La Top 10 delle minacce per il 2007

I siti web che “rubano” le password sono in aumento
Nel 2007 saranno sempre più frequenti attacchi che cercano di catturare l’identità e la password degli utenti visualizzando una pagina di sign-in fasulla e aumenteranno quelli volti a colpire servizi online popolari come eBay. Come testimoniato dagli attacchi di phishing che hanno seguito l’uragano Katrina, si prevede anche un maggior numero di attacchi che si avvantaggiano della volontà e disponibilità della gente di aiutare i bisognosi. Per contro, il numero degli attacchi contro gli ISP dovrebbe diminuire mentre gli attacchi volti a colpire il settore finanziario rimarranno stabili.

Lo spam, e in particolare lo spam di immagini, è in crescita
Nel novembre 2006, lo spam di immagini ha rappresentato oltre il 40% dello spam totale ricevuto, rispetto a meno del 10% di un anno fa. Lo spam basato su immagini ha una dimensione tipica che è tre volte maggiore a quella di spam basato su testo, perciò si tratta di un aumento significativo nella larghezza di banda utilizzata dai messaggi di spam classici.

La popolarità dei video sul Web li renderà un obiettivo degli cracker
Il crescente utilizzo di formati video su siti di social networking come MySpace, YouTube e VideoCodeZone porterà gli autori di malware a cercare di penetrare all’interno di una rete ampia. Diversamente dalle situazioni che coinvolgono gli allegati email, la maggior parte degli utenti avrà la tendenza ad aprire file multimediali senza alcuna esitazione. Inoltre, poiché il video è un formato semplice da utilizzare, funzionalità come il padding, pubblicità pop-up e reindirizzamento URL diventano gli strumenti di distruzione ideali per gli autori di  malware. Insieme, tali problematiche rendono molto probabile un efficace successo degli scrittori di codice malevolo che sfruttano il media malware.

Il worm W32/Realor, scoperto all’inizio di Novembre 2006 da McAfee Avert Labs, rappresenta un caso recente di media malware. Il worm è in grado di lanciare siti web malevoli senza indicazioni da parte dell’utente, esponendo così gli utenti all’attacco di bot o ladri di password caricati su tali siti. Altro media malware come Exploit-WinAmpPLS potrebbe installare di nascosto dello spyware con un’interazione minima da parte dell’utente. Con la diffusione sul web di reti per la condivisione di video e filmati, la possibilità di catturare l’attenzione di un vasto pubblico inciterà gli autori di malware a sfruttare tali canali per ottenere un guadagno economico.

Crescono gli attacchi mobile
Le minacce mobile continueranno a crescere di pari passo con la convergenza tra piattaforme diverse. L’utilizzo della tecnologia degli smartphone ha giocato un ruolo fondamentale nel passaggio delle minacce da PC multifunzione, semi-stazionari a dispositivi palmari “indossabili”. Con l’incremento nella diffusione di connessioni  BlueTooth, SMS, instant messaging, email, WiFi, USB, audio, video e Web crescono le possibilità di contaminazione incrociata dei diversi dispositivi.

Il 2006 è stato testimone dei tentativi da parte degli autori di malware mobile di realizzare vettori d’infezione PC-verso-telefono e telefono-verso-PC. Il vettore PC-verso-telefono è stato realizzato creando MSIL/Xrove.A, un malware .NET che può infettare uno smartphone tramite ActiveSync. I vettori telefono-verso-PC esistenti al momento sono in uno stadio ancora primitivo, per esempio quelli che infettano tramite schede di memoria rimovibili. Comunque, McAfee prevede che il secondo livello successivo verranno raggiunto nel corso del 2007.

Anche lo SMiShing, che prevede che le tradizionali tecniche di phishing tramite email vengano sfruttano via SMS (da qui la definizione di SMiShing invece di phishing), vivrà un aumento.

Inoltre, per il 2007 si prevede un aumento anche del malware mobile a fini di lucro. La prospettiva è cambiata con il Trojan J2ME/Redbrowser Trojan un programma Trojan horse che finge di accedere a pagine web WAP (Wireless Access Protocol) tramite messaggi SMS. In realtà, invece di recuperare le pagine WAP, invia messaggi SMS a numeri telefonici a tariffa maggiorata, costando così all’utente molto più di quanto previsto. Anche un secondo J2ME, Wesber, comparso nel corso del 2006, invia messaggi a un numero SMS a tariffa maggiorata.

La fine del 2006 ha registrato un turbine di offerte di spyware nel mondo mobile. La maggior parte vengono creati per monitorare numeri telefonici e registri di chiamate SMS, o per rubare messaggi SMS inoltrandoli a un altro telefono. Uno spyware in particolare, SymbOS/Flexispy.B, è in grado di attivare remotamente il microfono del dispositivo della vittima, permettendo ad altri di origliare le conversazioni di quella persona. Ci sono altri spyware che possono attivare la macchina fotografica. McAfee prevede che l’offerta di spyware commerciale volto a colpire i dispositivi mobile crescerà nel corso del 2007.

