Report. Report McAfee Labs sulle minacce

Transcript

1 Report Report McAfee Labs sulle minacce Febbraio 2015

2 Milioni di utenti di app mobili ancora esposti al rischio delle vulnerabilità SSL Informazioni su McAfee Labs McAfee Labs è uno dei più autorevoli laboratori di idee a livello mondiale per la ricerca e l'informazione sulle minacce e per la sicurezza informatica. Grazie ai dati raccolti da milioni di sensori su tutti i principali vettori di minacce file, Web, messaggi e rete McAfee Labs offre informazioni sulle minacce in tempo reale, analisi critiche e valutazioni di esperti per migliorare la protezione e ridurre i rischi. McAfee è ora una divisione di Intel Security. Segui McAfee Labs Introduzione Nel nostro ultimo Report sulle minacce avevamo pubblicato nove previsioni relative alle minacce per il Il nuovo anno è iniziato da appena due mesi, ma alcune di queste previsioni si sono già avverate. "Gli staterelli e i gruppi terroristici stranieri inizieranno a usare il cyberspazio per le loro azioni di guerra contro il nemico. Per distruggere le reti nemiche, sferreranno attacchi DDoS (distributed denial of service) dagli effetti rovinosi o dissemineranno malware in grado di cancellare il record di avvio principale." Il Federal Bureau of Investigation ha attribuito l'attacco contro la Sony Pictures Entertainment, in cui sono stati fra l'altro cancellati i record di avvio principali, alla Corea del Nord. "Questo vettore di attacco [Shellshock] sarà il punto d'ingresso nelle infrastrutture, che si tratti di apparecchiature elettroniche domestiche o di aziende che si affidano in larga parte a sistemi non Windows. Di conseguenza, nel 2015 prevediamo di assistere a un aumento significativo del malware diretto a sistemi non Windows." Il malware che sfrutta la vulnerabilità Shellshock sta attaccando i dispositivi NAS (network attached storage) QNAP privi di patch. "Esistono numerosi app store e siti Web per il download diretto inaffidabili, le cui app sono in molti casi veicoli per il malware. Il traffico verso app store e siti pericolosi come questi viene spesso generato dal "malvertising", una forma di pubblicità malevola che si è diffusa rapidamente sulle piattaforme mobili. Nel 2015 continueremo ad assistere al rapido aumento del malvertising diretto agli utenti mobili, che perpetuerà la crescita del malware mobile." I ricercatori di McAfee Labs, in collaborazione con la Technische Universität di Darmstadt e il Centre for Advanced Security Research Darmstadt, hanno individuato un tipo di malware diffuso tramite Torrent che finge di essere un'app per Android e promette di scaricare il film "The Interview", mentre invece infetta i dispositivi mobili con un trojan bancario. Finora i dispositivi infettati sono Report McAfee Labs sulle minacce, febbraio

3 "Abbiamo già visto tecniche che sfruttano le vulnerabilità e sfuggono alle sandbox delle applicazioni. È solo questione di tempo perché inizino a circolare sul mercato nero fra i criminali informatici. Siamo convinti che questo accadrà nel 2015." Il 13 gennaio, Microsoft ha segnalato che una vulnerabilità di Internet Explorer riguardante l'elevazione dei privilegi aveva permesso l'elusione di una sandbox e causato un attacco zero-day "in the wild". I criminali informatici sono talmente prevedibili! Per coloro che parteciperanno al Mobile World Congress in marzo, abbiamo redatto un Argomento principale in cui esprimiamo preoccupazione per il rischio che corrono le informazioni (nomi utente e password compresi) durante la comunicazione fra app mobili vulnerabili e siti Web di riferimento. Magari questo articolo potrebbe farvi riflettere, mentre siete in viaggio verso Barcellona. Nella sezione del report dedicata alle statistiche sulle minacce abbiamo anche aggiunto alcuni grafici specifici per le applicazioni mobili che speriamo troviate interessanti. Abbiamo inoltre dedicato un Argomento principale a un'affascinante analisi del kit di exploit Angler, che ha preso subito il posto del kit di exploit Blacole dopo l'arresto del suo creatore alla fine del Angler è ancora più potente e diffuso di Blacole. Inoltre, essendo facile da utilizzare e ampiamente disponibile sul mercato nero online, è diventato uno dei metodi di trasporto preferiti per il malware. Il nostro ultimo Argomento principale analizza il difficile mondo dei programmi potenzialmente indesiderati (potentially unwanted programs o PUP). Si tratta di applicazioni che, pur avendo usi legittimi, hanno funzioni e comportamenti sfruttabili a danno dell'utente, senza il suo consenso. Come mette in evidenza l'articolo, alcuni creatori di programmi potenzialmente indesiderati stanno diventando più minacciosi e quindi le policy relative a questi programmi devono essere aggiornate di frequente per garantire una protezione adeguata. Alcune osservazioni conclusive: In settembre, Intel Security ha dato vita alla Cyber Threat Alliance insieme ad altri tre produttori di soluzioni di sicurezza. Scopo dell'alleanza è favorire una più efficace collaborazione a livello di settore per analizzare e debellare le minacce alla sicurezza informatica e garantire una migliore protezione ai singoli e alle aziende in qualsiasi settore. Siamo lieti di annunciare che oltre 100 produttori di soluzioni di sicurezza si sono detti interessati a partecipare all'alleanza. Grazie alla partecipazione di questi produttori, siamo convinti che l'effetto di rete di questa iniziativa si tradurrà in un vantaggio significativo per tutti i clienti. Di recente abbiamo pubblicato il rapporto Come si sfrutta la debolezza del sistema operativo umano, che analizza il concetto di social engineering e come questo viene sfruttato dai criminali informatici. È una lettura interessante: non perdetevelo. Continuiamo a ricevere indicazioni preziose dai lettori tramite i sondaggi fra gli utenti dei Report sulle minacce. Se desiderate farci conoscere la vostra opinione su questo Report sulle minacce, fate clic qui per partecipare a un sondaggio di soli cinque minuti. Vincent Weafer, Vice Presidente Senior, McAfee Labs Report McAfee Labs sulle minacce, febbraio

