Evoluzione delle minacce informatiche nel terzo trimestre del 2015

Contenuti

Il trimestre in cifre

  • Secondo i dati raccolti tramite il Kaspersky Security Network (KSN) – l’estesa rete globale di sicurezza da noi implementata attraverso specifiche infrastrutture “in-the-cloud” – lungo tutto l’arco del terzo trimestre del 2015 le soluzioni anti-malware di Kaspersky Lab hanno complessivamente respinto ben 235.415.870 attacchi condotti attraverso siti Internet compromessi, dislocati in vari paesi.
  • In totale, sono stati individuati e bloccati, da parte del nostro modulo Anti-Virus Web, 75.408.543 URL unici.
  • Il nostro Anti-Virus Web ha effettuato il rilevamento di 38.233.047 oggetti nocivi unici (script, exploit, file eseguibili, etc.).
  • Sono state complessivamente registrate 5.686.755 notifiche relative a tentativi di infezione da parte di programmi malware preposti al furto delle risorse finanziarie degli utenti attraverso l’accesso online ai conti bancari degli stessi.
  • Il nostro modulo Anti-Virus File ha rilevato con successo 145.137.553 oggetti maligni unici, o potenzialmente indesiderabili.
  • Nel trimestre oggetto del presente report, i prodotti Kaspersky Lab appositamente sviluppati per assicurare la protezione IT dei dispositivi mobili hanno effettuato il rilevamento di:
    • 1.583.094 pacchetti di installazione nocivi;
    • 323.374 nuove varianti di programmi dannosi specificamente creati dai virus writer per infettare i dispositivi mobili;
    • 2.516 Trojan bancari per piattaforme mobile.

Il quadro della situazione

Attacchi mirati

Turla, il malware via satellite

Nel corso di questo ultimo anno, o giù di lì, abbiamo riferito varie volte in merito a Turla (il nostro report iniziale, l’analisi di follow-up ed una breve panoramica riguardo a tale estesa campagna sono disponibili su securelist.com). Il gruppo che si cela dietro la campagna di cyber-spionaggio qui analizzata è ormai attivo da più di otto anni, ed ha infettato centinaia di computer, in oltre 45 paesi. Le organizzazioni prese di mira comprendono agenzie governative, ambasciate, istituzioni militari, entità operanti nel settore dell’istruzione, enti di ricerca e società farmaceutiche.

Il gruppo Turla seleziona le proprie vittime mediante l’impiego, nelle fasi iniziali, di specifici attacchi “watering-hole”. Tuttavia, come abbiamo sottolineato nel nostro ultimo report, per condurre le successive operazioni il gruppo si avvale di connessioni Internet satellitari, per gestire il traffico C2 (Comando-e-Controllo).

La maggior parte delle persone pensa alle comunicazioni via satellite come ad un mezzo impiegato esclusivamente nell’ambito delle trasmissioni televisive; tali connessioni, ad ogni caso, vengono ugualmente utilizzate per fornire l’accesso ad Internet. In genere, questo si verifica in aree geografiche remote, in cui altre tipologie di accesso Internet risultano lente, instabili o non disponibili. Uno dei metodi più diffusi e meno costosi, per realizzare l’accesso via satellite alla Rete, è rappresentato dalle connessioni di tipo “downstream-only”.

Il metodo di cui si avvale il gruppo Turla per effettuare l’hijacking delle connessioni downstream non richiede la sottoscrizione di alcun tipo di abbonamento per poter usufruire di Internet attraverso il collegamento satellitare. Il principale vantaggio, nella circostanza, è che si tratta di un metodo altamente anonimo ed è quindi molto difficile poter identificare gli attaccanti. I ricevitori per Internet via satellite possono essere di fatto ubicati in qualsiasi luogo compreso nell’area geografica coperta da un determinato satellite, area che, generalmente, è sempre piuttosto estesa. Tale approccio si rivela quindi molto utile e vantaggioso, in quanto non possono essere facilmente individuati né la location del server C&C, né il relativo hardware di cui si fa effettivamente uso; al tempo stesso, non si corre il rischio di possibili sequestri “fisici” delle apparecchiature utilizzate. Esso è inoltre meno costoso rispetto all’acquisto di una connessione satellitare, nonché più facile da mettere in pratica rispetto all’operazione di hijacking del traffico di rete tra la vittima e l’operatore satellitare, per poi iniettare dei pacchetti lungo il percorso.

Nel momento in cui viene condotto un attacco nei confronti di connessioni Internet via satellite, sia gli utenti legittimi di tali collegamenti, sia le antenne paraboliche utilizzate dagli attaccanti, puntano verso lo specifico satellite che sta trasmettendo il traffico. Nell’occasione, gli attacker si approfittano del fatto che i pacchetti non sono criptati, bensì in chiaro. Una volta identificato un indirizzo IP instradato attraverso la connessione satellitare downstream, gli aggressori iniziano ad ascoltare i pacchetti provenienti da Internet e diretti verso l’IP specifico. Quando poi viene identificato un simile pacchetto, essi ne determinano l’origine ed inviano alla sorgente dello stesso un pacchetto di risposta falsificato, utilizzando una linea Internet tradizionale. Allo stesso tempo, l’utente legittimo della connessione semplicemente ignora tale pacchetto, poiché esso si dirige verso una porta altrimenti inutilizzata (ad esempio la porta 80 o 10080). Cliccando sul presente link si può accedere ad un’interessante rappresentazione grafica del modo in cui Turla fa uso delle connessioni satellitari.

Il gruppo Turla tende a concentrarsi su provider di connessioni Internet via satellite ubicati in Medio Oriente e in Africa, in paesi quali Congo, Libano, Libia, Niger, Nigeria, Somalia ed Emirati Arabi Uniti. Normalmente, le trasmissioni satellitari provenienti da tali aree geografiche non coprono i paesi europei e nordamericani; questo rende estremamente difficile, per i ricercatori operanti nella sfera della sicurezza IT, poter condurre indagini riguardo a simili attacchi.

Evoluzione delle minacce informatiche nel terzo trimestre del 2015

L’utilizzo delle connessioni Internet satellitari da parte del gruppo Turla costituisce uno sviluppo di indubbio interesse. L’hijacking della larghezza di banda downstream comporta costi decisamente contenuti (circa 1.000 dollari $ per l’investimento iniziale, e circa 1.000 $ all’anno per le operazioni di manutenzione), è semplice da realizzare e garantisce un elevato livello di anonimato. Dall’altro lato, tale approccio non presenta sempre lo stesso grado di affidabilità di alcuni dei metodi più “tradizionali” e collaudati, quali l’hosting di tipo “bullet proof”, l’utilizzo di livelli proxy multipli o di siti web violati – tutti metodi di cui il gruppo Turla fa ugualmente uso. Questo rende meno probabile un eventuale utilizzo dell’hijacking dei collegamenti Internet via satellite nell’ambito della gestione di estese botnet. Tuttavia, qualora tale metodo trovi una larga diffusione tra i gruppi APT o presso gli ambienti cybercriminali, sorgeranno inevitabilmente seri problemi per l’industria della sicurezza IT e per gli organismi preposti all’applicazione delle leggi vigenti.

Darkhotel, si allunga la lista degli “ospiti”

Nel mese di novembre del 2014 è stata da noi pubblicata una prima analisi in merito alla famigerata minaccia APT definita “Darkhotel”. Tali attacchi risultavano caratterizzati dall’uso improprio di certificati rubati, dal dispiegamento di file HTA tramite molteplici tecniche, e dall’infiltrazione all’interno di reti Wi-Fi di hotel allo scopo di collocare temibili backdoor sui computer presi di mira.

Di recente, poi, abbiamo provveduto a pubblicare un dettagliato update riguardo a Darkhotel. Gli attaccanti che si nascondono dietro tale APT continuano ad utilizzare i suddetti metodi; nel frattempo, tuttavia, essi hanno notevolmente ampliato il proprio arsenale. Gli aggressori hanno spostato la loro attenzione in particolar modo verso mirate operazioni di spear-phishing, condotte a danno delle vittime prescelte. Oltre ai consueti file HTA, poi, essi stanno ugualmente distribuendo file RAR infetti, servendosi, tra l’altro, del meccanismo denominato RTLO (right to left override, per ottenere la scrittura dei caratteri da destra a sinistra, a livello di nome del file), allo scopo di mascherare la reale estensione del file stesso. Gli attacker in questione, infine, fanno anche uso di exploit Flash, incluso un exploit zero-day messo in circolazione a seguito dell’eclatante fuga di dati subita dalla società Hacking Team.

Nel corso del 2015, Darkhotel ha esteso considerevolmente il proprio raggio d’azione, a livello geografico; si registrano, in effetti, vittime di tale APT in Corea del Nord, Russia, Corea del Sud, Giappone, Bangladesh, Thailandia, India, Mozambico e Germania.

Blue Termite

Nello scorso mese di agosto, abbiamo pubblicato l’analisi dei nostri esperti riguardo all’APT Blue Termite, una sofisticata campagna di cyber-spionaggio basata su attacchi di natura mirata, focalizzata sul furto di informazioni riservate relative ad organizzazioni ubicate entro i confini del territorio giapponese. I target prediletti da Blue Termite includono agenzie governative, enti governativi locali, gruppi di interesse pubblico, università, banche, servizi finanziari, così come società operanti in settori quali energia, comunicazioni, industria pesante, chimica, automotive, elettricità, mass media, servizi di informazione, sanità, settore immobiliare, alimentare, semiconduttori, robotica, costruzioni, assicurazioni, trasporti ed altro ancora. Uno dei target di profilo più elevato è risultato ad esempio essere il Japan Pension Service.

