%
• Trojan.Encoder.567 — 2.37%
• Trojan.Encoder.35209 — 1.90%

Siti pericolosi

A settembre 2022 gli analisti internet dell'azienda Doctor Web registravano nuovamente una distribuzione di massa di email spam con link a siti fraudolenti. Tra cui anche a siti con una finta offerta agli utenti russi di biglietti lotto gratuiti. In realtà, non veniva fornito nessun biglietto, e i malintenzionati fuorviavano le potenziali vittime simulando un'estrazione a premi. Ogni visitatore veniva informato di essere il vincitore. Per "ricevere" il premio, l'utente doveva indicare i dati della carta di credito e pagare la "commissione" del bonifico.

Di seguito sono riportati esempi di due siti — sul primo viene simulata un'estrazione lotto e viene segnalata la presunta vincita, mentre sul secondo verrebbe pagata la commissione per il trasferimento della vincita alla carta di credito della vittima:

Su altri siti gli utenti venivano invitati a partecipare a varie piattaforme di investimento che sarebbero affiliate a note compagnie finanziarie e petrolifere e del gas. Per farlo, era necessario rispondere a un sondaggio e registrare un account indicando il nome e il cognome, un indirizzo email e un numero di telefono. Successivamente alla "registrazione", le vittime di tale inganno solitamente vengono reindirizzate a vari siti web, tra cui anche a quelli indesiderati. Inoltre, i cybercriminali in seguito possono utilizzare i dati forniti per effettuare attacchi di phishing od organizzare telefonate fraudolente.

Qui sotto un esempio di email di phishing che parla della possibilità di ricevere denaro su una carta di credito gratuitamente. Per maggiori informazioni, alla potenziale vittime viene suggerito di seguire il link. Al passaggio al link viene caricato un sito fraudolento con informazioni su come guadagnare "soldi facili" e pubblicità di un'altra risorsa internet fraudolenta che sarebbe correlata a una grande banca russa.

Programmi malevoli e indesiderati per dispositivi mobili

Il mese passato si osservava una crescita dell'attività delle applicazioni trojan bancari che attaccano i proprietari di dispostivi Android. È leggermente diminuita l'attività dei programmi malevoli che mostrano annunci pubblicitari indesiderati. Allo stesso tempo, si osservava un ulteriore calo dell'attività del programma trojan spia Android.Spy.4498 che ruba informazioni dalle notifiche da altre applicazioni.

Durante il mese di settembre gli specialisti del laboratorio di virus Doctor Web hanno individuato nuove minacce sullo store di applicazioni Google Play. Tra di esse sono ennesimi programmi malevoli della famiglia Android.FakeApp, utilizzati dai malintenzionati in vari schemi fraudolenti, nonché programmi con moduli pubblicitari indesiderati.

Gli eventi di sicurezza "mobile" più importanti a settembre:

• crescita dell'attività delle applicazioni trojan bancari;
• lieve calo dell'attività dei programmi trojan pubblicitari;
• continuato il calo dell'attività del trojan spyware Android.Spy.4498;
• comparsa di nuove minacce sullo store di app Google Play.

Per maggiori informazioni sulla situazione di virus per dispositivi mobili a settembre leggete la nostra panoramica specifica.