4 Sommario Report McAfee Labs sulle minacce Febbraio 2015 Questo report è stato preparato e redatto da: Carlos Castillo Alex Hinchliffe Patrick Knight Chris Miller Rajesh Nataraj KP François Paget Eric Peterson Arun Pradeep Craig Schmugar Rick Simon Dan Sommer Bing Sun Adam Wosotowsky Sintesi 5 Argomenti principali 6 Utenti mobili a rischio: le vulnerabilità SSL/TLS esistono ancora 7 Morto Blacole, arriva Angler, un nuovo kit di exploit 16 Cinquanta sfumature di grigio: il difficile mondo dei programmi potenzialmente indesiderati 25 Statistiche sulle minacce 34

5 Sintesi Utenti mobili a rischio: le vulnerabilità SSL/TLS esistono ancora Sono passati mesi da quando i produttori di alcune delle più diffuse app mobili sono stati informati delle vulnerabilità SSL/TLS che mettevano a rischio gli utenti delle loro app, eppure molte di esse sono ancora vulnerabili. Il nostro primo Argomento principale tratta delle vulnerabilità crittografiche delle app mobili più diffuse, che permettono ai criminali informatici di sferrare attacchi man-in-the-middle quando gli utenti accedono ai siti Web associati alle loro app mobili. Le modalità di programmazione non ineccepibili degli sviluppatori di queste app espongono i loro utenti a tutta una serie di vulnerabilità SSL/TLS come BERserk e Heartbleed, che riguardano l'instaurazione di sessioni protette. Di conseguenza tutte le comunicazioni fra le app mobili e i loro siti Web di riferimento, compresi nomi utente e password, sono potenzialmente visibili ai criminali informatici. Unite questa esposizione alla disponibilità commerciale dei codici sorgente del malware mobile e alla previsione di McAfee Labs secondo cui i kit per la generazione di malware mobile saranno presto offerti sui mercati neri del Web, e avrete tutti gli ingredienti per un'ondata di furti che potrebbe determinare un'erosione della fiducia nei confronti di Internet. Morto Blacole, arriva Angler, un nuovo kit di exploit Il kit di exploit Angler è subentrato a Blacole diventando uno dei kit di attacco più efficaci e diffusi. Un kit di exploit è un pacchetto software pronto all'uso che contiene attacchi di facile utilizzo contro vulnerabilità note e sconosciute. Poco dopo l'arresto del creatore del kit di exploit Blacole nel 2013, i criminali informatici sono passati al kit di exploit Angler per recapitare i loro payload. Facile da utilizzare e ampiamente disponibile sul mercato nero online, Angler è diventato uno dei metodi di trasporto preferiti per il malware. Nella seconda metà del 2014, il kit di exploit Angler ha attirato l'attenzione degli esperti di sicurezza a causa della sua prevalenza e di nuove funzionalità quali l'infezione "fileless", il rilevamento di macchine virtuali e prodotti di sicurezza e la capacità di recapitare una grande varietà di payload fra cui trojan bancari, rootkit, ransomware, CryptoLocker e trojan backdoor. Mentre scriviamo, rimane uno dei kit di exploit più diffusi. Cinquanta sfumature di grigio: il difficile mondo dei programmi potenzialmente indesiderati I programmi potenzialmente indesiderati esistono in una "zona grigia" che comprende applicazioni moleste benché innocue ma anche malware pericoloso, e diventano sempre più aggressivi. I programmi potenzialmente indesiderati o PUP sono applicazioni che, pur avendo usi legittimi, hanno funzioni e comportamenti sfruttabili a danno dell'utente, senza il suo consenso. Fra le più comuni tecniche di distribuzione dei programmi potenzialmente indesiderati vi sono l'incorporamento in applicazioni legittime, il social engineering, la visualizzazione fraudolenta di pubblicità online, l'installazione non richiesta di estensioni e plug-in del browser e l'installazione forzata insieme ad applicazioni legittime. La vigilanza su questi programmi è difficile perché non mostrano il tipo di comportamento malevolo generalmente rilevato dai prodotti di sicurezza. Come mette in evidenza l'articolo, alcuni creatori di programmi potenzialmente indesiderati stanno diventando più minacciosi e quindi le policy relative a questi programmi devono essere aggiornate di frequente per garantire una protezione adeguata. Report McAfee Labs sulle minacce, febbraio

6 Utenti mobili a rischio: le vulnerabilità SSL/TLS esistono ancora Morto Blacole, arriva Angler, un nuovo kit di exploit Cinquanta sfumature di grigio: il difficile mondo dei programmi potenzialmente indesiderati Inviaci la tua opinione

7 Utenti mobili a rischio: le vulnerabilità SSL/TLS esistono ancora Carlos Castillo, Alex Hinchliffe e Rick Simon L'uso delle app mobili è in aumento, su questo non ci sono dubbi. Sembra proprio che lo slogan di Apple "per tutto c'è un'app" sia più azzeccato che mai. Secondo uno studio condotto da Nielsen nel 2014 su circa 5000 utilizzatori di smartphone, il numero delle app usate da un soggetto tipo in un mese è aumentato a quasi 27 nel 2013: nel 2011 erano 23. Ma è soprattutto il tempo trascorso a utilizzare queste app che è cresciuto in misura ancora maggiore. Nel medesimo periodo di due anni, gli utenti di smartphone hanno aumentato il tempo passato a utilizzare app mobili del 65%, da 18 ore mensili nel 2011 a più di 30 ore mensili nel La gente fa sempre maggiore affidamento sulle app mobili, che sono diventate più accattivanti :18 Media delle app utilizzate e del tempo di utilizzo per persona al mese 23:02 30: ,3 26,5 26, T T T 2013 N. di app Tempo per persona (hh:mm) Fonte: Nielsen, 2014 Sebbene gli aumenti siano un'ottima notizia per gli addetti al marketing e per i consumatori (nonché per gli sviluppatori di app aziendali e i loro clienti), questi programmi presentano problemi di sicurezza e di privacy molto difficili da risolvere. Alcuni problemi di sicurezza e di privacy dipendono dall'eccessiva intraprendenza degli sviluppatori o delle reti pubblicitarie incorporate nelle loro app. Ad esempio, benché sia la più apprezzata nell'app store di Apple, la categoria dei giochi è anche la più abusata, secondo il McAfee Mobile Security Report (Rapporto McAfee sulla sicurezza mobile) del febbraio Addirittura l'82% delle app mobili rileva l'utilizzo delle reti dati e Wi-Fi, l'accensione del dispositivo o la sua posizione passata e attuale. Inoltre, nella maggior parte dei casi, gli utenti accettano di condividere queste informazioni all'atto dell'installazione. Report McAfee Labs sulle minacce, febbraio