Evoluzione delle minacce informatiche nel terzo trimestre del 2015

Il malware in causa viene personalizzato a seconda della vittima specifica. La backdoor Blue Termite custodisce i dati relativi a se stessa, compreso le informazioni riguardanti il server C2 e il nome dell’API, così come apposite stringhe volte ad impedire eventuali analisi, i valori dei mutex, il checksum MD5 dei comandi della backdoor e le informazioni sul proxy interno. I dati si presentano in forma criptata, rendendo quindi più complessa l’analisi del malware; per ogni sample occorre, in pratica, una chiave di decodifica unica.

Il metodo principale di infezione, così come per molte campagne basate su attacchi mirati, è rappresentato dall’invio di e-mail di spear-phishing alle potenziali vittime. Abbiamo ad ogni caso rilevato ulteriori metodi di infezione. Questi ultimi includono gli attacchi di tipo “drive-by download”, realizzati tramite un exploit Flash (CVE-2015-5119), ovvero uno degli exploit posti in circolazione a seguito della fuga di dati subita da Hacking Team. Numerosi siti web giapponesi sono stati compromessi proprio con tale modalità. Abbiamo ugualmente individuato alcuni attacchi di tipo “watering-hole”; segnaliamo, tra di essi, un assalto portato nei confronti di un sito web appartenente ad un membro di spicco del governo giapponese.

Le “storie” di sicurezza IT più significative del trimestre

CoinVault, siamo al capolinea?

Il 14 settembre 2015 la polizia informatica olandese ha proceduto all’arresto di due persone sospette, a seguito del presunto coinvolgimento delle stesse negli attacchi informatici riconducibili al ransomware CoinVault. L’arresto si è reso possibile grazie agli sforzi congiunti prodotti da Kaspersky Lab, Panda Security e dalla National High Tech Crime Unit (NHTCU) olandese, i quali hanno pienamente evidenziato gli innegabili vantaggi derivanti dalla collaborazione tra forze di polizia e ricercatori operanti nel campo della sicurezza IT. La campagna di malware in questione ha avuto inizio nel mese di maggio del 2014, per poi proseguire nel corso dell’anno corrente. Essa ha bersagliato target ubicati in oltre 20 paesi; la maggior parte delle vittime è stata registrata nei Paesi Bassi, in Germania, Stati Uniti, Francia e Gran Bretagna. Nella circostanza, i malfattori sono riusciti a criptare file su oltre 1.500 computer provvisti di sistema operativo Windows, richiedendo poi alle vittime un pagamento in Bitcoin per decodificare i dati custoditi sulle macchine sottoposte ad attacco.

I criminali informatici responsabili della conduzione della campagna ransomware qui descritta hanno modificato le loro “creature” varie volte, per poter continuare a prendere di mira nuove vittime. La nostra prima analisi riguardo al ransomware CoinVault è stata pubblicata nel mese di novembre 2014, subito dopo la comparsa del primo sample del programma malware in causa. La campagna nociva si è poi interrotta sino ad aprile 2015, mese in cui abbiamo individuato un nuovo sample di CoinVault. Sempre nello stesso mese, Kaspersky Lab e la NHTCU dei Paesi Bassi hanno lanciato un sito web con funzione di repository delle chiavi di decodifica. Oltre a questo, abbiamo reso disponibile, online, un apposito tool di decodifica, allo scopo di aiutare le vittime del ransomware a recuperare i loro dati, senza dover pagare il riscatto richiesto.

Dopo aver pubblicato il sito, Kaspersky Lab è stata contattata da Panda Security, la quale, nel frattempo, aveva raccolto interessanti informazioni riguardo ad ulteriori sample del malware. Nella circostanza, siamo stati in grado di confermare che tali campioni erano di fatto correlati a CoinVault. Abbiamo quindi passato le informazioni alla NHTCU olandese.

Potete trovare qui la nostra analisi in merito alle mille tortuosità che hanno accompagnato il complesso percorso di CoinVault.

Il ransomware è purtroppo divenuto un elemento costante nel torbido panorama delle minacce IT. Mentre il caso qui esaminato dimostra come la collaborazione tra i ricercatori e le forze dell’ordine possa condurre a risultati ampiamente positivi, risulta essenziale, per gli utenti consumer e corporate, adottare opportune misure di sicurezza, per mitigare i rischi generati dalla presenza di questa specifica tipologia di malware. Le operazioni cybercriminali che prevedono il dispiegamento di temibili programmi ransomware si basano proprio sull’auspicato pagamento del riscatto da parte degli utenti-vittima. Oltre a disporre di un’efficace protezione anti-malware, è quindi importante effettuare regolarmente il backup dei propri dati, per evitare possibili perdite degli stessi e la necessità di dover ricorrere al pagamento di un riscatto.

Un serpente nel “giardino recintato” di Apple

La recente comparsa di applicazioni nocive nell’App Store ha evidenziato come, contrariamente a quanto credono in molti, il sistema operativo iOS non sia immune dal malware.

Nel caso specifico, il malware denominato ‘XcodeGhost’ ha infettato decine di applicazioni, tra cui WeChat, l’app di NetEase per il download di brani musicali, CamCard – lo scanner professionale per i biglietti da visita – e la taxi app di Didi Kuaidi per il car-hailing. Sono state ugualmente infettate le versioni cinesi di Angry Birds 2.

Nell’occasione, gli attaccanti non hanno hackerato l’App Store, ma hanno invece fatto ricorso ad una versione contraffatta di Xcode di Apple. Xcode, come è noto, è la suite gratuita di tool di cui fanno uso gli sviluppatori software per creare le applicazioni iOS. È ufficialmente distribuita da Apple e, in maniera non ufficiale, anche da terze parti; qualcuno, in Cina, ha reso disponibile per il download una versione di Xcode contenente il codice dannoso XcodeGhost. Gli attacker hanno semplicemente sfruttato il fatto che alcuni sviluppatori cinesi scelgono di scaricare i tool di sviluppo, quali il noto strumento IDE della casa di Cupertino, direttamente dai server locali, visto che l’operazione di download può essere effettuata con maggiore rapidità.

Qualsiasi applicazione creata utilizzando la versione modificata di Xcode risulterebbe infetta. Tali app nocive realizzano il furto di dati dai dispositivi mobili delle loro vittime ed inviano poi ai malintenzionati le informazioni carpite. Si era ritenuto, inizialmente, che ben 39 applicazioni infette avessero bypassato il processo di scansione implementato da Apple, e fossero state quindi caricate all’interno dell’App Store. Le app dannose in questione sono ad ogni caso state rimosse da Apple. La versione compromessa di Xcode è disponibile da circa sei mesi; il numero totale di applicazioni infette potrebbe così rivelarsi decisamente superiore, anche perché il codice sorgente di XcodeGhost è stato pubblicato su GitHub.

Potete trovare qui un’analisi del malware XcodeGhost, effettuata dai ricercatori di Palo Alto Networks.

L’incidente occorso mette in luce un pericolo latente, ovvero il fatto che i programmi possano essere infettati alla loro stessa fonte, qualora vengano compromessi i tool utilizzati dagli sviluppatori.

La Gaza cyber-gang

Alla fine dello scorso mese di settembre abbiamo riferito in merito alle attività condotte da un’altra APT a carattere regionale, la Gaza cyber-gang. Si tratta di un gruppo arabo animato da motivazioni politiche, operante nell’ambito della regione MENA (Medio Oriente e Nord Africa), focalizzato in particolar modo su Egitto, Emirati Arabi Uniti e Yemen. Il gruppo è interessato alle agenzie e agli enti governativi, in special modo le ambasciate, là dove le attività informatiche e le misure di sicurezza intraprese potrebbero non rivelarsi del tutto “solide” e affidabili. La Gaza cyber-gang opera sin dall’anno 2012, ma è divenuta particolarmente attiva nel secondo trimestre del 2015.

La gang invia attivamente il malware al personale IT e IR (Incident Response, risposta agli incidenti) che lavora presso le organizzazioni prese di mira: di fatto, i nomi dei file inviati alle vittime riflettono le funzioni IT o gli strumenti IR utilizzati per investigare sui cyber-attacchi. Non è certo difficile capire il perché. Il personale IT, in genere, dispone di diritti di accesso più elevati rispetto agli altri dipendenti, visto che il suo compito è proprio quello di gestire le infrastrutture informatiche aziendali. Il personale IR, da parte sua, ha verosimilmente accesso ai dati sensibili relativi alle cyber-indagini in corso; esso dispone, inoltre, di diritti di accesso particolarmente estesi, i quali consentono di poter sorvegliare meglio eventuali attività sospette nell’ambito della rete. Questo significa che, in tal modo, gli attacker non solo ottengono l’accesso ai computer dei dipendenti delle organizzazioni target, ma possono ugualmente estendere il loro raggio d’azione all’interno del network sottoposto ad assalto.

