TrendLabs SM Verifica di sicurezza del 3 trimestre 2013 Il Web invisibile smascherato
Sommario 1 CRIMINALITÀ INFORMATICA Chiusure, cavalli di Troia bancari, attacchi a siti e tecniche di minacce informatiche perfezionate 6 DISPOSITIVI MOBILI Minacce mirate ai dispositivi mobili e app ad alto rischio: ora sono 1 milione 10 PROBLEMI DI SICUREZZA DELLA VITA DIGITALE Privacy e furto di dati: un nuova crisi di identità 12 EXPLOIT E VULNERABILITÀ Le vulnerabilità di Java continuano a essere una delle preoccupazioni più importanti 13 ATTACCHI MIRATI Sykipot si focalizza sui dati relativi all aviazione 15 Appendice
Introduzione Negli ultimi mesi sono circolate diverse notizie relative alla criminalità informatica. La chiusura di Liberty Reserve, un sistema di valuta digitale illegale, e la recente chiusura del sistema di mercato nero online Silk Road sono stati tra i principali eventi di questo trimestre, che hanno innalzato la consapevolezza dell opinione pubblica sulle minacce online. 1 Anche l arresto del presunto creatore del kit di exploit Blackhole in ottobre ha provato che la criminalità informatica è veramente un attività che avviene a un palmo dal nostro naso. 2 In questo trimestre, i criminali informatici hanno continuato a raffinare le loro tecniche. Le infezioni dovute a minacce informatiche mirate al banking online sono aumentate in diverse aree, tra cui gli Stati Uniti e il Giappone. Abbiamo inoltre esaminato un campione dell enorme quantità di siti compromessi. La nostra ricerca su BKDR_ FIDOBOT ha rilevato che le applicazioni backdoor sono state utilizzate per attaccare oltre 17.000 domini in un solo giorno. Abbiamo inoltre potuto osservare in che modo è stato perfezionato il funzionamento delle minacce, come nel caso dell uso da parte di EXPIRO del kit di exploit Styx o della rete The Onion Router (TOR) da parte della minaccia MEVADE. Sul fronte dei dispositivi mobili, il numero di app Android dannose e ad alto rischio ha superato il limite del milione, così come avevamo previsto. Una porzione significativa di queste app pericolose assume l aspetto di versioni false o con cavalli di Troia di app molto diffuse. I problemi di sicurezza di Internet Explorer e di Java rappresentano ancora un fattore di rischio per i computer: in questo trimestre sono stati scoperti due exploit di tipo zeroday. Gli exploit dei documenti sono ancora un problema negli attacchi mirati di tipo spear-phishing tramite e-mail; tuttavia abbiamo notato delle evoluzioni nella famiglia di minacce Sykipot, che si focalizza ora su obiettivi legati all aviazione civile.
CRIMINALITÀ INFORMATICA Chiusure, cavalli di Troia bancari, attacchi a siti e tecniche di minacce informatiche perfezionate Le forze dell ordine hanno ottenuto diversi risultati nel campo della lotta alle minacce informatiche. La chiusura di Liberty Reserve ha costretto i criminali informatici a cercare delle valute alternative. Per continuare i loro traffici, hanno dovuto ricorrere ad altri mezzi, come l uso dei Bitcoin. La chiusura del sito Silk Road ha anche mostrato un lato nascosto, ma ugualmente nefasto della criminalità informatica: l uso del Web invisibile per nascondere reti di siti illegali. Infine l arresto del presunto autore del kit di exploit Blackhole conosciuto come Paunch ha conquistato le pagine dei giornali a inizio ottobre. 3 Il successo di queste azioni delle forze dell ordine ha gettato luce su aspetti nascosti della criminalità informatica che erano praticamente ignoti per la maggior parte degli utenti Internet. 