8 Altri problemi di sicurezza delle app mobili sono indipendenti da questi fattori, e in questo Argomento principale evidenziamo una classe di vulnerabilità estremamente significativa. Vulnerabilità crittografiche: numerose e gravissime Durante un attacco man-in-themiddle, un aggressore inserisce surrettiziamente del codice nel canale di comunicazione fra le due parti. L'aggressore può intervenire in molti modi, che vanno dall'ascolto non autorizzato alla manipolazione dell'intera conversazione. Gli attacchi MITM iniziano con la violazione del procedimento di autenticazione crittografica fra le due parti. SSL/TLS è il protocollo di crittografia più comune ed è quindi quello più soggetto a violazioni. La genesi di questa vulnerabilità delle app mobili non ha niente a che vedere con le app in sé, quanto piuttosto con il processo di crittografia che queste utilizzano per stabilire connessioni sicure con i siti Web. Nel Report McAfee Labs sulle minacce: novembre 2014 abbiamo proposto un'analisi approfondita della vulnerabilità BERserk, una falla nel processo di verifica delle firme RSA eseguito da tutte le applicazioni, mobili e non, per stabilire connessioni sicure. La vulnerabilità BERserk consente a un aggressore di falsificare i certificati RSA e di sferrare attacchi man-in-the-middle (MITM) all'insaputa dell'utente. Di conseguenza, la riservatezza e l'integrità delle sessioni fra i clienti e i siti che considerano più affidabili possono essere compromesse. Una falla analoga è Heartbleed, una vulnerabilità nell'implementazione OpenSSL del protocollo SSL/TLS che consente agli aggressori di sfruttare connessioni apparentemente protette fra utenti e siti Web. Anche in questo caso le applicazioni, mobili e non, stabiliscono spesso connessioni protette tramite OpenSSL. Al momento della divulgazione della vulnerabilità, è stato calcolato che intorno al 17% (circa ) dei server Web protetti nel mondo erano vulnerabili a exploit tramite Heartbleed. A causa della sua prevalenza, molti considerano Heartbleed la peggiore vulnerabilità mai scoperta. McAfee Labs ha documentato le conseguenze di Heartbleed nel Report McAfee Labs sulle minacce: agosto 2014, in cui facevamo notare che, nei giorni immediatamente successivi alla divulgazione, il comparto della sicurezza informatica aveva già iniziato a condividere dati, persone e strumenti per affrontare rapidamente il problema. E anche se alla maggior parte dei siti Web con volumi di traffico elevati sono state applicate subito le patch del caso, abbiamo constatato che molti siti e dispositivi IP con traffico ridotto sono tuttora vulnerabili agli exploit tramite Heartbleed. BERserk e Heartbleed sono entrambi esempi significativi di vulnerabilità crittografiche. Altre vulnerabilità hanno in comune la caratteristica che le connessioni protette fra utenti e siti Web sembrano sicure mentre in realtà non lo sono affatto, perché sono state compromesse da un exploit. Di conseguenza, queste vulnerabilità riducono la fiducia degli utenti in Internet. Vulnerabilità crittografiche e app mobili Ma tutto questo che cosa c'entra con la sicurezza delle app mobili? Con la diffusione sempre più massiccia delle app mobili, il numero significativo di vulnerabilità crittografiche e i loro effetti sulla fiducia accordata a Internet, gli sviluppatori di applicazioni devono impegnarsi in ogni modo per garantire la sicurezza e la riservatezza dei loro utenti, mobili e non. Il CERT, il primo Computer Emergency Response Team della Carnegie Mellon University, ha annunciato nell'agosto del 2014 il rilascio di "CERT Tapioca" (Transparent Proxy Capture Appliance), un'appliance macchina virtuale preconfigurata che funge da proxy trasparente a livello di rete per eseguire l'analisi MITM del software. Due settimane dopo, il CERT ha pubblicato un post in uno dei suoi blog sul rilevamento automatico di vulnerabilità SSL nelle app mobili mediante Tapioca. Report McAfee Labs sulle minacce, febbraio

9 Nel settembre 2014, il CERT ha pubblicato un elenco di app mobili vulnerabili ad attacchi MITM perché non eseguono correttamente la convalida dei certificati SSL. McAfee Labs ha scoperto che 18 delle 25 app vulnerabili più scaricate che inviano credenziali tramite connessioni non protette sono tuttora vulnerabili. Quell'indagine ha prodotto la Vulnerability Note VU#582497, pubblicata nel settembre 2014, che metteva in evidenza il fatto che oltre app mobili non eseguono correttamente la convalida dei certificati SSL e sono quindi vulnerabili ad attacchi MITM. Tutte le applicazioni testate e i relativi dettagli (versioni testate, genere, numero di download, identificatori CVE e identificatori CERT VU#, oltre ad altre informazioni) sono disponibili pubblicamente in questo foglio di calcolo. Di recente, McAfee Labs ha deciso di esaminare le app mobili più scaricate presenti in questo foglio di calcolo consultabile pubblicamente per verificare che non fossero più esposte a una delle vulnerabilità SSL più basilari: la convalida errata della catena dei certificati digitali. In particolare, abbiamo sottoposto a test dinamico le 25 app mobili più scaricate di cui il CERT aveva accertato la vulnerabilità in settembre per controllare che nomi utente e password non fossero più visibili a causa della verifica errata dei certificati SSL. E qui la sorpresa: benché il CERT abbia informato gli sviluppatori diversi mesi fa, 18 delle 25 app vulnerabili più scaricate che inviano credenziali tramite connessioni non protette sono risultate ancora esposte agli attacchi MITM. L'app vulnerabile più scaricata di questo gruppo è un editor per il ritocco fotografico che vanta fra i 100 e i 500 milioni di download. Il programma permette agli utenti di condividere fotografie su vari social network e servizi cloud. Alla fine di gennaio, McAfee Labs ha testato con CERT Tapioca la versione più aggiornata dell'app scaricata da Google Play. Siamo riusciti a intercettare le credenziali di accesso al servizio cloud (nome utente e password) su cui condividere e pubblicare fotografie: Esempio di output dell'analisi MITM eseguita con CERT Tapioca su un'app mobile vulnerabile. Si notino il nome utente e la password visibili nella parte inferiore della schermata. Report McAfee Labs sulle minacce, febbraio