I principali moduli di cui si avvale il gruppo APT per realizzare l’infezione informatica sono costituiti da RAT (Remote Access Trojans, trojan di accesso remoto) ampiamente diffusi: XtremeRAT e PoisonIvy. Le attività condotte si basano fortemente sul dispiegamento di tecniche di ingegneria sociale. La Gaza cyber-gang fa uso di nomi di file speciali, correlati a funzioni IT e IR, così come di contenuti e nomi di dominio (ad esempio ‘.gov.uae.kim’) che possono probabilmente rivelarsi interessanti per le potenziali vittime degli attacchi.

Le statistiche del terzo trimestre 2015

Tutti i dati statistici riportati nel presente resoconto trimestrale sono stati ottenuti attraverso le speciali soluzioni anti-virus implementate nel Kaspersky Security Network (KSN), grazie all’attività svolta da vari componenti ed elementi di sicurezza IT, impiegati per assicurare un’efficace e pronta protezione nei confronti dei programmi malware. Essi sono stati ricevuti tramite gli utenti di KSN che hanno previamente fornito l’assenso per effettuare la trasmissione di dati statistici ai nostri analisti. A questo sofisticato sistema di scambio di informazioni su scala globale, riguardo alle pericolose attività condotte dal malware, prendono parte vari milioni di utenti dei prodotti Kaspersky Lab, ubicati in 213 diversi paesi e territori del globo.

Le minacce IT per dispositivi mobili

Il principale metodo di “monetizzazione” previsto nell’ambito delle minacce mobile consiste tuttora nel far sì che gli utenti visualizzino sui propri dispositivi pubblicità di vario genere. Continua di fatto ad aumentare il numero dei programmi che impongono la visione forzata, molesta ed invadente di réclame di ogni tipo sugli smartphone e sui tablet degli utenti; nel terzo trimestre dell’anno in corso, oltre la metà del volume complessivo degli oggetti mobile rilevati è risultata essere costituita da programmi AdWare.

Allo stesso tempo, abbiamo osservato una significativa crescita del numero di quei programmi che utilizzano la pubblicità come strumento primario di monetizzazione e, per raggiungere tale scopo, fanno ricorso a tecniche e metodi propri del nutrito arsenale di cui dispongono i virus writer. Spesso, tali programmi ottengono l’accesso root al dispositivo della vittima, e si avvalgono poi dei diritti di superutente; questo rende particolarmente complessa, se non addirittura impossibile, la lotta nei loro confronti. Nel terzo trimestre del 2015, i Trojan riconducibili a questa specifica tipologia hanno costituito, da soli, più della metà del numero di software nocivi per dispositivi mobili presenti nella TOP-20 relativa ai malware mobile in assoluto più dffusi.

Così come in precedenza, continuano ad essere attuali, in qualità di metodo per realizzare profitti illeciti, anche i Trojan-SMS, soprattutto in Russia. Ricordiamo, nell’occasione, che questi programmi nocivi sono adibiti all’invio di costosi messaggi a pagamento dal dispositivo infetto, all’insaputa dell’utente-vittima. Sebbene la loro quota, nel flusso globale delle minacce informatiche mobile, continui a diminuire, i Trojan-SMS detengono tuttora la posizione di leadership, tra i programmi dannosi per dispositivi mobili, relativamente al numero di nuovi sample individuati nell’arco del trimestre.

Nella sfrenata corsa al profitto, i malintenzionati non si limitano, comunque, a generare la visualizzazione forzata, da parte degli utenti, di pubblicità di ogni genere, e nemmeno all’invio di messaggi SMS a pagamento. Di fatto, i cybercriminali si dimostrano sempre molto interessati agli account bancari degli utenti. Nel trimestre qui esaminato, nell’ambito delle nuove minacce mobile, la quota complessivamente ascrivibile a Trojan bancari e spyware per dispositivi mobili, in grado di realizzare il furto dei dati personali degli utenti, ha in effetti superato di 0,7 punti percentuali l’indice relativo ai Trojan-SMS.

Numero di nuove minacce mobile

Nel terzo trimestre del 2015 i prodotti Kaspersky Lab adibiti alla protezione IT dei dispositivi mobili hanno rilevato 323.374 nuove varianti di malware mobile, ovvero un numero di minacce superiore di 1,1 volte rispetto all’analogo valore riscontrato nel secondo trimestre del 2015, e di ben 3,1 volte rispetto a quanto rilevato nel primo trimestre dell’anno in corso.

Nel periodo oggetto della nostra analisi sono stati complessivamente individuati 1.583.094 pacchetti di installazione nocivi, in sostanza un numero di pacchetti dannosi superiore di 1,5 volte rispetto all’analoga quantità rilevata nel trimestre precedente.

Evoluzione delle minacce informatiche nel terzo trimestre del 2015

Numero complessivo di pacchetti di installazione maligni e di nuove minacce mobile individuati nel periodo 1° trimestre 2015 – 3° trimestre 2015

Ripartizione per tipologie del malware mobile individuato

2_IT

Suddivisione delle nuove varianti di malware mobile in base ai loro specifici comportamenti dannosi – Secondo e terzo trimestre del 2015 a confronto

La speciale graduatoria del terzo trimestre del 2015 riservata alla ripartizione degli oggetti maligni per dispositivi mobili in base agli specifici comportamenti nocivi da essi evidenziati, risulta capeggiata dagli Adware, ovvero le fastidiose applicazioni pubblicitarie potenzialmente indesiderate. Ricordiamo che, nell’analogo rating relativo al trimestre precedente, gli Adware occupavano il secondo gradino del “podio” virtuale, con una quota pari al 19%; nel trimestre qui analizzato l’indice percentuale ad essi ascrivibile è sensibilmente aumentato, sino a raggiungere un valore pari al 52,2%.

Alla seconda piazza della graduatoria troviamo poi i RiskTool; si tratta, di fatto, di applicazioni legittime, le quali, tuttavia, possono rivelarsi potenzialmente pericolose per gli utenti; Il loro utilizzo da parte di malintenzionati, oppure un uso inappropriato delle stesse da parte del proprietario dello smartphone, può in effetti generare perdite di natura finanziaria. Rispetto al trimestre precedente, la quota relativa ai RiskTool ha fatto registrare una diminuzione pari a 16,6 punti percentuali; tale tipologia di applicazioni mobile ha così “perso” il primo posto in classifica.

Risulta ulteriormente diminuito, nel flusso globale delle minacce mobile, l’indice inerente ai Trojan-SMS (- 1,9%); esso si è in tal modo attestato su un valore medio pari al 6,2%. Ad ogni caso, i Trojan-SMS detengono tuttora la leadership nell’ambito dei programmi malware destinati alle piattaforme mobile.
Direttamente alle spalle dei Trojan-SMS, nella speciale classifica trimestrale, si sono piazzati i Trojan-Spy, con una quota del 5,4%. Tali programmi nocivi realizzano il furto dei dati personali degli utenti; essi intercettano, tra l’altro, gli SMS in entrata provenienti dagli istituti bancari e contenenti il codice segreto mTAN.

Tra i malware mobile, nel terzo trimestre dell’anno in corso, il tasso di crescita più elevato è stato fatto registrare dai Trojan-Banker, la cui quota percentuale risulta più che raddoppiata; essa si è in effetti attestata su un valore pari all’0,8%, contro lo 0,6% osservato relativamente al secondo trimestre del 2015. Nel trimestre precedente sono stati rilevati 630 programmi riconducibili a tale categoria; nel trimestre qui esaminato, ne sono stati invece individuati più di 2.500, ovvero 4 volte di più.

TOP-20 relativa ai programmi malware destinati alle piattaforme mobile

Il rating riservato ai programmi maligni, qui sotto inserito, non include i programmi potenzialmente pericolosi o indesiderati, quali i RiskTool ed i software pubblicitari (AdWare).

Denominazione % di utenti sottoposti ad attacco*
1 DangerousObject.Multi.Generic 46,6
2 Trojan.AndroidOS.Rootnik.d 9,9
3 Trojan-SMS.AndroidOS.Podec.a 7,4
4 Trojan-Downloader.AndroidOS.Leech.a 6,0
5 Trojan.AndroidOS.Ztorg.a 5,5
6 Exploit.AndroidOS.Lotoor.be 4,9
7 Trojan-Dropper.AndroidOS.Gorpo.a 3,3
8 Trojan-SMS.AndroidOS.Opfake.a 3,0
9 Trojan.AndroidOS.Guerrilla.a 2,9
10 Trojan-SMS.AndroidOS.FakeInst.fz 2,6
11 Trojan-Ransom.AndroidOS.Small.o 2,3
12 Trojan-Spy.AndroidOS.Agent.el 2,1
13 Trojan.AndroidOS.Ventica.a 1,9
14 Trojan.AndroidOS.Ztorg.b 1,9
15 Trojan.AndroidOS.Ztorg.pac 1,8
16 Trojan.AndroidOS.Fadeb.a 1,6
17 Trojan-SMS.AndroidOS.Smaps.a 1,5
18 Trojan.AndroidOS.Iop.a 1,5
19 Trojan.AndroidOS.Guerrilla.b 1,5
20 Trojan-SMS.AndroidOS.FakeInst.fi 1,4

* Quote percentuali relative al numero di utenti attaccati da tali malware mobile, sul numero complessivo di utenti unici sottoposti ad attacco.