4 Numeri complessivi dell azione di Trend Micro Smart Protection Network 8 MLD 7 MLD 6 MLD 5 MLD 2.876 2.817 7,5 MLD 7,5 MLD 574 MLN 495 MLN 606 MLN 414 MLN 2.697 7,2 MLD 586 MLN 392 MLN NUMERO DI MINACCE BLOCCATE OGNI SECONDO NUMERO TOTALE DI MINACCE BLOCCATE 4 MLD 3 MLD 6,4 MLD 6,5 MLD 6,2 MLD NUMERO DI FILE DANNOSI BLOCCATI 2 MLD NUMERO DI URL DANNOSI BLOCCATI 1 MLD 0 LUG AGO SET NUMERO DI INDIRIZZI IP CHE INVIANO SPAM BLOCCATI In questo trimestre, siamo riusciti a proteggere i clienti Trend Micro da 2.797 minacce al secondo (di media). 1 Criminalità informatica
In questo trimestre la minaccia DOWNAD/ Conficker è rimasta quella più diffusa. L adware inserito in offerte di software falsi continua a colpire gli utenti Internet. Nonostante sia ancora la minaccia informatica più diffusa, il numero di infezioni DOWNAD/Conficker è sceso a quota 345.000, rispetto alle 509.000 del trimestre precedente; questo è dovuto probabilmente al maggior numero di utenti che ha aggiornato il sistema operativo alla luce della prossima fine del supporto per Windows XP. Minacce informatiche principali WORM_DOWNAD.AD 345.000 ADW_BPROTECT 246.000 ADW_BHO 238.000 100.000 1.000 100 10 1 DOWNAD/Conficker è ancora la minaccia più diffusa dopo tre trimestri consecutivi, mentre l adware continua a lasciare tracce. 2 Criminalità informatica
Minacce principali per segmento AZIENDE DI GRANDI DIMENSIONI PMI PRIVATI NOME VOLUME NOME VOLUME NOME VOLUME WORM_DOWNAD.AD 205.000 WORM_DOWNAD.AD 33.000 ADW_BHO 158.000 ADW_BPROTECT 28.000 HKTL_PASSVIEW 7.000 ADW_BPROTECT 138.000 PE_SALITY.RL 17.000 TROJ_FAKEAV.BMC 5.000 TROJ_FAKEAV.BMC 87.000 Il motivo principale per cui i consumatori scaricano gli adware è il fatto che sono spesso inseriti in finti software gratuiti. Le aziende di piccole, medie e grandi dimensioni sono state colpite principalmente da DOWNAD/Conficker. Aumento del volume di cavalli di Troia per il banking online In questo trimestre il volume delle minacce mirate al banking online è aumentato. Queste minacce si stanno diffondendo in tutto il mondo e non si non si concentrano più su poche aree come l Europa o le Americhe. Abbiamo continuato a osservare questa tendenza, con il numero di infezioni che ha superato quota 200.000, il numero di infezioni più elevato dal 2002. 250.000 Infezioni mirate al banking online 200.000 202.000 150.000 100.000 131.000 113.000 110.000 146.000 132.000 125.000 2013 2012 50.000 0 1 T 2 T 3 T 4 T In questo trimestre, le minacce informatiche mirate al banking online hanno colpito oltre 200.000 utenti, il volume di infezioni più alto dal 2002. 3 Criminalità informatica
Una gran parte delle infezioni dovute a minacce informatiche mirate al banking online sono dovute ai cavalli di Troia ZeuS/ ZBOT. Le varianti ZeuS/ZBOT sono risultate essere le minacce informatiche più distribuite tramite spam del trimestre. Sono emerse nuove varianti di ZBOT, in parti colare la minaccia KINS, dotata di routine antidebugging e anti-analisi. Nel frattempo le varianti di Citadel hanno continuato a colpire il Giappone e in particolare gli istituti finanziari e diversi servizi Webmail come Yahoo! Japan and Gmail. 5 Principali paesi vittima di minacce bancarie PAESE PERCENTUALE Stati Uniti 23% Brasile 16% Giappone 12% India 6% Australia 3% Francia 3% Germania 2% Vietnam 2% Taiwan 2% Messico 2% Altri 29% Gli Stati Uniti e il Brasile sono ancora i paesi più colpiti dalle minacce mirate al banking online. Il Giappone è salito dal quinto al terzo posto, soprattutto a causa dell aumento delle infezioni dovute a Citadel. Compromissione dei siti: una norma? I criminali informatici utilizzano di routine dei siti compromessi per nascondere le loro tracce e diffondere minacce informatiche, modelli di spam e strumenti di reindirizzamento. Gli Spambot come Stealrat si basano su tecniche come l uso di siti compromessi per nascondere operazioni dannose. 