10 Nel gruppo delle app incriminate, lo stesso problema del programma di fotoritocco si riscontra in un'app di previsioni meteo in cui le credenziali a rischio di intercettazione appartengono ai servizi Web degli sviluppatori dell'app. Invece, nel caso di una diffusissima app mobile di gestione file, le credenziali rese visibili a causa della mancata o errata convalida dei certificati digitali appartengono a un servizio cloud di terzi, Microsoft OneDrive: Output di CERT Tapioca che mostra la visualizzazione delle credenziali di Microsoft OneDrive da parte di un'app mobile di gestione file vulnerabile. Le credenziali rese visibili dall'app di gestione file in questione si possono addirittura utilizzare per accedere non solo a Microsoft OneDrive, ma praticamente a qualsiasi servizio Microsoft, poiché un aggressore potrebbe impadronirsi dell'account Microsoft della vittima. Per fortuna, c'è anche qualche notizia positiva. Nel gruppo delle app mobili con oltre 10 milioni di download, tre app identificate come vulnerabili dal CERT lo scorso agosto sono state corrette e, in caso di attacco MITM, visualizzano un errore di rete. Esempi di app mobili che hanno corretto le loro vulnerabilità SSL/TLS. Report McAfee Labs sulle minacce, febbraio

11 Anche se non equivalgono a una conferma del fatto che sia effettivamente in corso un attacco MITM, questi avvisi potrebbero segnalare all'utente la presenza di un problema. Per quanto riguarda il resto delle app mobili vulnerabili con oltre 10 milioni di download, siamo riusciti a intercettare le credenziali per rubare le identità di due social network, ad accedere alla dashboard controllante di un'app e a controllare gli elenchi di riproduzione di video musicali di un'altra app. Nel gruppo delle app mobili vulnerabili con oltre cinque milioni di download, tre hanno eliminato le rispettive vulnerabilità, ma le altre cinque restano vulnerabili. Due di queste sono casi molto singolari perché, anche quando i siti Web utilizzano HTTPS, le credenziali vengono inviate nell'url e possono quindi essere intercettate semplicemente "ascoltando" il traffico di rete. In un caso, sia il nome utente che la password vengono trasmessi nell'url. Questa app mobile trasmette il nome utente e la password crittografata nell'url. Gli strumenti per lo sniffing dei pacchetti e il cracking delle password permettono agli aggressori di impadronirsi delle credenziali. Anche se la password intercettata non è la parola chiave ma un hash crittografico, ricavarla mediante attacchi con tabelle arcobaleno o brute force è relativamente facile, dato che nella maggior parte dei casi le password utilizzate sono poco efficaci. Nel secondo di questi due casi singolari, l'url contiene solo il nome utente, ma McAfee Labs è riuscita ugualmente a intercettare la password perché l'app non convalida correttamente il certificato digitale del sito Web. Esempio di app mobile che trasmette il nome utente nell'url ed esegue una convalida errata del certificato digitale, esponendo le credenziali al rischio di attacchi MITM. Report McAfee Labs sulle minacce, febbraio

12 In alcuni casi, le app mobili vulnerabili rendevano visibili le credenziali di accesso a servizi di terzi molto diffusi come Facebook, Instagram e Microsoft OneDrive. Altro caso interessante è quello di un'app sociale per dispositivi mobili che utilizza la funzione Single Sign On di Facebook per effettuare l'accesso e fornire agli utenti una nuova interfaccia per i loro dati di Facebook. Tuttavia, come si vede dalla schermata sotto, l'app resta vulnerabile alla convalida errata dei certificati digitali. Infatti, siamo riusciti a intercettare le credenziali di Facebook: Le credenziali di Facebook vengono rese visibili da questa app mobile che non convalida correttamente il certificato digitale, con il rischio di attacchi MITM. Lo stesso problema si verifica con un'app di messaggistica immediata: al posto delle credenziali di Facebook, siamo riusciti ad acquisire le credenziali Instagram della vittima per accedere all'app e al servizio: Questa app mobile rende visibili le credenziali di Instagram perché non esegue correttamente la convalida del certificato digitale, esponendo al rischio di attacchi MITM. Report McAfee Labs sulle minacce, febbraio

13 Un'app mobile di notizie sportive inclusa nel gruppo dei cinque milioni di download offre contenuti gratuiti come le prime pagine dei giornali, le date delle gare e delle partite, i risultati e le statistiche. Permette inoltre agli utenti di guardare in diretta le partite di campionato se acquistano un "pass stagionale". Per usufruire di questa funzione, l'utente deve accedere con il nome utente e la password del servizio, che siamo riusciti a intercettare: Esempio di una nota app mobile di notizie sportive che rivela nome utente e password. Nell'ultimo gruppo di app mobili vulnerabili, ciascuna ha oltre un milione di download, secondo Google Play. Il gruppo comprende sette app e, fra di esse, solo un produttore ha provveduto a risolvere il problema. Le altre, al momento della stesura di questo documento, risultano ancora vulnerabili. Analogamente alle altre app analizzate, quelle di questo gruppo rendono visibili le credenziali di servizi di terzi e di social network come Instagram e Microsoft, oppure le credenziali dei loro sistemi e servizi. Infine, nel caso di un'app per incontri online, se è in corso un attacco MITM l'utente riceverà la seguente notifica: Questa app mobile vulnerabile rileva le reti non affidabili ma offre all'utente la possibilità di proseguire. Report McAfee Labs sulle minacce, febbraio

14 Vi è comunque un'opzione per considerare la rete affidabile ("Trust this network"). Se l'utente la seleziona, l'attacco andrà a buon fine: Se un utente di questa app mobile vulnerabile seleziona "Trust this network" (Considera questa rete affidabile), le credenziali saranno esposte ad attacchi MITM. Nel Report McAfee Labs sulle minacce: novembre 2014 notavamo che il codice open source e per uso commerciale del malware è in aumento e prevedevamo che i kit per la generazione di malware mobile sarebbero presto comparsi sui mercati neri del Web. Questi prodotti pronti all'uso ridurranno le barriere all'entrata per gli aspiranti ladri e diventeranno a tutti gli effetti dei moltiplicatori del crimine informatico diretto ai dispositivi mobili. Sommate le nostre previsioni sulla sicurezza dei dispositivi mobili nel 2015 e l'esposizione persistente di app molto diffuse alle vulnerabilità SSL e avrete tutti gli ingredienti per un boom dei furti da parte del crimine informatico. Affrontare il problema Per tutto l'ecosistema piattaforme mobili, app store, produttori di soluzioni di sicurezza e sviluppatori di app è molto positivo quando problemi come quelli segnalati dal CERT e da Intel Security vengono risolti alla fonte, cioè nel codice delle app vulnerabili. È meno positivo quando i rimedi sono parziali, come nel caso dell'app di incontri online descritta in precedenza che permette agli utenti di decidere se fidarsi di una rete, mettendo quindi a repentaglio le loro credenziali di accesso. Che cosa si può fare nei casi in cui le correzioni non sono ancora state rilasciate? Come per la maggior parte dei problemi di sicurezza, è possibile adottare alcuni correttivi. A volte, tuttavia, siamo in balia di altre variabili, fra cui gli sviluppatori delle app e i relativi aggiornamenti e le versioni dei sistemi operativi. Report McAfee Labs sulle minacce, febbraio