Al primo posto della graduatoria, spicca la presenza del malware classificato come DangerousObject.Multi.Generic (46,6%). L’individuazione delle nuove applicazioni dannose avviene grazie alle sofisticate tecnologie implementate attraverso la rete globale di sicurezza Kaspersky Security Network (KSN), le quali permettono ai nostri prodotti anti-malware di poter reagire in ogni frangente, con la massima rapidità, nei confronti di minacce IT nuove o sconosciute. Desideriamo porre in evidenza come, nel flusso globale, la quota relativa al malware identificato con la denominazione di DangerousObject.Multi.Generic sia in pratica triplicata rispetto al trimestre precedente, visto che la stessa è passata dal 17,5% fatto registrare nel primo trimestre dell’anno all’attuale 46,6%.

Rispetto al precedente rating trimestrale, all’interno della TOP-20 in questione risulta sensibilmente aumentato il numero dei programmi Trojan che ricorrono all’utilizzo della pubblicità come principale strumento di “monetizzazione”. Mentre nel secondo trimestre del 2015 facevano parte della speciale graduatoria “soltanto” sei programmi riconducibili a tale specifica tipologia, nel terzo trimestre dell’anno corrente il numero complessivo di questi ultimi è salito ad undici: se scorriamo la TOP-20, troviamo, in effetti, ben tre programmi appartenenti alla famiglia Trojan.AndroidOS.Ztorg, due programmi della famiglia Trojan.AndroidOS.Guerrilla, ed inoltre Trojan.AndroidOS.Rootnik.d, Trojan-Downloader.AndroidOS.Leech.a, Trojan-Dropper.AndroidOS.Gorpo.a, Trojan-Spy.AndroidOS.Agent.el, Trojan.AndroidOS.Ventica.a e, per finire, Trojan.AndroidOS.Fadeb.a.

A differenza degli abituali moduli pubblicitari, i suddetti programmi non recano alcun payload. Il loro scopo è esclusivamente quello di recapitare all’utente la maggior quantità possibile di réclame, ricorrendo a metodi di vario genere, tra cui l’installazione di nuovi software pubblicitari. I Trojan sopra citati possono inoltre utilizzare i diritti di superutente per nascondersi all’interno della cartella di sistema; la rimozione degli stessi si rivela essere, quindi, un’operazione particolarmente complessa.

Evidenziamo la presenza, nel novero dei Trojan “pubblicitari”, del programma classificato come Trojan-Spy.AndroidOS.Agent.el; esso si incontra, a volte, persino nel firmware ufficiale rilasciato da alcuni produttori.

Sottolineiamo, allo stesso tempo, come il temibile malware denominato Trojan-SMS.AndroidOS.Podec.a (7,4%) sia entrato a far parte, per il quarto trimestre consecutivo, della TOP-3 relativa alle minacce mobile maggiormente attive; tale circostanza dipende essenzialmente dalla notevole diffusione di cui esso è oggetto. È di particolare interesse rilevare come le funzionalità possedute dalle ultime versioni del suddetto Trojan si differenzino rispetto a quelle riscontrate nelle release precedenti; le ultime varianti di Podec, in effetti, non prevedono la possibilità di inviare SMS. Questo programma Trojan, adesso, si concentra esclusivamente sulla realizzazione di sottoscrizioni a pagamento, utilizzando, a tale scopo, la funzione di riconoscimento dei CAPTCHA.

Al 17° posto della speciale TOP-20 da noi elaborata è andato infine a collocarsi il malware denominato Trojan-SMS.AndroidOS.Smaps.a. Alcune versioni dello stesso sono in grado di inviare spam dietro apposito comando impartito dal server attraverso l’applicazione Viber, nel caso in cui quest’ultima, ovviamente, risulti installata sul dispositivo mobile della vittima. Per far ciò, al Trojan non occorre alcun permesso speciale, né l’esecuzione di una determinata azione da parte dell’utente.

Geografia delle minacce mobile

Evoluzione delle minacce informatiche nel terzo trimestre del 2015

Quadro mondiale relativo alla ripartizione geografica dei tentativi di infezione compiuti, nel corso del terzo trimestre del 2015, dai programmi malware specificamente sviluppati per colpire i dispositivi mobili (percentuali calcolate sul numero complessivo di utenti sottoposti ad attacco in ogni singolo paese)

TOP-10 relativa ai paesi in cui si è registrata la quota percentuale più elevata di utenti sottoposti ad attacco informatico da parte di malware per dispositivi mobili:

Paese* % di utenti sottoposti ad attacco**
1 Bangladesh 22,57
2 Cina 21,45
3 Nigeria 16,01
4 Tanzania 15,77
5 Iran 13,88
6 Malaysia 13,65
7 Algeria 12,73
8 Nepal 12,09
9 Kenya 11,17
10 Indonesia 10,82

* Nell’effettuare i calcoli statistici non abbiamo tenuto conto di quei paesi in cui il numero di utenti delle soluzioni anti-virus di Kaspersky Lab per dispositivi mobili risulta ancora relativamente contenuto (meno di 10.000 utenti).
** Quote percentuali relative al numero di utenti unici sottoposti ad attacco, rispetto al numero complessivo di utenti – in ogni singolo paese – dell’antivirus mobile di Kaspersky Lab.

I paesi più sicuri in relazione a tale importante indice:

Paese % di utenti sottoposti ad attacco**
1 Giappone 1,13
2 Canada 2,87
3 Danimarca 3,20
4 Svezia 3,45
5 Australia 3,48

Rileviamo come, nonostante l’Australia faccia parte della TOP-5 che riunisce i paesi più sicuri al mondo in merito all’eventualità che si manifestino infezioni generate dal malware mobile, la situazione in tale paese non è così tranquilla e sicura come potrebbe a prima vista sembrare: in effetti, nel terzo trimestre dell’anno in corso, gli utenti australiani sono risultati sottoposti agli attacchi portati dai Trojan bancari destinati ai dispositivi mobili con frequenza superiore rispetto agli utenti mobile ubicati negli altri paesi.

I Trojan bancari per piattaforme mobile

Nel periodo oggetto della nostra consueta analisi trimestrale dedicata all’evoluzione del malware mobile, sono stati da noi individuati 2.516 Trojan-Banker destinati ai dispositivi mobili, ovvero un numero quattro volte superiore rispetto all’analoga quantità rilevata per gli stessi nel trimestre precedente.

Evoluzione delle minacce informatiche nel terzo trimestre del 2015

Numero di sample di Trojan bancari per piattaforme mobile presenti nella “collezione” di Kaspersky Lab (Situazione relativa al periodo 4° trimestre 2014 – 3° trimestre 2015)

Evoluzione delle minacce informatiche nel terzo trimestre del 2015

Quadro mondiale relativo alla ripartizione geografica dei tentativi di infezione compiuti, nel corso del terzo trimestre 2015, dai Trojan bancari destinati ai dispositivi mobili (numero di utenti sottoposti ad attacco)

Il numero complessivo degli utenti sottoposti ad attacco dipende, ovviamente, dal numero totale di utenti mobile presenti in un determinato paese. Per valutare e comparare il livello di rischio esistente, nei vari paesi, riguardo alle infezioni informatiche generate dai Trojan bancari per dispositivi mobili, abbiamo provveduto ad allestire un apposito rating relativo ai paesi in cui si è registrata la quota percentuale più elevata di utenti sottoposti ad attacco informatico da parte dei suddetti Trojan-Banker.

TOP-10 relativa ai paesi in cui si è registrata la quota percentuale più elevata di utenti sottoposti ad attacco informatico da parte di Trojan-Banker per dispositivi mobili:

Paese* % di utenti attaccati da Trojan bancari**
1 Australia 0,85
2 Repubblica di Corea 0,40
3 Russia 0,32
4 Cipro 0,32
5 Repubblica Ceca 0,31
6 Austria 0,27
7 Kirghizistan 0,26
8 Bulgaria 0,24
9 Romania 0,23
10 Uzbekistan 0,23

* Nell’effettuare i calcoli statistici non abbiamo tenuto conto di quei paesi in cui il numero di utenti delle soluzioni anti-virus di Kaspersky Lab per dispositivi mobili risulta ancora relativamente contenuto (meno di 10.000 utenti).
** Quote percentuali registrate nei vari paesi relativamente al numero di utenti unici sottoposti ad attacco da parte di Trojan bancari per piattaforme mobile, rispetto al numero complessivo di utenti – in ogni singolo paese – dell’antivirus mobile di Kaspersky Lab.

Come evidenzia la tabella qui sopra inserita, la speciale graduatoria del terzo trimestre 2015 risulta capeggiata dall’Australia; tale paese, nell’analogo rating relativo al trimestre precedente, occupava, invece, l’ottava piazza della classifica. Nell’arco di soli tre mesi, la quota di utenti sottoposti ad attacco da parte di banker mobile è cresciuta, in Australia, di ben 6 volte, passando dallo 0,14% allo 0,85%. Tale repentino aumento è stato determinato dall’utilizzo particolarmente attivo, da parte dei malintenzionati, del malware denominato Trojan-Banker.AndroidOS.Agent.ad. Quest’ultimo, in effetti, esegue il furto di login e password necessari per accedere al sistema di banking online allestito da uno degli istituti bancari più importanti d’Australia. Allo stesso modo, il suddetto Trojan cerca di carpire i dati sensibili relativi alle carte di credito degli utenti (nome del titolare, numero della credit card, CVV, data di scadenza della stessa).

