Tratto dallo speciale:

Il grande ritorno dei malware

di Alessia Valentini

Pubblicato 7 Settembre 2017
Aggiornato 12 Febbraio 2018 20:46

logo PMI+ logo PMI+

Le ultime statistiche sulla diffusione di virus e minacce informatiche osservate nel mese di luglio sembrano decretare il crollo degli attacchi ransomware in favore di malware più tradizionali. Ma abbassare la guardia resta un errore.

La classifica dei 10 malware “del mese” per i sistemi Microsoft, è stata diffusa dal Centro Ricerche Anti-Malware (C.R.A.M.) di Tgsoft. Il CRAM partecipa al programma Virus Information Alliance, che si occupa di scambiare informazioni tecniche sul software dannoso per migliorare la protezione dei clienti/utenti del sistema operativo.

L’infection rate calcolato è dato dal numero di PC attaccati diviso per quello di macchine che montano Vir.IT. eXplorer (win 10). Le statistiche per tipologia vedono in testa i trojan con una incidenza del 45,12%, seguiti da Pup (Potentially Unwanted Programs) per il 20,56%. Si tratta di programmi generalmente installati come parte di altri gratuiti (su accordo commerciale tra aziende produttrici). Al terzo posto si collocano gli adaware con una incidenza del 19,37% seguiti da altri malware a percentuale molto bassa (worm, BHO (Browser Helper Objects), Dialer, rootkit, exploits).

In classifica non rientrano ransomware rilevanti, ma non è corretto abbassare la guardia perché dopo la pausa estiva potrebbe svilupparsi una recrudescenza degli stessi, arricchiti con varianti come l’integrazione con i wiper.

In termini di statistica per i singoli tipi di malware, la classifica dei primi tre vede Win32.MindSpark.F che altera la navigazione web (home page cambiate, pubblicità etc.), seguito da W97M.Downloader diffuso generalmente tramite un documento Microsoft Word arricchito da una macro maligna che si connette a più server remoti per scaricare e visualizzare componenti aggiuntivi e/o altri malware. Al terzo posto Win32.Hibris,un malware che oltre a modificare alcune impostazioni dei browser e del sistema per i propri scopi, può reindirizzare gli utenti in alcuni siti commerciali contro la loro volontà.

Per quanto concerne i sistemi operativi più attaccati, in prima posizione di colloca Windows 7 con il 6,94%, seguito da Windows 10 (6,61%), Windows 8.1 (6,27%) e i vecchi e noti Windows XP con 5.35%, Windows Vista con 4,99% e Windows 8 con il 4,73%.

Ricordiamo anche la situazione osservata a Giugno secondo il Global Threat Impact Index di Check Point, per cui l’Italia era salita di otto posizioni nella classifica dei Paesi più attaccati al mondo piazzandosi al 42esimo posto.

Le tre principali famiglie di malware hanno rivelato una vasta gamma di obiettivi e di vettori di attacco, e un impatto su tutti gli stadi dell’infezione. Il 28% delle organizzazioni a livello globale è stato colpito da RoughTed, una campagna di malvertising cresciuta da fine maggio, fino a raggiungere il suo picco nel mese di giugno, colpendo le organizzazioni di 150 Paesi. Le organizzazioni più colpite da RoughTed apartengono al settore delle comunicazioni, dell’istruzione, del commercio al dettaglio e all’ingrosso. I tassi di infezione correlati a questa campagna di malvertising sono cresciuti negli ultimi mesi, dal momento che i cybercriminali devono semplicemente compromettere un provider di annunci online per raggiungere una vasta gamma di vittime con uno sforzo minimo, e che non vi è alcuna necessità di mantenere una pesante infrastruttura di distribuzione per il malware.

Al secondo posto, in termini di infezioni globali, Fireball che aveva colpito il 20% delle organizzazioni a maggio e che è fortunatamente declinato colpendo solo il 5% delle organizzazioni nel corso di Giugno. A differenza di RoughTed, Fireball attacca i browser di destinazione e li trasforma in zombie, ottenendo la possibilità di compiere una vasta gamma di azioni malevole, tra cui il rilascio di ulteriori malware o il furto di credenziali. Infine, il terzo classificato, il worm Slammer, ha infettato l’4% delle organizzazioni ed opera insediandosi esclusivamente nella memoria operativa prestandosi ad uso degli attacchi denial of service.

La vasta gamma di vettori di attacco utilizzata dai cybercriminali è evidente anche lungo tutta la Top Ten dei malware più comuni, che infatti vede la presenza dei ransomware Cryptowall (4°) e Jaff (6°), di HackerDefender (5°), un rootkit user-mode utilizzato per nascondere file, e di Zeus (9°) un trojan bancario.

Minacce Mobile

Per quanto riguarda il mobile, Hummingbad a Giugno era ancora al primo posto della classifica, marcato stretto da Hiddad e Lotoor:

  1.  Hummingbad – malware Android che stabilisce un rootkit persistente sui dispositivi, installa applicazioni fraudolente, e, con poche modifiche, può consentire altre attività malevole, come l’installazione di key-logger, il furto di credenziali e riesce a scavalcare la crittografia utilizzata dalle aziende.
  2. Hiddad – malware Android che riconfeziona app legali e poi le consegna a un negozio. La sua funzione principale è mostrare adv, ma è anche in grado di trovare un accesso a informazioni di sicurezza fondamentali presenti nel sistema operativo, consentendo agli hacker di ottenere dati sensibili degli utenti.
  3. Lotoor – un hack tool che sfrutta le vulnerabilità del sistema operativo Android al fine di ottenere privilegi di root sui dispositivi mobile compromessi.

La lista completa delle 10 famiglie di malware più attive nel mese di Giugno è disponibile sul blog di Check Point.