15 Scoprite che cosa può fare Intel Security per aiutarvi a proteggervi da questa minaccia. Partiamo dalle app. Di norma, consigliamo di scaricare solo le app conosciute e con buone valutazioni da fonti affidabili (società note o siti con buona reputazione come Google Play), ma in questo caso non basta: infatti, tutte le app che abbiamo esaminato erano conosciute, avevano ottime valutazioni e provenivano da fonti affidabili. Il consiglio, però, resta comunque valido. Se lavorate in un ambiente aziendale in cui alcune app vengono fornite mediante un "app store" interno, può essere utile chiedere al reparto IT se quelle app vengono testate per verificare che non siano soggette a vulnerabilità del tipo descritto in questo Argomento principale. Che cosa possono fare gli utenti? Non si può pretendere che si procurino gli strumenti necessari per analizzare il codice e capire se sono a rischio, ma possono riflettere un momento su una determinata app e farsi qualche domanda. Perché occorre eseguire l'accesso? A che cosa serve? Che vantaggi offre? Per usufruire delle opzioni della versione "professionale" vale davvero la pena di rischiare una potenziale compromissione dei dati personali? Se l'accesso utilizza l'account del social network a cui siete già connessi, valutate se questa comodità non vi possa costare più del previsto. Potete anche leggere l'informativa sulla privacy di un'applicazione per capire gli scopi e le modalità di condivisione dei dati. Insomma, prima di connettervi, fermatevi un istante a pensare, come consiglia la campagna STOP, THINK, CONNECT. Gestire le password può essere una seccatura, ma se impostate credenziali di accesso esclusive per ogni vostra app correrete meno rischi, perché un eventuale attacco MITM potrebbe intercettare solo le credenziali di quell'app. Le credenziali esclusive si possono gestire manualmente, ma esistono applicazioni per automatizzare il processo. Potete abbonarvi per ricevere aggiornamenti dal CERT o da Intel Security e avere ulteriori informazioni su queste e su altre app vulnerabili, oppure potete cercare informazioni sul Web prima di installare una nuova app. Se quello che leggete non vi convince, orientatevi su un'altra app che offra servizi analoghi. Spesso ne esiste più di una per qualsiasi esigenza! Report McAfee Labs sulle minacce, febbraio

16 Morto Blacole, arriva Angler, un nuovo kit di exploit Rajesh Nataraj KP Un kit di exploit è un pacchetto software pronto all'uso che contiene attacchi preconfezionati e di facile utilizzo contro vulnerabilità note e sconosciute, utilizzato dai criminali informatici per diffondere il malware. Questi toolkit sfruttano le vulnerabilità sul lato client, prendendo di mira prevalentemente il browser e i programmi a cui si può accedere tramite il browser. I kit di exploit possono rilevare le statistiche delle infezioni e controllare i dispositivi compromessi di nascosto da postazioni remote. Il potente kit di exploit Angler ha avuto una grande diffusione perché è facile procurarselo e utilizzarlo. A volte le forze dell'ordine ottengono qualche successo nella lotta ai kit di exploit: ad esempio, il creatore del celebre kit Blacole è stato arrestato alla fine del Malgrado ciò, la comunità degli autori di malware è passata ben presto al kit di exploit Angler per recapitare i payload. Nella seconda metà del 2014, Angler ha attirato l'attenzione degli esperti della sicurezza a causa della sua prevalenza e di nuove funzionalità quali l'infezione "fileless", il rilevamento di macchine virtuali e prodotti di sicurezza e la capacità di recapitare una grande varietà di payload fra cui trojan bancari, rootkit, ransomware, CryptoLocker e trojan backdoor. La comunità degli esperti di minacce ha scoperto inoltre che Angler è il primo kit di exploit a recapitare ransomware sfruttando una vulnerabilità di Microsoft Silverlight. Dal momento che non richiede particolari competenze tecniche per essere utilizzato e che è accessibile attraverso i mercati "neri" online, Angler è diventato uno dei metodi più diffusi per il trasporto del malware. In genere i kit di exploit prendono di mira le vulnerabilità di Internet Explorer, Firefox e Chrome. Sfruttano inoltre le falle di programmi come Adobe Flash Player, Adobe Reader e Java. Il grafico sotto mostra i kit di exploit più diffusi nel Prevalenza dei kit di exploit nel % 1% Angler 12% 11% 13% 15% 26% 17% Sweet Orange Flashpack Magnitude Rig Infinity Neutrino Styx Report McAfee Labs sulle minacce, febbraio

17 Qui vediamo invece il numero di varianti di kit di exploit nell'anno appena trascorso. Varianti nei kit di exploit nel 2014 Numero di varianti dei kit di exploit T 2 T T 4 T Angler Sweet Orange Flashpack Magnitude Rig Infinity Neutrino Styx Ora concentriamoci su Angler, il kit di exploit più diffuso, e vediamo come funziona, dove colpisce, come nasconde la sua presenza e come si è evoluto. Angler è attivo Angler adotta svariate tecniche di elusione per sfuggire al rilevamento da parte di macchine virtuali, sandbox e software di sicurezza. Il kit di exploit Angler è molto attivo e cambia spesso criteri e payload per nascondere la sua presenza ai prodotti di sicurezza. Angler ha svariate caratteristiche chiave: Utilizza due livelli di reindirizzatori prima di raggiungere la pagina di destinazione. I server Web compromessi che ospitano la pagina di destinazione si possono visitare una sola volta da un determinato indirizzo IP. È chiaro che gli aggressori controllano attivamente gli host. Rileva la presenza di macchine virtuali e di prodotti di sicurezza nel sistema. Genera garbage e chiamate inutili per rendere più difficile la decompilazione. Crittografa tutti i payload al momento del download e li decrittografa sul dispositivo compromesso. Utilizza l'infezione fileless (è distribuito direttamente in memoria). Quando una potenziale vittima accede a un server Web compromesso tramite un browser vulnerabile, il server reindirizza la connessione a un server intermedio, che a sua volta reindirizza al server malevolo su cui è ospitata la pagina di destinazione del kit di exploit. La pagina controlla la presenza di plug-in (Java, ShockWave Flash e Silverlight) e la versione. Quando viene rilevato un browser o una versione di un plug-in vulnerabile, l'host recapita il payload e infetta il dispositivo. Il grafico che segue mostra la catena completa dell'infezione. Report McAfee Labs sulle minacce, febbraio