Sottolineiamo, infine, come l’indice percentuale relativo alla Corea del Sud, paese che nel secondo trimestre dell’anno occupava la prima posizione della TOP-10 qui esaminata, sia diminuito di quasi 6 volte (dal 2,37% allo 0,4%); la Repubblica di Corea è in tal modo scesa al secondo posto del ranking da noi stilato.

TOP-10 relativa ai paesi in cui si è registrata la quota percentuale più elevata di utenti attaccati da parte di Trojan-Banker per piattaforme mobile, rispetto al numero complessivo di utenti unici sottoposti ad attacco

Un significativo indice del livello di popolarità ormai raggiunto – nei vari paesi, presso gli ambienti cybercriminali – dai Trojan bancari per piattaforme mobile, è di sicuro rappresentato dal rapporto effettivamente esistente tra il numero di utenti sottoposti ad attacco da parte degli stessi banker mobile – almeno una volta nel corso del trimestre preso in esame – ed il numero complessivo di utenti, in ogni singolo paese, che, nel 3° trimestre del 2015, hanno visto entrare in azione, perlomeno una volta, il nostro modulo antivirus dedicato ai dispositivi mobili. Tale rating si distingue, quindi, dal precedente, riportato qui sopra:

Paese* % di utenti attaccati dai Trojan-Banker, sul numero totale di utenti sottoposti ad attacco**
1 Australia 24,31
2 Austria 7,02
3 Montenegro 5.92
4 Repubblica di Corea 5,69
5 Francia 5,66
6 Cipro 5,56
7 Russia 5,09
8 Repubblica Ceca 4,98
9 Svezia 4,81
10 Finlandia 4,56

* Nell’effettuare i calcoli statistici non abbiamo tenuto conto di quei paesi in cui il numero di utenti delle soluzioni anti-virus di Kaspersky Lab per dispositivi mobili risulta ancora relativamente contenuto (meno di 10.000 utenti).
** Quote percentuali, registrate nei vari paesi, relativamente al numero di utenti unici sottoposti ad attacco da parte di Trojan bancari per piattaforme mobile, rispetto al numero complessivo di utenti unici – in ogni singolo paese – sottoposti ad attacco da parte di malware mobile.

In Australia, il paese che è andato ad occupare la prima posizione della speciale TOP-10 qui sopra inserita, quasi un quarto del numero complessivo di utenti sottoposti ad attacco da parte di programmi malware destinati alle piattaforme mobile, ha subito l’assalto di Trojan bancari appositamente sviluppati per colpire smartphone e tablet.

Per ciò che riguarda la Russia, osserviamo come la quota ascrivibile agli attacchi condotti mediante l’utilizzo di banker mobile – rispetto al volume totale degli attacchi informatici eseguiti tramite il dispiegamento di programmi malware destinati ai dispositivi mobili – si sia in pratica dimezzata, passando dal 10,35% fatto registrare nel trimestre precedente all’attuale 5,09%. Questo è avvenuto a seguito della sensibile diminuzione del livello di attività manifestato dalla famiglia di trojan bancari denominata Trojan-Banker.AndroidOS.Marcher, che, in precedenza, risultava essere una delle più diffuse sul territorio della Federazione Russa. Nel corso del trimestre oggetto del presente report, è stato in pratica registrato, relativamente alla famiglia di Trojan-Banker qui sopra citata, un numero di attacchi inferiore di ben dieci volte rispetto all’analoga quantità di assalti informatici nei confronti di dispositivi mobili rilevata nel secondo trimestre del 2015 riguardo a tale famiglia di malware mobile.

Le applicazioni vulnerabili maggiormente sfruttate dai malintenzionati

La speciale graduatoria delle applicazioni vulnerabili, qui di seguito riportata, è stata elaborata sulla base dei dati statistici da noi raccolti in merito alle operazioni di rilevamento e neutralizzazione degli exploit da parte dei prodotti Kaspersky Lab; il grafico tiene in debita considerazione sia gli exploit utilizzati dai malintenzionati per la conduzione degli attacchi informatici via Web, sia gli exploit impiegati dai malfattori per compromettere le applicazioni custodite “localmente” sui computer o sui dispositivi mobili degli utenti.

Evoluzione delle minacce informatiche nel terzo trimestre del 2015

Ripartizione degli exploit – utilizzati dai cybercriminali per la conduzione di attacchi informatici – in base alle varie tipologie di applicazioni sottoposte ad attacco – Situazione relativa al terzo trimestre del 2015

Rispetto all’analogo rating del secondo trimestre 2015, osserviamo i seguenti cambiamenti:

  1. Aumento di 2 punti percentuali della quota relativa agli exploit destinati a colpire Adobe Flash Player.
  2. Diminuzione di ben 5 punti percentuali dell’indice relativo agli exploit appositamente confezionati per attaccare Adobe Reader.

Nel corso del trimestre qui preso in esame, così come lungo tutto l’arco dell’anno, i cybercriminali hanno fatto ampio uso degli exploit per Adobe Flash Player. La loro quota si è complessivamente attestata su un valore pari al 5%, ma “in-the-wild” il loro numero risulta decisamente superiore; in sostanza, al momento attuale, quasi tutti gli exploit pack sfruttano vulnerabilità individuate in tale software. Così come nel trimestre precedente, ha continuato a diminuire l’indice percentuale relativo agli exploit destinati alla piattaforma Java (11%). Non abbiamo in effetti rilevato l’inserimento di nuovi, ulteriori exploit Java nella composizione dei kit di expoit attualmente presenti sulla scena del malware.

Nel terzo trimestre dell’anno in corso, gli exploit pack più noti sono risultati provvisti degli exploit appositamente creati per attaccare le seguenti vulnerabilità:

  1. CVE-2015-5560 (Adobe Flash; tale exploit è stato dettagliatamente descritto in un articolo pubblicato da Kaspersky Lab)
  2. CVE-2015-2419 (Internet Explorer)
  3. CVE-2015-1671 (Silverlight)

Nel trimestre precedente era stato da noi osservato un significativo incremento dei flussi e-mail correlati alle campagne di spam allestite allo scopo di recapitare documenti PDF dannosi nelle caselle di posta elettronica degli utenti. Nel terzo trimestre, il numero di simili mailing di massa è sensibilmente diminuito; di conseguenza, la quota ascrivibile agli exploit destinati all’applicazione Adobe Reader ha evidenziato una pronunciata flessione.

Complessivamente, nel trimestre oggetto del presente report, si è mantenuta la specifica tendenza, da noi peraltro osservata lungo tutto l’arco del 2015, che vede i malintenzionati ricorrere principalmente all’utilizzo di exploit per Adobe Flash Player ed Internet Explorer. Nell’ambito del grafico da noi elaborato, quest’ultimo rientra nella categoria “Browsers”, della quale fanno ugualmente parte i rilevamenti che riguardano le landing pages adibite alla distribuzione degli exploit.

Programmi malware in Internet (attacchi tramite siti web)

I dati statistici esaminati in questo capitolo del nostro consueto report trimestrale sull’evoluzione del malware sono stati ottenuti sulla base delle attività svolte dall’Anti-Virus Web, modulo di sicurezza preposto alla protezione dei computer degli utenti nel momento in cui dovesse essere effettuato il download di oggetti nocivi da pagine web nocive/infette. I siti Internet dannosi vengono appositamente allestiti dai cybercriminali; possono tuttavia risultare infetti sia le risorse web il cui contenuto viene determinato dagli stessi utenti della Rete (ad esempio i forum), sia i siti legittimi violati.

Le minacce online rivolte al settore finanziario

I dati statistici qui sotto indicati sono stati elaborati sulla base dei rilevamenti effettuati dai prodotti Kaspersky Lab. Essi sono stati da noi ricevuti tramite gli utenti che hanno previamente fornito l’assenso per effettuare la trasmissione di dati statistici ai nostri analisti.

Complessivamente, nel terzo trimestre del 2015, le soluzioni di sicurezza IT sviluppate da Kaspersky Lab hanno respinto tentativi di infezione informatica, da parte di programmi malware appositamente elaborati dai virus writer per colpire la sfera bancaria – e carpire quindi le risorse finanziarie degli utenti-vittima mediante l’accesso non autorizzato agli account bancari posseduti da questi ultimi – sui computer di ben 625.669 utenti della rete globale di sicurezza Kaspersky Security Network. Rispetto all’analogo valore rilevato nel trimestre precedente (755.642), tale indice ha fatto registrare un decremento pari a 17,2 punti percentuali. Ricordiamo a tal proposito che, un anno fa, nel terzo trimestre del 2014, erano stati registrati tentativi di attacco tramite malware bancario su 591.688 computer degli utenti.

In totale, nel corso del trimestre qui preso in esame, le soluzioni di sicurezza IT elaborate da Kaspersky Lab ed implementate nei computer degli utenti iscritti al programma di protezione globale KSN, hanno fatto registrare 5.686.755 notifiche relative a tentativi di infezione condotti da parte di programmi malware preposti al furto delle risorse finanziarie degli utenti attraverso l’accesso online (illecito!) ai relativi conti bancari presi di mira.

