Solo nel mese di Marzo ci sono state ad esempio cinque tipologie di Trojan nella Top 10 del malware che hanno preso di mira le vulnerabilità di Java o Javascript. G Data ha inoltre evidenziato un aumento della presenza di siti manipolati nelle classifiche dei motori di ricerca. L’obbiettivo in questo caso è ingannare gli utenti degli stessi motori di ricerca o dei social network facendo cliccare loro dei siti infetti. G Data si aspetta un ulteriore incremento di entrambe queste due strategie nei prossimi mesi.
Le falle di sicurezza nei plug-in dei browser stanno giocando un ruolo sempre più grande nell’infezione dei sistemi Windows. L’industria del malware si sta focalizzando sulle vulnerabilità di Java fin dalla fine dell’anno passato.“Per questo motivo gli utenti non dovrebbero disattivare la funzione di aggiornamento automatico di Java ed installare tutte le ultime patch. È facile e semplice controllare le versioni installate dei programmi Java utilizzando il sito http://www.java.com/en/download/installed.jsp,", spiega Ralf Benzmüller, Head of G Data Secu-rityLabs. "Per mesi abbiamo osservato un aumento nel malware che manipola i click sui siti Internet in modo tale da migliorarne il ranking. I cosiddetti attacchi ‘clickjacking’ fanno in modo che i siti di malware vengano considerati più affidabili nei motori di ricerca e nei social network.”
ClickjackingIl Website ranking inganna gli utenti e li porta verso contenuti pericolosiLa manipolazione del ranking dei siti Internet nei motori di ricerca (SEO) o nei social network è recen-temente diventata una pratica molto popolare tra i criminali online. Questi utilizzano il cosiddetto “cli-ckjacking” nei social network per posizionare i siti infetti con malware nelle migliori posizioni in classifica.
Trojan.JS.Clickjack è stato uno dei programmi malware di questo tipo ad entrare nella Top 10 del Malware di Marzo 2011. Quando dei siti idonei sono visitati questo programma genera click sul bottone “mi piace” di Facebook senza che l’’utente se ne accorga. Questo tipicamente consente ai siti delle presunte celebrità di entrare nelle prime posizioni in classica dei motori di ricerca per determinate parole chiave.
Metodologia
La Malware Information Initiative (MII) si basa sulla forza della community online community ed ogni utente delle soluzioni di sicurezza di G Data ne può far parte. L’unico prerequisito è quello di attivare questa funzione all’interno dei programmi G Data. Se un attacco malware viene respinto questo evento viene riportato in maniera completamente anonima ai G Data SecurityLabs dove i dati vengono archiviati ed analizzati statisticamente. Informazioni sulla Top 10 del Malware – Marzo 2011
Trojan.Wimad.Gen.1
Questo Trojan si presenta come un normale file audio .wma che può essere ascoltato solo dopo aver in-stallato uno speciale codec/decoder in windows. Se questo file viene aperto, viene installato nel malwa-re. Questo file audio infetto è solitamente distribuito attraverso i network P2P. Java.Trojan.Downloader.OpenConnection.AI
Questo Trojan downloader si trova in applet Java manipolate presenti su alcuni siti Internet. Quando l’applet viene scaricata, viene generato un URL. Il downloader lo utilizza per scaricare un file eseguibile maligno sul Pc dell’utente e lo lancia. Questo downloader sfrutta la vulnerabilità CVE-2010-0840 per e-ludere il Java sandbox e così scrivere dati localmente.
Win32.Ramnit.N
E’ un classico file infector che infetta file eseguibili (.exe), librerie dinamiche (.dll) e file HTML contenuti nell’Hard Disk. Dope aver eseguito un file eseguibile infetto o aver caricato un file .dll infetto, un altro eseguibile viene copiato sul Pc. Viene quindi creata una funzione di auto start per lan-ciare il file infetto ad ogni reboot. L’infector si connette a molteplici server via http o https e scansiona ogni cartella presente sull’Hard Disk infettando molti, se non tutti, i file exe, .dll e HTML con un drop-per. I file HTML infetti contengono uno script VB che copia il file infector quando un utente apre un sito utilizzando IE. Comunque dalla versione 6.0 IE chiede preventivamente se lo script debba essere lancia-to. Worm.Autorun.VHG
Questo programma malware è un worm che utilizza la funzione autorun.inf nei sistemi operativi Windows per distribuire se stesso. Utilizza sistemi di archiviazione removibili come le stick USB o gli Hard disk portatili. È un internet e network worm che sfrutta la vulnerabilità CVE-2008-4250. Trojan.AutorunINF.Gen
Questo è un software generico di riconoscimento che identifica file maligni autorun.inf, conosciuti o sconosciuti. I file autorun.inf sono file di auto start che vengono sfruttati per distribuire malware attra-verso stick USB, periferiche rimovibili di archiviazione, CD e DVD. Java.Trojan.Downloader.OpenConnection.AN
Questo Trojan downloader si trova in applet Java manipolate presenti su alcuni siti Internet. Quando l’applet viene scaricata, viene generato un URL. Il downloader lo utilizza per scaricare un file eseguibile maligno sul Pc dell’utente e lo lancia. Questo downloader sfrutta la vulnerabilità CVE-2010-0840 per e-ludere il Java sandbox e così scrivere dati sul sistema. JS:Redirector-EP [Trj]Un redirector reindirizza I visitatori di un sito su un altro sito. Il tutto avviene sfruttando, per esempio, la funzione” obfuscation” di Javascript in modo che l’URL desiderato sia soltanto digitato nel browser dell’utente. Il redirector in se stesso non compromette il sistema, ma reindirizza l’utente su siti poten-zialmente pericolosi senza che l’utente lo voglia. Java:Agent-DM [Trj]
Questo programma malware basato su Java è un’applet di download che sfrutta una falla di sicurezza (CVE-2010-0840) per eludere i meccanismi di protezione sandbox e scaricare malware addizionale sul computer. Una volta che l’applet ha ingannato il sandbox, può direttamente scaricare e lanciare file .exe, cosa che una semplice applet non potrebbe fare perché bloccata dal Java sandbox. Trojan.JS.Clickjack.A
E’ un Javascript mascherato incorporato su alcuni siti Internet. Come suggerisce il nome stesso , utilizza tecniche di “clickjacking” per ingannare i visitatori dei sit Internet e farli cliccare su link o contenuti senza che questi siano avvisati. Un IFRAME invisibile viene generato sul sito Internet maligno contenente il bottone “mi piace” di Facebbok. Il Javascript muove continuamente questo IFRAME con la posizione del cursore e quando l’utente clicca sul sito (per esempio sul buttone “Play” di un sito di video) automaticamente, e senza accorgersene, clicca anche sul buttone “mi piace” e lo atti-va. Java.Trojan.Exploit.Bytverify.N
Questa minaccia sfrutta una falla di sicurezza presente in Java Bytecode Verifier e presente in applet Java manipolate su certi siti Internet. Questo codice maligno può, per esempio, avviare il download di Trojan, dopodiché è possibile prendere il controllo del computer della vittima.