18 La catena di infezione del kit di exploit Angler Vittima Browser vulnerabile Reindirizzatore 1 Server compromesso che reindirizza a un server malevolo Reindirizzatore 2 Ospitato su Angler o sul server compromesso Server che distribuisce la pagina del kit di exploit Angler 5 6 NO Sistema compromesso Server che recapita gli exploit e i payload dannosi Controlla la presenza di macchine virtuali e prodotti di sicurezza SÌ La catena termina con un errore di eccezione JavaScript Report McAfee Labs sulle minacce, febbraio

19 Ricognizione Il kit di exploit Angler ispeziona il dispositivo di destinazione per poter presentare una pagina di destinazione e un payload adatti. Controlla il nome del browser, la versione e il sistema operativo che utilizza l'agente utente. Identifica i plug-in vulnerabili installati nel browser e le relative versioni. Dopo che sono stati identificati i componenti vulnerabili del browser, la pagina di destinazione di Angler esegue il codice malevolo per distribuire l'exploit. Angler è dotato di vari exploit e li distribuisce in modo dinamico a seconda dell'applicazione vulnerabile. Può sfruttare diverse vulnerabilità di Internet Explorer: CVE : legata al danneggiamento della memoria in seguito all'accesso a un oggetto shape VML nel browser Internet Explorer. CVE : vulnerabilità legata alla duplice risoluzione del riferimento in Silverlight. CVE : prende di mira l'ambiente di runtime Java. CVE : prende di mira Adobe Flash Player. Codice del kit di exploit Angler che mostra le varie vulnerabilità che è in grado di sfruttare. Report McAfee Labs sulle minacce, febbraio

20 Consegna I server malevoli o compromessi recapitano exploit e payload dannosi alle vittime. I criminali informatici che si servono di kit di exploit scelgono il metodo di recapito tramite URL in formato non corretto noti come "campagne". La variazione degli schemi degli URL o delle campagne indica che provengono da gruppi diversi di criminali informatici. In circolazione sono stati osservati due tipi di campagne Angler, classificate in base ai domini a cui accedono gli utenti finali. Questo indica che vari gruppi di criminali informatici fanno un uso massiccio di Angler. Le due campagne: Una normale pagina di destinazione di kit di exploit senza criteri univoci. Una pagina di destinazione in formato gate 32x32. [Dominio.Malevolo/[a-f0-9]{32}.php?q=[a-f0-9]{32}] Attuazione dell'exploit Una pagina di destinazione tipo del kit di exploit Angler è estremamente confusa, allo scopo di renderne più difficile la decompilazione da parte dei ricercatori. Per sfuggire al rilevamento, il codice incorpora anche contenuti inutili. L'immagine riprodotta sotto mostra una pagina di destinazione contenente il codice dell'exploit. Pagina di destinazione di un kit di exploit. Il contenuto crittografato è memorizzato nel tag html <p>, che definisce un paragrafo e supporta inoltre attributi globali. Il contenuto crittografato è memorizzato in più tag <p> all'interno della pagina di destinazione. Lo script della pagina di destinazione utilizzato per decrittografare il contenuto all'interno del tag <p> è reso indecifrabile e compresso senza un formato preciso. Variabili casuali, stringhe divise in più parti e funzioni garbage complicano ulteriormente il rilevamento. Report McAfee Labs sulle minacce, febbraio

21 Pagina di destinazione occultata. La logica di decrittografia della pagina di destinazione è abbastanza semplice. Il contenuto crittografato viene decodificato con il cifrario a sostituzione, ottenendo così il contenuto decrittografato. Nell'esempio precedente, una chiave di 20 caratteri viene suddivisa e memorizzata in un array. La chiave suddivisa viene disposta in ordine crescente e memorizzata in un altro array. Nella pagina di destinazione, uno script usa il metodo IndexOf () per confrontare i due array e generare un cifrario. Il metodo cerca i caratteri specificati all'interno dell'array e ne restituisce la posizione. Queste posizioni diventano il cifrario che sostituisce il contenuto crittografato da decodificare. Il contenuto decrittografato contiene ancora molte funzioni che utilizzano algoritmi di sostituzione simili per generare URL, parametri e dati di payload per gli exploit. Report McAfee Labs sulle minacce, febbraio

22 Verifica delle difese Per identificare i file presenti in una directory di sistema, Angler utilizza il protocollo RES:// o il metodo di controllo Microsoft XMLDOM ActiveX. Il kit controlla inoltre la presenza di prodotti di sicurezza o di macchine virtuali. Una tecnica anti macchine virtuali evita di infettare le macchine virtuali e sfugge agli ambienti di analisi automatica. Angler cerca svariati file, tra cui: Un plug-in per la tastiera virtuale per individuare il software Kaspersky tmactmon.sys, tmevtmgr.sys, tmeext.sys, tmnciesc.sys, tmtdi.sys, tmcomm.sys e tmebc32.sys (Trend Micro) vm3dmp.sys, vmusbmouse.sys, vmmouse.sys e vmhgfs.sys (VMware) vboxguest.sys, vboxmouse.sys, vboxsf.sys e vboxvideo.sys (VM VirtualBox) prl_boot.sys, prl_fs.sys, prl_kmdd.sys, prl_memdev.sys, prl_mouf.sys, prl_pv32.sys, prl_sound.sys, prl_strg.sys, prl_tg.sys e prl_time.sys (virtualizzazione con Parallels Desktop) Installazione del payload Dopo che l'exploit è andato a segno, viene scelto il metodo di infezione a seconda delle applicazioni vulnerabili individuate nel browser. In Angler sono stati osservati due metodi di infezione: Quando rileva delle vulnerabilità, Angler è in grado di recapitare un numero crescente di payload dannosi. Alcuni malware possono essere inseriti direttamente in memoria ed essere così più difficili da rilevare. Infezione "fileless": Angler adotta una nuova tecnica con cui inietta il payload direttamente nella memoria del programma oggetto dell'exploit creando un nuovo thread nell'applicazione presa di mira. Grazie a questo sistema, Angler evita di memorizzare un file su disco riducendo la probabilità che il payload venga rilevato dal software di sicurezza. Il payload può in alcuni casi scaricare altro malware. Download diretto di payload crittografati: i payload presenti sul server malevolo sono codificati con il metodo XOR con una chiave a 8 byte. Quando l'exploit va a buon fine, questi payload crittografati vengono scaricati sul dispositivo di destinazione, dove vengono decrittografati ed eseguiti. Report McAfee Labs sulle minacce, febbraio