Evoluzione delle minacce informatiche nel terzo trimestre del 2015

Numero di attacchi condotti mensilmente nei confronti degli utenti mediante l’utilizzo di malware finanziari – Situazione relativa al terzo trimestre del 2015

Geografia degli attacchi

Al fine di valutare e comparare nel modo più definito possibile il livello di rischio esistente riguardo alle infezioni informatiche generate dai Trojan bancari – rischio al quale risultano sottoposti i computer degli utenti nei vari paesi del globo – abbiamo stimato, per ogni paese, la quota percentuale relativa agli utenti dei prodotti Kaspersky Lab che, nel periodo oggetto del report, si sono imbattuti in tale genere di minaccia IT, rispetto al numero complessivo degli utenti dei nostri prodotti che si registra nel paese.

Evoluzione delle minacce informatiche nel terzo trimestre del 2015

Geografia degli attacchi informatici condotti dai cybercriminali nel corso del terzo trimestre del 2015 mediante l’utilizzo di malware bancario (percentuale di utenti sottoposti ad attacco)

TOP-10 relativa ai paesi in cui si è registrata la quota percentuale più elevata di utenti sottoposti ad attacco informatico da parte di malware bancari

Paese* % di utenti sottoposti ad attacco**
1 Austria 4,98
2 Singapore 4,23
3 Turchia 3,04
4 Namibia 2,91
5 Nuova Zelanda 2,86
6 Hong Kong 2,81
7 Australia 2,78
8 Libano 2,60
9 Emirati Arabi Uniti 2,54
10 Svizzera 2,46

* Nell’effettuare i calcoli statistici non abbiamo tenuto conto di quei paesi in cui il numero di utenti delle soluzioni anti-virus di Kaspersky Lab risulta ancora relativamente contenuto (meno di 10.000 utenti).
** Quote percentuali relative al numero di utenti unici Kaspersky Lab sottoposti ad attacchi da parte di malware finanziari, rispetto al numero complessivo di utenti unici dei prodotti Kaspersky Lab nel paese.

Come evidenzia la tabella qui sopra riportata, nel terzo trimestre del 2015 la leadership della speciale TOP-10 basata sulle quote percentuali di utenti Kaspersky Lab sottoposti ad attacco da parte dei Trojan bancari nei vari paesi è andata ad appannaggio dell’Austria. Il leader della graduatoria relativa al trimestre precedente (Singapore) è in tal modo sceso al secondo posto del ranking da noi stilato. Rileviamo come la maggior parte dei paesi presenti nella speciale TOP-10 si caratterizzi per il numero piuttosto elevato di utenti che si avvalgono dei sistemi di banking online; questo, ovviamente, attira in particolar modo le losche attenzioni dei cybercriminali.

In Russia, nel corso del trimestre qui analizzato, si è imbattuto in qualche temibile Trojan-Banker, perlomeno una volta, lo 0,71% degli utenti; tale indice non si discosta molto dall’analoga quota fatta registrare dalla Federazione Russa nel trimestre precedente (0,75%). Negli Stati Uniti (0,59%), nell’arco di tre mesi, l’indice in questione è diminuito di 0,3 punti percentuali. Un lieve decremento della quota di utenti sottoposti ad attacco da parte di Trojan bancari è stato ugualmente osservato in vari paesi dell’Europa Occidentale: in Spagna (1,95%) tale diminuzione è risultata pari a 0,07 punti percentuali, in Gran Bretagna (1,24%) pari allo 0,34%, in Italia (1,16%) allo 0,41%, in Germania (1,03%) allo 0,13%.

TOP-10 inerente alle famiglie di malware bancario maggiormente diffuse

La speciale TOP-10 relativa alle famiglie a cui appartengono i programmi malware maggiormente utilizzati, nel corso del terzo trimestre del 2015, nell’ambito degli attacchi informatici eseguiti dai malintenzionati nei confronti degli utenti dei sistemi di online banking, si presenta nella maniera seguente:

Denominazione* Quota percentuale di attacchi**
1 Trojan-Downloader.Win32.Upatre 63,13
2 Trojan-Spy.Win32.Zbot 17,86
3 Trojan-Banker.JS.Agent 1,70
4 Trojan-Banker.Win32.ChePro 1,97
5 Backdoor.Win32.Caphaw 1,14
6 Trojan-Banker.Win32.Banbra 1,93
7 Trojan-Banker.AndroidOS.Faketoken 0,90
8 Trojan-Banker.AndroidOS.Agent 0,57
9 Trojan-Banker.Win32.Tinba 1,93
10 Trojan-Banker.AndroidOS.Marcher 0,55

* Rilevamenti eseguiti dai prodotti Kaspersky Lab. Le informazioni sono state ricevute tramite gli utenti dei prodotti Kaspersky Lab che hanno previamente fornito l’assenso per effettuare la trasmissione di dati statistici ai nostri analisti.
** Quota percentuale calcolata sul totale complessivo degli attacchi eseguiti mediante l’utilizzo di malware finanziari e rilevati sui computer di utenti unici.

È di particolare rilevanza sottolineare come la stragrande maggioranza delle famiglie di malware presenti nella composizione della speciale TOP-10 da noi elaborata, si avvalga della classica tecnica denominata “web injection”, comunemente utilizzata dai Trojan bancari per iniettare codice HTML arbitrario all’interno della pagina web visualizzata dall’utente tramite il proprio browser; al tempo stesso, i suddetti malware fanno largo uso di sofisticati processi di intercettazione dei dati sensibili relativi alle transazioni finanziarie eseguite in Rete dagli utenti, dati inseriti da questi ultimi nei form appositamente contraffatti, i quali vanno poi a rimpiazzare i moduli originali.

La leadership del rating, così come in precedenza, è detenuta dal malware denominato Trojan-Downloader.Win32.Upatre. I software dannosi riconducibili a tale specifica famiglia di programmi nocivi risultano essere tutt’altro che complessi e presentano, per di più, dimensioni decisamente esigue (non oltre i 3,5 Kb); le funzionalità di cui sono provvisti si limitano, in genere, al caricamento del “payload” sul computer-vittima: si tratta, di solito, di insidiosi Trojan bancari appartenenti alla famiglia di malware attualmente nota con tre diversi appellativi – Dyre/Dyzap/Dyreza. Un “rappresentante” di tale famiglia è stato per la prima volta rilevato nel mese di giugno 2014; il compito principale al quale risultano adibiti i suddetti Trojan-Banker è rappresentato dal furto dei dati sensibili relativi alle operazioni di pagamento condotte online dagli utenti. Per far ciò, Dyre provvede ad intercettare i dati della sessione bancaria in corso tra il browser della vittima e l’applicazione web di online banking. Nel corso dell’estate 2015, il malware Trojan-Downloader.Win32.Upatre è stato tuttavia individuato anche su router domestici compromessi; questo testimonia, in maniera inequivocabile, l’utilizzo polivalente di tale programma Trojan da parte dei malintenzionati.

Al secondo posto della graduatoria troviamo poi un vero e proprio “habitué” del rating qui esaminato: si tratta del famigerato malware Trojan-Spy.Win32.Zbot. La sua presenza permanente ai vertici di tale classifica non è certo casuale. I Trojan della famiglia Zbot sono stati tra i primi ad utilizzare il metodo della web injection per cercare di carpire i dati relativi alle operazioni di pagamento svolte nell’ambito dei sistemi di banking online, e cercare di modificare il contenuto delle pagine web inerenti alla sfera bancaria. Essi utilizzano vari livelli di cifratura dei propri file di configurazione; allo stesso tempo, il file di configurazione, una volta decodificato, non viene custodito interamente in memoria, ma viene caricato in porzioni separate. Questo conferisce un evidente vantaggio tecnologico ai programmi trojan della famiglia Trojan-Spy.Win32.Zbot nei confronti dei malware loro diretti concorrenti.

Nel trimestre qui analizzato, sul terzo gradino del “podio” virtuale troviamo la famiglia Trojan-Banker.JS.Agent; si tratta di codici JS maligni, che rappresentano il risultato della procedura di iniezione di codice dannoso nella pagina web adibita al banking online. Il compito di simili codici è costituito dall’intercettazione dei dati di pagamento introdotti dall’utente negli appositi form presenti sulle pagine Internet riservate alle operazioni di banking online.

Rileviamo inoltre la presenza, all’interno della TOP-10 qui sopra riportata, di tre famiglie di Trojan bancari destinati alle piattaforme mobile: Trojan-Banker.AndroidOS.Faketoken, Trojan-Banker.AndroidOS.Marcher (abbiamo riferito riguardo ad essi nell’analogo report relativo allo scorso trimestre) e la “new entry” del rating, ovvero Trojan-Banker.AndroidOS.Agent. I programmi riconducibili a tale famiglia realizzano il furto dei dati di pagamento sui dispositivi mobili provvisti di sistema operativo Android.

TOP-10 dei sistemi operativi maggiormente sottoposti ad attacchi da parte di Trojan-Banker

Nel terzo trimestre dell’anno in corso, sono risultati sottoposti con maggior frequenza agli attacchi portati dai malware finanziari gli utenti provvisti di sistemi operativi della famiglia Windows; questo non costituisce motivo di particolare sorpresa, vista la capillare diffusione, su scala mondiale, dei dispositivi basati su sistemi operativi appartenenti alla suddetta famiglia. Ad ogni caso, sono stati gli utenti dell’OS Windows 7 x64 Edition ad imbattersi più spesso degli altri in insidiosi Trojan bancari; nel terzo trimestre del 2015, in effetti, la quota ad essi ascrivibile si è attestata su un valore pari al 42,2% del volume complessivo degli attacchi eseguiti dai malintenzionati attraverso l’utilizzo di Trojan-Banker. Segnaliamo, inoltre, come sia entrato a far parte della TOP-10 in questione anche il sistema operativo Android.

