TrendLabs - Verifica di sicurezza del 3°T 2013

Negli ultimi mesi sono circolate diverse notizie relative alla criminalità informatica. La chiusura di Liberty Reserve, un sistema di valuta digitale illegale, e la recente chiusura del sistema di mercato nero online Silk Road sono stati tra i principali eventi di questo trimestre, che hanno innalzato la consapevolezza dell’opinione pubblica sulle minacce online. Anche l’arresto del presunto creatore del kit di exploit Blackhole in ottobre ha provato che la criminalità informatica è veramente un’attività che avviene a un palmo dal nostro naso.

In questo trimestre, i criminali informatici hanno continuato a raffinare le loro tecniche. Le infezioni dovute a minacce informatiche mirate al banking online sono aumentate in diverse aree, tra cui gli Stati Uniti e il Giappone. Abbiamo inoltre esaminato un campione dell’enorme quantità di siti compromessi. La nostra ricerca su BKDR_FIDOBOT ha rilevato che le applicazioni backdoor sono state utilizzate per attaccare oltre 17.000 domini in un solo giorno. Abbiamo inoltre potuto osservare in che modo è stato perfezionato il funzionamento delle minacce, come nel caso dell’uso da parte di EXPIRO del kit di exploit Styx o della rete The Onion Router (TOR) da parte della minaccia MEVADE.

Sul fronte dei dispositivi mobili, il numero di app Android™ dannose e ad alto rischio ha superato il limite del milione, così come avevamo previsto. Una porzione significativa di queste app pericolose assume l’aspetto di versioni false o con cavalli di Troia di app molto diffuse.

I problemi di sicurezza di Internet Explorer® e di Java rappresentano ancora un fattore di rischio per i computer: in questo trimestre sono stati scoperti due exploit di tipo zero-day. Gli exploit dei documenti sono ancora un problema negli attacchi mirati di tipo spear‑phishing tramite e‑mail; tuttavia abbiamo notato delle evoluzioni nella famiglia di minacce Sykipot, che si focalizza ora su obiettivi legati all’aviazione civile.

SCARICA IL PDF




Trend Micro Incorporated, leader mondiale delle soluzioni di sicurezza in-the-cloud, crea un mondo sicuro per lo scambio di informazioni digitali grazie alla protezione dei contenuti Internet e alle soluzioni di gestione delle minacce per aziende e privati. Come pionieri della protezione dei server con più di 20 anni di esperienza, offriamo una sicurezza di punta per client, server e in-the-cloud che si adatta perfettamente alle esigenze dei nostri clienti e partner, blocca più rapidamente le nuove minacce e protegge i dati in ambienti fisici, virtualizzati e in-the-cloud. Basati sull’infrastruttura Trend Micro™ Smart Protection Network™, la nostra tecnologia e le nostre soluzioni e servizi leader del settore per la protezione in ambito di cloud computing bloccano le minacce non appena si presentano, su Internet, e sono supportati da più di 1.000 esperti di minacce informatiche a livello globale. Per ulteriori informazioni visitare il sito www.trendmicro.it.



Copyright © 2013 Trend Micro Incorporated.
Tutti i diritti riservati.

9

Il Web invisibile smascherato
TrendLabs - Verifica di sicurezza del 3°T 2013

In questo trimestre, l’obiettivo principale delle minacce è stato quello di muoversi in modo efficiente e nascosto.

Le minacce per i dispositivi mobili hanno raggiunto un traguardo: il numero di minacce e app ad alto rischio ha raggiunto il milione di unità. È interessante notare che la maggior parte delle applicazioni sono state rilevate al di fuori degli app store.

Il lato positivo è che le forze dell’ordine hanno ottenuto una vittoria importante grazie al sequestro del mercato nero chiamato Silk Road. Questo ha evidenziato la necessità di rendere visibili i siti di commerci illegali nascosti nel Web invisibile.

Le minacce di questo trimestre ricordano a tutti, privati e organizzazioni di essere vigili. I criminali informatici e gli aggressori, sebbene nascosti, sono sempre in movimento.

SCARICA IL PDF

Le app dannose e ad alto rischio
raggiungono il milione

Così come avevamo previsto, il numero di app dannose e ad alto rischio ha raggiunto il milione di unità. Questo dato rappresenta un aumento del 39% rispetto al dato di 718.000 unità dello scorso trimestre. Quattro app ad alto rischio su cinque (l’80%) eseguono delle routine dannose; il restante 20% esegue routine ad alto rischio come quelle legate all’adware.

Gli utenti hanno 1 possibilità su 4 di imbattersi in app dannose e ad alto rischio negli app store; le restanti app si trovano su altri siti e potrebbero infettare i dispositivi degli utenti quando meno se l’aspettano.

I Premium service abusers fanno ancora la parte del leone nel campo delle minacce informatiche per i dispositivi mobili. Le prime due minacce sono l’app di furto dei dati FAKEINST (34%) e l’app di download delle minacce OPFAKE (30%).

Le nuove tecnologie e
i metodi per il furto d’identità
ridefiniscono la “crisi di identità”

Gli eventi recenti che hanno coinvolto i social network e i dati personali hanno fatto riemergere i problemi di privacy e identità online.

Nuove tecnologie di gestione degli account online, come Touch ID, il nuovo sensore di impronte digitali appena distribuito da Apple, sono state sviluppate per ridurre l’uso delle password, sebbene con grandi rischi. Nonostante questi progressi ci consentano di sfruttare l’“Internet di tutto”, non rappresentano affatto una soluzione. Abbiamo comunque bisogno delle password per proteggere i dati sensibili archiviati in vari dispositivi che utilizzano piattaforme diverse.

Abbiamo anche rilevato l’attacco alle identità e abbiamo visto come Apple sia pian piano diventato uno dei principali target del phishing. Il numero di siti di phishing Apple ha raggiunto le 8.500 unità, un grande salto rispetto al numero dell’ultimo trimestre (7.800) e grandissimo rispetto al numero del primo trimestre (900). Touch ID è diventato un target mirato per i furti a causa del suo uso come ID di controllo di base per diversi prodotti Apple. Nel frattempo, i siti di phishing per dispositivi mobili hanno cominciato a puntare ai documenti di identità nazionali. Venduti sul mercato nero per 2-25 USD, questi possono essere utilizzati per profitto o per il furto d’identità.

La chiusura del mercato nero Silk Road
ha dato risalto al Web invisibile

Silk Road, un famoso circuito di mercato nero per traffici illegali, ha avuto un introito stimato di 22 milioni di USD nel 2012. Prima della sua chiusura, aveva raddoppiato la sua base di utenti in meno di sei mesi. Silk Road agiva sulla rete The Onion Router (TOR) in una sezione non indicizzata di Internet, meglio conosciuta come “Web invisibile”. Sebbene il Web invisibile non sia necessariamente uno strumento dannoso, le sue impostazioni non tracciate consentono a utenti anonimi di scambiarsi beni dannosi o rubati.

Anche la valuta digitale della Liberty Reserve, recentemente chiusa, sfruttava il Web invisibile. Questo “hub finanziario” ha riciclato 6 miliardi di USD di provenienza oscura ed è stato utilizzato da oltre un milione di utenti.

Nel frattempo, a ottobre, il creatore del Blackhole Exploit Kit, Paunch, è stato arrestato, tre anni dopo il rilascio della prima versione del kit dell’exploit, avvenuto nel 2010. Il kit dell’exploit è diventato molto famoso nel mercato nero, grazie alla sua efficiente tecnica di danneggiamento, che utilizza gli attacchi personalizzati e gli aggiornamenti delle vulnerabilità. Nelle due settimane successive all’arresto, non sono state lanciate nuove campagne importanti e gli altri criminali informatici sono adesso preoccupati di essere i prossimi.

Non solo Android:
gli obiettivi delle minacce Web dedicate ai dispositivi mobili puntano a
diverse piattaforme

A causa dell’aumento del numero di dispositivi utilizzati da un singolo utente, le minacce multi-piattaforma sono destinate a crescere. E non si tratta solo delle minacce che mirano ad Android. Le ultime minacce per dispositivi mobili attaccano anche iOS e Symbian.

Abbiamo rilevato delle false notifiche legate ad app di messaggistica mobile, come ad esempio WhatsApp, unite ad app false in Russia diffuse tramite spam. Abbiamo inoltre rilevato un aumento del phishing mobile: questo dimostra che molte minacce per PC si stanno spostando sui dispositivi mobili.

Gli aggiornamenti di minacce informatiche mirate al banking online
causano più infezioni

Il volume di minacce mirate al banking online è passato da 146.000 a 202.000 casi nell’ultimo trimestre, a causa di una maggiore capacità di raggiungimento del target e di migliori routine.

KINS e Citadel, due varianti di ZeuS, hanno cominciato a circolare con tattiche e ambiti aggiornati. Una nuova versione di KINS è dotata inoltre di una capacità anti-debugging che consente l’arresto dell’esecuzione nei più diffusi server di macchine virtuali e ne rende difficile l’analisi. I criminali informatici hanno poi ampliato la portata dei cavalli di Troia bancari Citadel. Questo consente loro di sottrarre dati dalle organizzazioni finanziarie e bancarie con sede in Giappone utilizzando computer già colpiti. Di questi il 96% si trova nello stesso paese asiatico.

Obiettivo dei criminali informatici
versione Java non supportata

In questo trimestre, un exploit di tipo zero-day ha attaccato Java 6, una versione ormai non più supportata di Java. Questo rappresenta un problema per la metà degli utenti Java che ancora utilizzano questa versione. Da quando Java ha interrotto il supporto di questa versione, sono state scoperte 31 vulnerabilità, una delle quali è stata già sfruttata per gli attacchi.

Nel frattempo, abbiamo rilevato una nuova vulnerabilità di Internet Explorer nelle versioni 6-11, sfruttate per attacchi zero-day. Tramite il codice scaricato dai siti che ospitano gli exploit, gli aggressori possono utilizzare questa vulnerabilità per danneggiare la memoria di sistemi vulnerabili.

A causa di tali minacce, è opportuno che gli utenti di versioni vulnerabili di Java e Internet Explorer scarichino le patch sui loro computer, così da evitare il rischio di attacchi.

La campagna Sykipot evolve
da exploit basati su file
a iniezioni di processi di sistema

La campagna Sykipot, relativamente anziana, si è lentamente evoluta. Con l’abbandono di exploit basati su file, gli aggressori sono riusciti a iniettare delle minacce informatiche in diversi processi. Inoltre gli ultimi attacchi hanno rivelato un cambiamento negli identificatori unici di Sykipot. In questo trimestre, inoltre Sykipot ha puntato il settore dell’aviazione civile; questo è un cambiamento notevole rispetto ai suoi obiettivi consueti.

Come evidenziato dagli attacchi di questo trimestre, gli enti pubblici sono ancora in cima all’elenco degli attacchi mirati.

Diffusione degli exploit delle minacce informatiche:
i cavalli di Troia sfruttano “master key”,
SIM e difetti dei caricabatteria iOS

Nell’ultimo trimestre, avevamo preannunciato l’uso da parte dei criminali informatici delle vulnerabilità della “master key” nei dispositivi Android, usata per sostituire le app legittime con quelle dannose. Questa previsione si è avverata ad agosto, quando i ricercatori hanno trovato un app per il banking online in cui erano stati inseriti dei cavalli di Troia che sfrutta una falla per iniettare codice dannoso nei dispositivi vulnerabili e induce gli utenti a rivelare le credenziali del proprio conto.

L’app bancaria con cavallo di Troia è stata solo la prima di un numero potenziale di minacce che potrebbe puntare alla vulnerabilità della “master key”. Poiché il processo di scaricamento degli aggiornamenti Google è ancora lento, molti utenti Android sono ancora esposti a questa minaccia.

Inoltre, sempre ad agosto, gli interventi del Black Hat USA 2013 hanno evidenziato il sorgere di due problemi. Il primo è un problema delle schede SIM che consente ai criminali informatici di accedere ai messaggi di testo e alle informazioni di località archiviate nei dispositivi mobili dotati di un qualsiasi sistema operativo. I malintenzionati inviano un SMS che genera un errore alle SIM dotate di sistemi di crittografia obsoleti. Il secondo è un problema legato a iOS, che consente ai criminali informatici di eseguire dei comandi tramite l’uso di caricabatterie compromessi costruiti ad hoc. Questa falla è stata nel frattempo corretta.

Queste minacce evidenziano che, indipendentemente dal sistema operativo, le piattaforme mobili sono vulnerabili agli exploit e ai relativi rischi.