23 Il grafico mostra le famiglie di malware più comuni distribuite tramite Angler. Questi payload sono descritti altrove e non sono oggetto di questo Argomento principale. Andromeda Cryptowall Necurs Simda Vawtrak Zbot La varietà dei payload recapitati da questo kit di exploit è indice dell'uso generalizzato che ne viene fatto da comunità di hacker diverse. Numero di varianti del payload distribuite Payload recapitati dal kit di exploit Angler nel T 2 T 3 T 4 T 2014 Zbot Simda Vawtrak Ransomware Necurs Altri Come è cambiato il kit di exploit Angler nel 2014 Scoperta una pagina di destinazione in formato gate 32 x 32 Reindirizzava a un IP e a info utente di Angler Codice shell e payload crittografati insieme con il metodo XOR Capacità di rilevare prodotti Vmware e di sicurezza 1 T T T T 2014 Utilizzo di exploit di Silverlight CVE Crittografia dei payload con metodo XOR Exploit del browser IE CVE Si aggiunge l'exploit di Flash CVE Tecnica di infezione "fileless" Report McAfee Labs sulle minacce, febbraio

24 Misure di sicurezza Scoprite che cosa può fare Intel Security per aiutarvi a proteggervi da questa minaccia. Ecco alcuni dei metodi consigliati per proteggere i sistemi dal kit di exploit Angler: Affidarsi a un fornitore di servizi Internet attento alla sicurezza che implementi procedure antispam e antiphishing efficaci. Abilitare gli aggiornamenti automatici di Windows o scaricare regolarmente gli aggiornamenti di Microsoft per mantenere i sistemi operativi aggiornati con le patch più recenti contro le vulnerabilità note. Installare le patch degli altri produttori software non appena vengono rese disponibili. Un computer dotato di tutte le patch del caso e protetto da un firewall è la difesa migliore contro gli attacchi di trojan e spyware. Aprire gli allegati con estrema cautela. Configurare il software antivirus per la scansione automatica di tutti gli allegati di e messaggi immediati. Accertarsi che i programmi non aprano automaticamente gli allegati o visualizzino automaticamente la grafica e disattivare il riquadro di anteprima. Non aprire mai le indesiderate o gli allegati inattesi, anche se provenienti da persone conosciute. Fare attenzione al phishing basato sullo spam: evitare di fare clic sui link presenti nelle o nei messaggi immediati. Usare un plug-in del browser per bloccare l'esecuzione di script e di iframe. Report McAfee Labs sulle minacce, febbraio

25 Cinquanta sfumature di grigio: il difficile mondo dei programmi potenzialmente indesiderati I programmi potenzialmente indesiderati esistono in una "zona grigia" che comprende applicazioni fastidiose ma innocue, ma anche malware pericoloso. Spesso sono difficili da rilevare e da classificare. Arun Pradeep Il presupposto di partenza è che tutto il malware sia dannoso e debba essere inserito nelle blacklist. Tuttavia, la classe di malware nota come "programmi potenzialmente indesiderati" (PUP) spesso è difficile da classificare e da contrastare, e si tratta di programmi non necessariamente pericolosi. L'adware, lo spyware e altri tipi di applicazioni non distruttive sono in genere considerati programmi potenzialmente indesiderati. Questi programmi rientrano in una "zona grigia" per quanto attiene alla loro classificazione: spesso offrono dei vantaggi, ma rappresentano anche un rischio per l'utente. Talvolta i loro sviluppatori hanno delle giustificazioni legittime, ma il comportamento di questi programmi è decisamente altalenante: da relativamente innocuo a decisamente malevolo. McAfee Labs esamina con attenzione i programmi potenzialmente indesiderati per determinarne le funzioni e aiuta i clienti a eliminarli. Qualsiasi applicazione che risulti utile per un utente ma che presenti un rischio intrinseco concreto può essere considerata un programma potenzialmente indesiderato. Le applicazioni in genere non informano gli utenti di questi rischi. A differenza di trojan, virus, rootkit e altre forme di malware, i programmi potenzialmente indesiderati solitamente non rubano le identità o le credenziali bancarie degli utenti, né alterano i file di sistema. Un'applicazione si può considerare programma potenzialmente indesiderato se presenta uno qualsiasi dei seguenti comportamenti: Modifica le impostazioni del sistema, ad esempio la configurazione del browser, senza autorizzazione. Nasconde un programma non richiesto all'interno di un'applicazione legittima. Raccoglie di nascosto informazioni sull'utente, ne registra le abitudini di navigazione e la configurazione del sistema. Nasconde l'installazione dell'applicazione. Rende difficile la disinstallazione. È distribuita da pubblicità ambigue o ingannevoli. Report McAfee Labs sulle minacce, febbraio