Sistema operativo Quota percentuale di attacchi*
Windows 7 x64 Edition 42,2
Windows 7 11,6
Windows 7 Home x64 Edition 5,5
Windows XP Professional 7,0
Windows 8.1 Home x64 Edition 3,7
Windows 8.1 x64 Edition 2,3
Windows 7 Home 1,3
Windows 10 x64 Edition 1,2
Android 4.4.2 0,6
Windows NT 6.3 x64 Edition 0,7

* Quota percentuale sul volume complessivo degli attacchi eseguiti tramite il dispiegamento di malware finanziari, rilevati sui computer di utenti unici che hanno previamente fornito l’assenso per effettuare la trasmissione di dati statistici ai nostri analisti.

Desideriamo porre in evidenza come, nonostante la famiglia dei sistemi operativi Mac OS X non sia entrata a far parte della TOP-10 qui sopra riportata, gli utenti di tale OS non possano ritenersi completamente al sicuro: in effetti, nel corso del terzo trimestre dell’anno, i computer provvisti di sistema operativo Mac OS X sono stati complessivamente attaccati 12.492 volte.

TOP-20 relativa agli oggetti rilevati in Internet

Nel terzo trimestre del 2015 il nostro Anti-Virus Web ha effettuato il rilevamento di 38.233.047 oggetti dannosi unici (script, exploit, file eseguibili, etc.); sono stati inoltre individuati e bloccati, da parte del modulo Anti-Virus Web di Kaspersky Lab, 75.408.543 URL unici.

Tra tutti gli oggetti nocivi o potenzialmente indesiderati abbiamo selezionato i 20 che si sono dimostrati maggiormente attivi; ad essi è attribuibile il 95% del volume complessivo degli attacchi condotti attraverso Internet.

TOP-20 relativa agli oggetti rilevati in Internet

Denominazione* % sul totale complessivo degli attacchi**
1 Malicious URL 53,63
2 AdWare.JS.Agent.bg 16,71
3 AdWare.Script.Generic 7,14
4 Trojan.Script.Generic 6,30
5 Trojan.Script.Iframer 3,15
6 Trojan.Win32.Generic 1,52
7 AdWare.Win32.SoftPulse.heur 1,31
8 AdWare.JS.Agent.bt 1,09
9 AdWare.Win32.OutBrowse.heur 0,84
10 Trojan-Downloader.Win32.Generic 0,63
11 AdWare.NSIS.Vopak.heur 0,46
12 Exploit.Script.Blocker 0,46
13 Trojan-Downloader.JS.Iframe.diq 0,30
14 AdWare.Win32.Amonetize.aqxd 0,30
15 Trojan-Downloader.Win32.Genome.tqbx 0,24
16 AdWare.Win32.Eorezo.abyb 0,23
17 Hoax.HTML.ExtInstall.a 0,19
18 Trojan-Clicker.HTML.Iframe.ev 0,17
19 AdWare.Win32.Amonetize.bgnd 0,15
20 Trojan.Win32.Invader 0,14

* Oggetti infetti o potenzialmente indesiderati neutralizzati sulla base dei rilevamenti effettuati dal componente Anti-Virus Web. Le informazioni sono state ricevute tramite gli utenti dei prodotti Kaspersky Lab che hanno previamente fornito l’assenso per effettuare la trasmissione di dati statistici ai nostri analisti.
** Quota percentuale sul totale complessivo degli attacchi web rilevati sui computer di utenti unici.

La TOP-20 analizzata nel presente capitolo del report annovera, per la maggior parte, la presenza di “verdetti” riconducibili ad oggetti maligni utilizzati dai cybercriminali per la conduzione di attacchi di tipo drive-by e, al tempo stesso, la presenza di un elevato numero di programmi AdWare. Nel trimestre qui preso in esame, ben nove delle venti posizioni del rating risultano in effetti occupate da programmi correlati alla visualizzazione di pubblicità da parte degli utenti.

Un “verdetto” di particolare interesse è indubbiamente rappresentato dal malware Hoax.HTML.ExtInstall.a; esso viene rilevato sotto forma di una pagina web in grado di bloccare il funzionamento del browser dell’utente e di “imporre” l’installazione di un’estensione per Chrome. Se si tenta di chiudere la pagina, viene spesso riprodotto il file audio <voice.mp3>, il quale, più o meno, recita così: “per chiudere la pagina, clicca sul pulsante Aggiungi“.

Evoluzione delle minacce informatiche nel terzo trimestre del 2015

Pagina web preposta ad imporre l’installazione di un’estensione per Chrome
(Clicca su “Installa” per continuare)

Le estensioni proposte non arrecano danni agli utenti; si tratta, ad ogni caso, di una vera e propria imposizione, alquanto molesta, che l’utente, in pratica, non può rifiutare. È proprio per tale motivo che i prodotti Kaspersky Lab effettuano il rilevamento della suddetta pagina web, provvista di apposita finestra di pop-up. Tale metodo di distribuzione delle estensioni browser viene utilizzato nell’ambito di uno dei numerosi programmi di partenariato attualmente esistenti.

Geografia delle fonti degli attacchi web: TOP-10

Tali dati statistici si riferiscono alla ripartizione per paesi delle fonti degli attacchi web portati nei confronti dei computer degli utenti della Rete, attacchi bloccati e neutralizzati con successo dal modulo Anti-Virus Web (si tratta, più precisamente, di pagine web preposte al redirect degli utenti verso famigerati exploit, di siti Internet imbottiti di exploit ed ulteriori programmi malware, di centri di comando e controllo di estese botnet, etc.). Sottolineiamo, nella circostanza, come ogni host unico preso in considerazione sia stato, di fatto, fonte di uno o più attacchi condotti attraverso Internet.

Per determinare l’origine geografica degli assalti informatici portati tramite web è stato applicato il metodo che prevede la debita comparazione del nome di dominio con il reale indirizzo IP nel quale tale dominio risulta effettivamente collocato; si è allo stesso modo fatto ricorso all’accertamento della collocazione geografica di tale indirizzo IP (GEOIP).

Nel terzo trimestre del 2015 le soluzioni anti-malware di Kaspersky Lab hanno complessivamente respinto ben 235.415.870 attacchi condotti attraverso siti Internet compromessi dislocati in vari paesi. L’80% del numero complessivo di notifiche ricevute riguardo agli attacchi web bloccati e neutralizzati dall’antivirus è risultato attribuibile ad attacchi provenienti da siti web ubicati in una ristretta cerchia di dieci paesi.

Evoluzione delle minacce informatiche nel terzo trimestre del 2015

Ripartizione per paesi delle fonti degli attacchi web – Situazione relativa al terzo trimestre del 2015

Rileviamo, innanzitutto, come la leadership della speciale classifica da noi stilata sia andata ad appannaggio degli Stati Uniti, la cui quota è risultata pari al 26,9%; ricordiamo a tal proposito che, nell’analoga graduatoria relativa al trimestre precedente, gli USA occupavano la seconda posizione del rating. La seconda piazza dell’attuale graduatoria è occupata dalla Russia (18,8%), la quale, tre mesi fa, capeggiava con ampio margine la TOP-10 relativa alle fonti geografiche degli attacchi web. I due paesi, in pratica, si sono scambiati le rispettive posizioni in classifica. Osserviamo, infine, come non facciano più parte della TOP-10 in questione né le Isole Vergini, né Singapore; le “new entry”, nel ranking del terzo trimestre 2015, sono invece Svezia (1,43%) e Canada (1,42%).

Paesi i cui utenti sono risultati sottoposti ai maggiori rischi di infezioni informatiche diffuse attraverso Internet

Al fine di valutare nel modo più definito possibile il livello di rischio esistente riguardo alle infezioni informatiche distribuite via web – rischio al quale risultano sottoposti i computer degli utenti nei vari paesi del globo – abbiamo stimato il numero di utenti unici dei prodotti Kaspersky Lab che, in ogni paese, nel trimestre qui analizzato, hanno visto entrare in azione il modulo anti-virus specificamente dedicato al rilevamento delle minacce IT presenti nel World Wide Web. Si tratta, in altre parole, di un indice decisamente attendibile riguardo al livello di “aggressività” degli ambienti geografici in cui si trovano ad operare i computer degli utenti.

Paese* % di utenti unici sottoposti ad attacco**
1 Russia 38,20
2 Nepal 36,16
3 Kazakhstan 33,79
4 Ukraina 33,55
5 Siria 32,10
6 Azerbaijan 32,01
7 Bielorussia 30,68
8 Vietnam 30,26
9 Cina 27,82
10 Thailandia 27,68
11 Armenia 27,65
12 Brasile 26,47
13 Algeria 26,16
14 Turchia 25,13
15 Mongolia 25,10
16 Kirghizistan 23,96
17 Macedonia 23,84
18 Lituania 23,59
19 Bangladesh 23,56
20 Moldavia 23,36

I dati statistici sopra indicati sono stati elaborati sulla base dei rilevamenti effettuati dal modulo Anti-Virus Web; essi sono stati da noi ricevuti tramite gli utenti dei prodotti Kaspersky Lab che hanno previamente fornito l’assenso per effettuare la trasmissione di dati statistici ai nostri analisti.