L’adware si diffonderà ampiamente
Nel 2006, McAfee Avert Labs ha registrato un aumento dei programmi indesiderati o Potentially Unwanted Programs (PUPs) commerciali, e una crescita ancora maggiore in tipologie correlate di Trojan malevoli, in particolare keylogger, password-stealer, bot e backdoor. Inoltre, è in aumento l’uso improprio di software commerciale da parte del malware che implementa, controllandoli da remoto, adware, keylogger e software di controllo remoto.

Furto d’identità e perdita dei dati continueranno a essere un problema pubblico
Secondo l’U.S. Federal Trade Commission, ogni anno circa 10 milioni di americani sono vittime di frodi legate all’identità. Alla radice di questi crimini vi è spesso la perdita di un computer, perdita di backup o sistemi informatici compromessi. Mentre McAfee prevede che il numero di vittime rimarrà stabile, aziende che rendono pubblica la perdita o il furto di dati, un crescente numero di furti informatici e attacchi di cracker su sistemi ATM e di pagamento, e la segnalazione di furti di laptop che contengono dati confidenziali continueranno a fare di questo argomento un elemento di preoccupazione pubblica.

Anche i bot aumenteranno
I Bot, programmi informatici che eseguono task automatici, sono in crescita, ma si sposteranno da meccanismi di comunicazioni che sfruttano Internet Relay Chat (IRC) verso metodi meno invadenti. Anche i cosiddetti  “Muli” continueranno a costituire un aspetto importante nei piani per guadagnare denaro tramite bot. Si tratta di lavori da svolgere a casa che vengono offerti attraverso  siti web dall’aspetto estremamente professionale, tramite annunci economici e anche tramite instant messaging (IM). Questi rappresentano un elemento cruciale del motivo per cui così tante bot sono in grado di essere eseguiti da qualunque posto nel mondo. Per poter ottenere merce (spesso da rivendere) o denaro con credenziali di carte di credito rubate, i ladri devono sottostare a normative più severe se i beni devono andare in altre nazioni. Per aggirare tali normative, utilizzano i cosiddetti “muli” all’interno delle nazioni d’origine.

Il ritorno del malware parassitario
Sebbene il malware parassitario conti poco meno del 10% di tutto il malware (il 90% del malware è statico), sembra che sia tornato di moda. Gli agenti infettanti parassiti sono virus che modificano i file esistenti su un disco, inseriscono codice all’interno del file laddove si trova. Quando l’utente esegue il file infetto, parte anche il virus. W32/Bacalid, W32/Polip e W32Detnat sono tre parassiti infettanti polimorfi popolari identificati nel 2006 che hanno funzionalità stealth e cercano di scaricare i Trojan da siti web compromessi.

All’inizio di questo mese, McAfee Avert Labs ha anche tracciato e monitorato il payload implementato da W32/Kibik.a, un exploit parassita e zero-day che include euristica rootkit, rilevamento comportamentale e blacklist di indirizzi IP che sono stati l’argomento di discussione della comunità della sicurezza negli anni recenti. W32/Kibik.a fa un interessante tentativo di sopravvivere nel panorama competitivo odierno. Dall’installazione silenziosa tramite un exploit zero-day, a permanenza e attività silenziose e ricerche Google silenziose e apparentemente innocenti; W32/Kibik.a potrebbe essere l’inizio di un nuovo trend per il 2007 nel malware scalabile controllato da remoto (noto anche come botnet). Non sorprende che, grazie ai suoi elementi clandestini, pochi fornitori di sicurezza ad oggi abbiamo rilevato o trovato una cura per W32/Kibik.a.

I rootkit cresceranno sulle piattaforme a 32-bit
Ma cresceranno anche le funzionalità di protezione e remediation. Sulle piattaforme a 64-bit, in particolare Vista, i trend del malware sono difficili da prevedere in attesa dei tassi di utilizzo della piattaforma a 64-bit, ma in generale McAfee Avert Labs prevede:

Le vulnerabilità continuano a preoccupare
Si prevede che il numero delle vulnerabilità rese note aumenterà nel 2007. A questo punto del 2006, Microsoft ha annunciato 140 vulnerabilità attraverso il suo programma mensile di patch. McAfee Avert Labs prevede che tale cifra aumenterà a causa del crescente utilizzo di "fuzzer" che rendono possibile test su larga scala delle applicazioni, e a causa del programma di ricompensa che premia i ricercatori che trovano delle vulnerabilità.

a cura della Redazione