26 A seconda del loro comportamento, classifichiamo i programmi potenzialmente indesiderati in queste sottocategorie: Adware: distribuisce pubblicità principalmente tramite i browser. Cracker/rivelatore di password: rende visibile la password nascosta di un'applicazione. Strumento di amministrazione remota (RAT): monitora le attività dell'utente sul dispositivo in cui è installato o consente il controllo da remoto del sistema senza l'autorizzazione dell'utente o a sua insaputa. Keygen: genera le chiavi del prodotto di applicazioni legittime. Dirottatore del browser: modifica la home page, la pagina di ricerca, le impostazioni del browser, ecc. Strumenti di hacking: applicazioni autonome che possono agevolare le intrusioni nei sistemi o la perdita di dati cruciali. Proxy: reindirizza o nasconde le informazioni relative all'indirizzo IP. Strumenti di monitoraggio: applicazioni spyware o keylogger che registrano i tasti premuti sulla tastiera, le comunicazioni personali, monitorano le attività online degli utenti o acquisiscono schermate a loro insaputa. Le principali differenze tra programmi potenzialmente indesiderati e altri tipi di malware quali trojan, ransomware, bot e virus sono evidenziate nella tabella riportata di seguito. Tecniche Programmi potenzialmente indesiderati Altro malware: trojan, virus, bot, ecc. Metodo di installazione Tipo di pacchetto Disinstallazione Comportamento Normale procedura di installazione delle applicazioni, talvolta con un contratto di licenza per l'utente finale. Spesso per l'installazione completa su un sistema sono necessari l'intervento e il consenso dell'utente. Distribuiti insieme ad applicazioni innocue e installati di nascosto insieme a queste. A volte il pacchetto contiene un programma di disinstallazione che consente la rimozione del software. Spesso la procedura di disinstallazione è difficile. Visualizzano pubblicità e finestre pop-up o pop-under indesiderate. Modificano le impostazioni del browser, raccolgono dati sull'utente e sul sistema o consentono il controllo da remoto del sistema all'insaputa dell'utente o senza la sua autorizzazione. Installato come programma autonomo senza alcun intervento dell'utente. Opera prevalentemente come file indipendente. File autonomi con pochi componenti aggiuntivi. Non presentati sotto forma di pacchetti di installazione. Gli eseguibili rendono ancora più complicata l'eliminazione del malware a causa delle associazioni stabilite con altri processi, handle di processi e altri collegamenti complessi. Poiché non si tratta di pacchetti di installazione, non compaiono nel Pannello di controllo. Ruba i dati bancari e di identificazione personale, modifica i file di sistema, rende il sistema inutilizzabile, chiede riscatti, ecc. Natura furtiva In genere il comportamento non è furtivo. Può nascondere file, cartelle, voci di registro e traffico di rete. Report McAfee Labs sulle minacce, febbraio

27 Propagazione Per diffondere il malware, il crimine informatico si avvale di tecniche quali le campagne di phishing tramite , l'uso fraudolento dell'ottimizzazione per i motori di ricerca, i server Web vulnerabili o i bot. I programmi potenzialmente indesiderati, invece, di solito si propagano abusando della fiducia di utenti innocenti, come illustrato nel Report McAfee Labs sulle minacce: novembre Le più comuni tecniche di distribuzione per i programmi potenzialmente indesiderati comprendono: Veicolazione nascosta attraverso applicazioni legittime Social engineering Vendita di Mi piace su Facebook Pubblicazione di messaggi truffa su Facebook Uso fraudolento di Google AdSense Estensioni e plug-in indesiderati per i browser Installazione forzata insieme ad applicazioni legittime Vigilanza difficile Anche se i programmi potenzialmente indesiderati non ricorrono a manovre elusive complesse come compressione personalizzata, crittografia, rilevamento di macchine virtuali e altri comportamenti furtivi che caratterizzano la maggior parte dei trojan e dei virus, riescono comunque a sfuggire al rilevamento da parte di vari prodotti di sicurezza. Ma se non sono programmi complessi, perché sono così difficili da tenere sotto controllo? Le tecniche di propagazione apparentemente innocue adottate dai loro autori consentono ai programmi potenzialmente indesiderati di superare inosservati vari controlli di sicurezza (prevenzione delle intrusioni in rete, firewall e antimalware) e di raggiungere i loro obiettivi, persino all'interno delle aziende. I programmi potenzialmente indesiderati non hanno bisogno di occultarsi per superare i controlli di sicurezza perché sono distribuiti insieme ad applicazioni legittime e talvolta vengono installati con il consenso involontario degli utenti. A volte, per introdursi furtivamente nei sistemi, queste applicazioni sono firmate digitalmente. Per gli esperti di minacce è facile decompilare dei file per scoprire se sono trojan, virus o bot, perché questi presentano un comportamento malevolo rilevabile mediante analisi statica o dinamica oppure tramite decompilazione. I programmi potenzialmente indesiderati, invece, generalmente non presentano queste caratteristiche. Il loro comportamento è simile a quello dei programmi legittimi e, pertanto, sono considerati file "grigi" dalla comunità degli esperti di sicurezza. Il comportamento dei programmi "grigi" è problematico per i ricercatori che devono decidere se classificarli come programmi potenzialmente indesiderati o come file innocui. Per molti anni, i programmi potenzialmente indesiderati sono stati considerati minacce non critiche e non hanno particolarmente allarmato i produttori di soluzioni di sicurezza. Ora però questi programmi hanno comportamenti notevolmente più invasivi. Report McAfee Labs sulle minacce, febbraio

28 Adware illecito Fra tutte le categorie di programmi potenzialmente indesiderati, gli adware hanno catalizzato l'attenzione dei fornitori di soluzioni di sicurezza non tanto a causa della pubblicità indesiderata, quanto per il modo in cui abusano della fiducia. I programmi potenzialmente indesiderati, soprattutto l'adware, sono diventati più aggressivi, invasivi e difficili da debellare. Gli adware sono diventati più intelligenti grazie all'implementazione di varie tecniche che ne garantiscono la presenza costante sui sistemi infetti. Ecco alcuni dei metodi che utilizzano: Processo autonomo eseguito in memoria. File DLL COM (Component Object Model) e non COM con funzioni studiate specificamente per una determinata applicazione. Chiavi di registro di BHO (browser helper object). DLL associate a processi di sistema. Estensioni e plug-in dei browser. Servizi di sistema registrati. Componenti dei driver di dispositivo che eseguono funzioni di controllo dei dispositivi. Driver filtro di basso livello. Trojan recapitati come payload. L'area rossa nello schema che segue illustra i numerosi vettori presi di mira dai programmi potenzialmente indesiderati in vari livelli di Microsoft Windows. Punti di caricamento dell'adware in Microsoft Windows MODALITÀ UTENTE File su disco Estensioni del browser Plug-in multipiattaforma Servizi di sistema NTDLL.DLL MODALITÀ KERNEL Driver di dispositivi Thread Memoria virtuale KERNEL Report McAfee Labs sulle minacce, febbraio