* Nell’effettuare i calcoli statistici non abbiamo tenuto conto di quei paesi in cui il numero di utenti delle soluzioni anti-virus di Kaspersky Lab risulta ancora relativamente contenuto (meno di 10.000 utenti).
** Quote percentuali relative al numero di utenti unici sottoposti ad attacchi web rispetto al numero complessivo di utenti unici dei prodotti Kaspersky Lab nel paese.

La leadership del rating qui esaminato è rimasta invariata: la prima posizione della speciale graduatoria, in effetti, risulta occupata, così come in precedenza, dalla Russia (38,2%). Rileviamo inoltre come, rispetto al trimestre precedente, non facciano più parte della TOP-20 i seguenti paesi: Georgia, Croazia, Qatar, Bosnia ed Erzegovina, Grecia. Le “new-entry” sono invece rappresentate dal Nepal, salito immediatamente al secondo posto della TOP-20 (36,16%), dal Brasile (12° posto, con una quota pari al 26,47%), Turchia (14° posto; 25,13%), Lituania (18° posto; 23,59%) e Bangladesh (19° posto; 23,56%).

Tra i paesi nei quali la navigazione in Internet risulta in assoluto più sicura troviamo Svizzera (17%), Repubblica Ceca (16%), Stati Uniti (16,3%), Singapore (15%), Ungheria (13,8%), Norvegia (13%), Irlanda (12,2%), Svezia (10,8%).

Evoluzione delle minacce informatiche nel terzo trimestre del 2015

Complessivamente, a livello mondiale, nel corso del trimestre qui analizzato, una consistente porzione degli utenti della Rete (23,4%), anche per una sola volta, è risultata sottoposta ad attacchi informatici provenienti dal web. Rispetto al trimestre precedente, tale significativo indice presenta una diminuzione pari a 0,5 punti percentuali.

Minacce informatiche locali

Si rivelano ugualmente di estrema importanza le statistiche relative alle infezioni locali che si sono manifestate sui computer degli utenti nel corso del terzo trimestre del 2015. Tali dati riguardano sia gli oggetti nocivi penetrati nel computer dell’utente mediante l’infezione di file o di supporti rimovibili, sia gli oggetti nocivi insediatisi inizialmente all’interno del computer-vittima non in forma manifesta (ad esempio certi programmi che accompagnano installer particolarmente complessi, file codificati, etc.).

Il presente capitolo del nostro consueto report trimestrale dedicato al quadro statistico complessivo delle minacce informatiche, analizza i dati ottenuti grazie alle attività di sicurezza IT svolte dal modulo antivirus (preposto ad effettuare la scansione dei file presenti sul disco rigido al momento della loro creazione o quando si vuole accedere ad essi), unitamente alle statistiche relative ai processi di scansione condotti sui vari supporti rimovibili.

Lungo tutto l’arco del terzo trimestre dell’anno in corso, il nostro modulo Anti-Virus File ha rilevato con successo 145.137.553 oggetti maligni unici, o potenzialmente indesiderati.

Oggetti maligni rilevati nei computer degli utenti: TOP-20

Denominazione* % di utenti unici sottoposti ad attacco**
1 DangerousObject.Multi.Generic 19,76
2 Trojan.Win32.Generic 14,51
3 Trojan.WinLNK.StartPage.gena 5,56
4 WebToolbar.JS.Condonit.a 4,98
5 AdWare.Script.Generic 4,97
6 WebToolbar.Win32.Agent.azm 4,48
7 RiskTool.Win32.GlobalUpdate.dx 3,63
8 WebToolbar.JS.AgentBar.e 3,63
9 WebToolbar.JS.CroRi.b 3,32
10 Downloader.Win32.Agent.bxib 3,20
11 AdWare.Win32.OutBrowse.heur 3,13
12 Adware.NSIS.ConvertAd.heur 3,08
13 AdWare.Win32.Generic 3,06
14 Downloader.Win32.MediaGet.elo 2,98
15 Trojan.Win32.AutoRun.gen 2,92
16 AdWare.Win32.BrowseFox.e 2,91
17 WebToolbar.Win32.MyWebSearch.si 2,82
18 AdWare.Win32.MultiPlug.heur 2,66
19 Virus.Win32.Sality.gen 2,61
20 RiskTool.Win32.BackupMyPC.a 2,57

* I dati statistici sopra indicati sono stati elaborati sulla base dei rilevamenti effettuati dai moduli anti-virus OAS (scanner on-access) e ODS (scanner on-demand). Le informazioni sono state ricevute tramite gli utenti dei prodotti Kaspersky Lab che hanno previamente fornito l’assenso per effettuare la trasmissione di dati statistici ai nostri analisti.
** Quote percentuali relative agli utenti unici sui computer dei quali l’anti-virus ha rilevato l’oggetto maligno. Le quote indicate si riferiscono al totale complessivo degli utenti unici dei prodotti Kaspersky Lab, presso i quali sono stati eseguiti rilevamenti da parte del nostro modulo Anti-Virus File.

Tradizionalmente, il rating qui sopra riportato è relativo ai “verdetti” riconducibili ai programmi AdWare ed ai loro componenti, così come ai worm che si diffondono attraverso i supporti di memoria rimovibili.

Il malware classificato dagli esperti di sicurezza IT con la denominazione di Virus.Win32.Sality.gen rimane, di fatto, l’unico rappresentante della categoria dei virus nell’ambito della graduatoria in questione; così come in precedenza, tuttavia, esso continua a perdere posizioni all’interno del rating. In effetti, ormai da tempo, la quota percentuale inerente ai computer infettati da tale virus continua progressivamente a diminuire. Come evidenzia la tabella qui sopra inserita, nel trimestre oggetto del presente report Sality è andato ad occupare il 19° posto del rating, con un indice pari al 2,61%, ovvero lo 0,25% in meno rispetto all’analogo valore riscontrato nel trimestre precedente.

Paesi nei quali i computer degli utenti sono risultati sottoposti al rischio più elevato di infezioni informatiche locali

È stata calcolata, per ogni paese, la percentuale di utenti dei prodotti Kaspersky Lab che, nel corso del periodo preso in esame nel presente report, ha visto entrare in azione il modulo Anti-Virus File, specificamente dedicato al rilevamento delle minacce IT locali. Tali dati statistici costituiscono, in pratica, il riflesso del grado medio di infezione dei personal computer nei vari paesi del mondo.

TOP-20 relativa ai paesi in cui sono state rilevate le quote percentuali più elevate in termini di rischio di contagio da infezioni informatiche locali

Paese* % di utenti unici**
1 Bangladesh 64,44
2 Vietnam 60,20
3 Nepal 60,19
4 Georgia 59,48
5 Somalia 59,33
6 Laos 58,33
7 Russia 57,79
8 Armenia 57.56
9 Afghanistann 56.42
10 Etiopia 56.34
11 Ruanda 56.21
12 Siria 55.82
13 Mozambico 55.79
14 Yemen 55.17
15 Cambogia 55.12
16 Algeria 55.03
17 Iraq 55.01
18 Kazakhstan 54.83
19 Mongolia 54.65
20 Ukraina 54.19

I dati statistici sopra indicati sono stati elaborati sulla base dei rilevamenti effettuati dai moduli anti-virus OAS (scanner on-access) e ODS (scanner on-demand). Le informazioni sono state ricevute tramite gli utenti dei prodotti Kaspersky Lab che hanno previamente fornito l’assenso per effettuare la trasmissione di dati statistici ai nostri analisti. Nella circostanza, sono stati presi in considerazione i programmi malware individuati dalle nostre soluzioni anti-virus direttamente sui computer degli utenti, oppure sulle unità rimovibili ad essi collegate (flash drive USB, schede di memoria di telefoni o apparecchi fotografici digitali, hard disk esterni).

* Nell’effettuare i calcoli statistici non abbiamo tenuto conto di quei paesi in cui il numero di utenti delle soluzioni anti-virus di Kaspersky Lab risulta ancora relativamente contenuto (meno di 10.000 utenti).
** Quote percentuali relative al numero di utenti unici sui computer dei quali sono state bloccate e neutralizzate minacce informatiche locali, rispetto al numero complessivo di utenti unici dei prodotti Kaspersky Lab nel paese.

Le “new entry” della speciale graduatoria da noi stilata sono il Mozambico, collocatosi al 13° posto del rating (55,8%) e lo Yemen, che, con un indice pari al 55,2%, è andato ad occupare la quattordicesima piazza della TOP-20.

Paesi con il più basso livello di contaminazione informatica a carattere “locale” – Svezia (21,4%), Danimarca (19,8%) e Giappone (18,0%).

Evoluzione delle minacce informatiche nel terzo trimestre del 2015

In media, nel mondo, durante il terzo trimestre del 2015, sono state rilevate minacce IT di origine locale – perlomeno una volta – sul 42,2% dei computer degli utenti; tale indice ha fatto pertanto registrare, rispetto al secondo trimestre dell’anno in corso, un aumento pari al 2,2%.

Post correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *