A marzo gli esperti di Kaspersky Lab hanno individuato un attacco nocivo che utilizzava malware in grado di operare senza creare file sui sistemi infetti. Un’indagine condotta da Kaspersky Lab ha dimostrato che i siti web dei media russi che utilizzavano il sistema teaser AdFox nelle proprie pagine, infettavano involontariamente i propri visitatori. Durante il download del teaser, il browser dell’utente veniva segretamente reindirizzato verso un sito web nocivo contenente un exploit Java. “E’ la prima volta dopo anni, che ci troviamo davanti ad un malware di questo tipo, il cosiddetto ‘fileless‘”, ha spiegato Alexander Gostev, Chief Security Expert di Kaspersky Lab. “Il fatto che questi operino solo nella RAM del computer infetto rende più difficile per le soluzioni antivirus individuarli. In questo specifico caso, il malware era indirizzato ai consumatori russi, ma gli stessi exploit e bot fileless potrebbero essere utilizzati contro utenti in altre parti del mondo, in quanto possono essere distribuiti attraverso banner o teaser”.
Duqu non-stop
Kaspersky Lab analizza il Trojan Duqu da sei mesi ormai e a marzo gli esperti hanno identificato il linguaggio utilizzato nel codice Framework. Questa scoperta è stata fatta grazie alla collaborazione della comunità IT internazionale, che ha inviato diverse centinaia di possibili spiegazioni ed ipotesi per decifrare il nuovo linguaggio. Il Framework di Duqu è stato scritto in C e compilato con MSVC 2008 utilizzando l’opzione “/O1” e “/Ob1”. Nel frattempo, i creatori di Duqu non si sono fermati: a marzo è stato rilevato un nuovo driver identico a quelli utilizzati in precedenza per Duqu. I driver precedenti sono stati creati il 3 novembre 2010 e il 17 ottobre 2011, mentre il nuovo driver è stato progettato il 23 febbraio 2012.
Combattere il cybercrime
Kaspersky Lab, in collaborazione con CrowdStrike Intelligence Team, Dell SecureWorks e Honeynet Project, nel mese di marzo ha smantellato la seconda botnet Hlux/Kelihos. I ricercatori hanno chiamato questa botnet Kelihos.B, per indicare che si trattava di una seconda botnet creata con alcune varianti rispetto all’originale. Nella botnet è stato inserito un router sinkhole dedicato, che ha permesso agli esperti di Kaspersky Lab di ottenere il controllo dei bot collegati alla botnet e impedire loro di agire.
Anche i fan del browser Google devono fare attenzione. All’inzio del mese, gli esperti di Kaspersky Lab hanno individuato un’estensione nociva per Google Chrome. Questa volta l’obiettivo erano gli utenti di Facebook in Brasile, ma l’attacco poteva essere fatto in qualsiasi parte del mondo. Le estensioni nocive sono state diffuse su Facebook tramite link collegati ad applicazioni, se l’utente decideva di installare l’applicazione, veniva reindirizzato al Google Chrome Web Store ufficiale, dove l’estensione nociva per Chrome si presentava come "Adobe Flash Player". Dopo che l’estensione nociva veniva installata su un computer, gli autori avevano accesso completo all’account di Facebook della vittima. Google ha prontamente rimosso l’applicazione malware, ma i criminali avevano già creato estensioni simili che erano già state posizionate su Google Chrome Web Store.
Minacce per Mac OS
Durante questo mese è stata rilevata un’intesa attività malware che aveva come obiettivo i computer Mac OS. Il caso più rilevante, è stata la distribuzione di spam a indirizzi di organizzazioni tibetane. Questo spam conteneva un link che rimandava ad un exploit Java progettato per installare programmi nocivi nei computer degli utenti: Backdoor.OSX.Lasyr.a sui computer degli utenti Mac OS e Trojan.Win32.Inject.djgs sui computer degli utenti Windows. Questo exploit infettava i computer Mac OS X degli utenti con il programma nocivo Backdoor.OSX.MaControl.a. Sempre a marzo, è stata individuata una nuova modifica del programma nocivo Backdoor.OSX.Imuler, che diffonde file con estensioni apparentemente sicure. Durante l’attacco di marzo, i criminali informatici hanno distribuito spam contenente file nocivi mascherati da immagini erotiche con estensione JPG. Nello stesso periodo, sono stati diffusi anche programmi nocivi che utilizzavano Twitter come server di comando e controllo. Per distribuire questi programmi, i criminali informatici hanno utilizzato 200.000 blog violati operanti sulla piattaforma WordPress.
Minacce mobile
Il segmento delle minacce mobile è stato caratterizzato dal nuovo tipo di trojan bancario per Android. In passato ci sono stati altri Trojan capaci di rubare numeri di autenticazione delle transazioni mobile (mTAN), che le banche inviano ai telefoni cellulari dei clienti via SMS. A metà marzo, sono stati rilevati alcuni malware mobile in grado di intercettare i messaggi di testo che contengono mTAN e sottrarre le credenziali (login e password) utilizzate per l’autenticazione dell’online banking.