La maggiore consapevolezza maturata dagli utenti Internet in merito a privacy e sicurezza, nonché le contromisure messe in atto da Microsoft e altri produttori di software, hanno contribuito in questi anni a ridimensionare il fenomeno worm e trojan. Abbassare la guardia sarebbe tuttavia imprudente, e la dimostrazione arriva dalla diffusione fatta registrare nell’ultimo periodo da minacce come Storm Worm e SpamtaLoad.
Anche noto come Small.DAM e Peacomm, Storm Worm domina ormai da molte settimane la classifica dei malware più diffusi al mondo. Il solo laboratorio di SonicWall afferma di aver registrato più di un milione di casi di infezione, con nuove varianti che compaiono in rapida successione: il codice delle varianti più recenti cambia di continuo , inclusi gli URL ai file infetti, così che la loro rilevazione diventa sempre più difficile. Secondo Guillaume Lovet, responsabile Threat Response Team EMEA di Fortinet , questo mese sono state riscontrate non meno di 36 diverse varianti attive di Storm Worm, anche se quasi il 60% dei rilevamenti è imputabile a sola una variante.
SonicWall spiega che questo worm, catalogabile anche fra i trojan, viene diffuso mediante messaggi di spam che contengono in allegato un file eseguibile camuffato da documento informativo “con notizie d’attualità di grande impatto”.
“Una volta attivato – si legge in un comunicato della società di sicurezza – l’allegato inizia a scaricare automaticamente altro codice nocivo e apre una backdoor nella macchina infetta che ne consente il controllo da remoto e contemporaneamente installa un rootkit che nasconde il programma nocivo. Il computer compromesso si trasforma in uno zombie diventando parte integrante di una rete botnet”. Le stesse botnet che negli scorsi mesi sono state utilizzate per lanciare attacchi verso diversi siti, tra cui quelli che ospitano database antispam.
Sebbene le prime versioni di Storm Worm utilizzassero modalità di diffusione e infezione non dissimili da quelle dei worm tradizionali, una delle più recenti incarnazioni del malware si è guadagnata l’attenzione degli esperti per il fatto di introdurre un nuovo ed efficace meccanismo di social engineering. Secure Computing , che per prima ha analizzato il comportamento della nuova variante di Storm, spiega che quest’ultima attende che l’utente invii un messaggio ad una webmail, ad un blog o a certi forum e gruppi di discussione web-based, e vi aggiunge di nascosto un link al codice virale.
“Questo annuncia un nuovo trend fra i malware che si diffondono attraverso i blog, i gruppi di discussione e le email web-based”, ha affermato Dmitri Alperovitch, ricercatore presso Secure Computing. “Questa nuova minaccia è inoltre particolarmente insidiosa perché gli scanner antivirus non sempre la rilevano. Le ultime variani di Storm utilizzano tecniche polimorfiche per far apparire i loro file binari continuamente diversi rispetto alle impronte virali delle soluzioni antivirus”.
Anche nel ” Rapporto sulla sicurezza per il 2007 ” appena pubblicato da Sophos si afferma che stanno diminuendo le minacce contenute nei messaggi email a favore delle minacce ospitate sul web .
“Nel 2006 le minacce più prolifiche sono stati i worm appartenenti alle famiglie Mytob, Netsky, Sober e Zafi, che nel complesso hanno rappresentato più del 75% di tutte le mail infette”, si legge nel rapporto. “Tuttavia, secondo le previsioni di Sophos, nel 2007 si assisterà a un significativo cambio di rotta: anziché utilizzare la posta elettronica per diffondere il malware, i cybercriminali sfrutteranno la popolarità di Internet a livello globale e l’accresciuta interattività degli utenti web”.
“La straripante presenza dello Storm Worm non è priva di conseguenze, visto che viene sfruttata per generare e inviare ingenti quantità di spam”, ha afferma Lovet di Fortinet. “Comunque la battaglia contro lo spam non è persa. Una semplice analisi dei fatti dimostra che nella corsa finale agli armamenti per contrastare i filtri di analisi dei contenuti gli spammer stanno perdendo terreno”.
In queste settimane si è guadagnato l’attenzione degli esperti di sicurezza anche SpamtaLoad , un ceppo di worm e cavalli di Troia che si è dimostrato particolarmente prolifico. Tra le varianti più diffuse c’è il trojan SpamtaLoad.DO , che lo scorso martedì Panda Software ha rilevato in circa il 40% dei messaggi ricevuti dai propri laboratori internazionali.
Il celebre produttore di antivirus ha spiegato che il trojan si diffonde attraverso messaggi di posta elettronica con oggetto e testo variabili, quali “Error”, “Good day”, “hello” o “Mail Delivery System”. SpamtaLoad.DO è contenuto in un file eseguibile allegato alla e-mail, ed anche in questo caso il nome è variabile. Se l’utente lo esegue, il trojan mostra un falso messaggio di errore o apre il blocco note contenente un testo. Questo file scarica sul sistema il worm Spamta.TQ, progettato per il rinvio di SpamtaLoad.DO a tutti gli indirizzi email recuperati dal PC infetto.
” Questo tipo di codici non è fine a se stesso “, ha affermato Luis Corrons, direttore tecnico dei laboratori di Panda. “In molti casi, vengono usati per distrarre le aziende che si occupano di sicurezza. Infatti, mentre queste ultime concentrano i loro sforzi per eliminare le minacce, i cyber criminali ne approfittano per lanciare altre creazioni, spesso molto più pericolose, in maniera silenziosa”.
Durante le ondate di worm come SpamtaLoad, Corrons ha spiegato che vengono messe in circolazione, in poco tempo, numerose varianti della stessa famiglia. “Gli utenti devono agire con cautela, perché questo Trojan potrebbe essere il primo di una nuova serie di aggressioni”, ha ammonito il ricercatore.
Talvolta i worm minacciano anche gli utenti delle piattaforme Unix . L’ultimo esempio è dato da un vermicello che, come spiegato in questo post da Jose Nazario, senior software engineer di Arbor Networks, sfrutta una vulnerabilità zero-day nel servizio Telnet di Solaris 10 per infettare un server e diffondersi automaticamente verso altri sistemi. In attesa di correggere la falla, Sun ha pubblicato alcune istruzioni per rilevare e rimuovere il worm. Nel già citato Rapporto, Sophos afferma che “la posta elettronica continuerà ad essere un importante vettore di diffusione del malware, ma il crescente utilizzo di soluzioni per la sicurezza del gateway di posta sta spingendo i virus writer ad optare per altri metodi di attacco, tant’è che il numero dei siti web infetti è in costante aumento”. La società parla di una media di 5.000 URL al giorno che ospitano codici malevoli .
“Per i criminali informatici, Internet rappresenta oggi la più facile via di accesso alle reti aziendali: un numero sempre maggiore di utenti non solo naviga senza controllo, ma scarica programmi e streaming audio/video, mettendo a rischio la sicurezza delle reti aziendali”, ha spiegato Walter Narisoni, security consultant di Sophos Italia. “La maggior parte delle aziende non è preparata per monitorare il comportamento dei propri utenti durante la navigazione web, né tanto meno per controllarlo. È essenziale quindi che le aziende ventilino l’introduzione nella propria strategia globale di sicurezza di misure volte a garantire una navigazione web sicura”.
Nel corso del 2006 Sophos ha registrato un calo degli spyware tradizionali a favore dei trojan scaricati dai siti Internet . È noto come cracker e autori di virus inducano gli utenti a cliccare su un URL maligno per mezzo di tecniche di social engineering: ad esempio, inviando una mail con oggetto “Offerta speciale” in cui invitano l’utente a visitare un sito web che dovrebbe fornire ulteriori informazioni sull’offerta. Cliccando sul link all’interno del messaggio, l’utente scarica automaticamente sul proprio PC un file eseguibile che, a sua volta, tenta di scaricare altri trojan per mettere fuori gioco il sistema di protezione del PC.
“Solo a questo punto – spiega Sophos – viene scaricato un componente spyware che, sul computer ormai privo di difese, avrà migliori probabilità di successo”.
Dalle statistiche stilate dai SophosLabs risulta che a gennaio 2006 circa la metà di tutte le mail infette conteneva spyware, mentre nel 40% circa dei messaggi erano contenuti collegamenti a siti web ospitanti trojan downloader. A dicembre 2006 la situazione si è ribaltata : i messaggi contenenti link a siti Internet infetti costituivano oltre il 50% di tutte le mail dannose, mentre il 42% circa dei messaggi conteneva spyware. Secondo gli esperti di sicurezza informatica, questa tendenza è destinata a restare invariata nel 2007 e oltre.
Le proporzioni su base annua tra spyware e trojan sono simili anche per Panda, che lo scorso anno, per mezzo del suo servizio ActiveScan, afferma di aver registrato un’incidenza rispettivamente del 33 e del 25%
” L’obiettivo degli autori dei codici maligni è quello di ottenere denaro . In quest’ottica spyware e trojan sono i due strumenti più idonei. Da qui si comprende l’ampia diffusione”, ha detto Corrons di Panda. “Gli altri tipi di malware sono molto lontani da queste due categorie: 6% i worm, 5% i dialer, 3% i bot. Uno degli aspetti più curiosi in questo panorama è costituito da un 24% di infezioni che sono riconducibili a virus, cookies etc. Ciò ci fa supporre che esiste una pericolosa e considerevole frammentazione del malware”.
I dati raccolti da Sophos rivelano che il 30% di tutto il malware proviene dalla Cina . Si tratta per lo più di backdoor trojan, programmati per consentire agli hacker di accedere ai computer delle ignare vittime. “È sorprendente – afferma Sophos – come il 17% del malware prodotto in Cina venga creato con l’obiettivo specifico di rubare le password dei giocatori on line “. Al contrario, gli autori di malware che operano in Brasile, cui va attribuita la paternità del 14,2% di tutto il malware, puntano a sottrarre le informazioni di accesso ai conti bancari on line.
“È interessante notare come il malware differisca a seconda del luogo di origine , sfruttando spesso le tendenze Internet in auge in un dato Paese e in un dato momento. Pertanto, identificandone la provenienza, gli esperti della sicurezza e le autorità sono in grado di tracciare l’identikit degli autori e di assicurarli alla giustizia”, ha commentato Narisoni.
Nel 2006 Sophos ha identificato 41.536 nuovi malware , quindi il numero complessivo di minacce da cui le soluzioni Sophos sono in grado di proteggere è salito a 207.684. La quota dei trojan è stata quattro volte superiore a quella dei virus e worm specifici di Windows. Infine, dal 2005 al 2006, il volume di mail infette è sceso da una mail su 44 a una mail su 337.
Anche Fortinet ha pubblicato un rapporto delle minacce di febbraio consultabile qui .