6 Perché gli utenti aprono siti compromessi I dati inviati al sito compromesso n. 1 vengono utilizzati per costruire un modello di e-mail. La vittima raccoglia i dati di spam* dai server spam e li invia al sito compromesso n. 1. L utente riceve lo spam contenente collegamenti al sito compromesso n. 2. * I dati di spam comprendono l URL del server e-mail di backup, il nome del mittente, l indirizzo del destinatario e il modello di e-mail. 4 Criminalità informatica
Abbiamo esaminato un campione della scala di siti compromessi tramite un analisi di BKDR_FIDOBOT. L applicazione backdoor si è fatta strada con prepotenza in siti che utilizzavano Joomla! o WordPress ed è stata utilizzata per attaccare oltre 17.000 domini in un solo giorno. 7 La maggior parte dei siti colpiti è di proprietà di singoli o piccole imprese e si trova in hosting negli Stati Uniti. Tecniche di minaccia perfezionate e reti nascoste Tra le altre minacce notevoli di questo trimestre segnaliamo EXPIRO. 8 Questa minaccia è emersa per la prima volta nel 2010 ed è nota per infettare i file. Alcune varianti emerse questo trimestre, tuttavia, riescono anche a rubare le credenziali FTP. Le varianti EXPIRO utilizzate negli attacchi di luglio sono state distribuite anche per mezzo del kit di exploit Styx. 9 Nell ultima parte di agosto, abbiamo osservato che la minaccia MEVADE scarica un componente TOR che avvia dei collegamenti diffusi a siti specifici. 10 Questo ha causato un aumento delle segnalazioni relative all aumento del numero di utenti TOR. 11 TOR consente ai criminali informatici di nascondere in modo più efficace i loro server di tipo command-andcontrol (C&C). Inoltre, è quasi impossibile arrestare un servizio nascosto di tipo TOR. La minaccia MEVADE si è anche diffusa tramite alcune varianti adware, tramite un downloader mascherato da aggiornamento di Adobe Flash Player. 12 Cronologia delle scoperte delle più diffuse minacce mirate al banking online ZeuS Gozi Carberp e SpyEye Cridex, Shylock, Tatanga, Ice IX e Citadel Tinba, Zitmo e Spitmo KINS 2006 2007 2009 2010 2011 2013 In questo trimestre abbiamo assistito al risorgere delle minacce di tipo bancario; questo tipo di minacce cominciò a far parlare di sé nel 2006, quando fu introdotto il toolkit ZeuS. 5 Criminalità informatica
DISPOSITIVI MOBILI Minacce mirate ai dispositivi mobili e app ad alto rischio: ora sono 1 milione Prima della fine del 2013, il numero di app dannose e ad alto rischio basate sulla piattaforma Android ha raggiunto il milione di unità. L 80% di queste app ha una natura dannosa e la maggior parte sono Premium service abuser. I Premium service abuser inviano messaggi di testo non autorizzati a determinati numeri e spesso offrono agli utenti registrati dei servizi con tariffe elevate. Questo tipo di app dannose è molto diffuso in Russia, probabilmente a causa della mancanza di app store standard specifici per il paese. 13 500.000 Crescita del volume delle minacce Android LUG 1 MLN 820.000 AGO 851.000 SET 1MLN Il rimanente 20% è composto da app considerate ad alto rischio tra cui app che visualizzano in modo aggressivo dei messaggi pubblicitari molesti: sono i cosiddetti adware. Le infezioni adware alla fine del loro ciclo portano spesso al furto di dati. 0 Il numero di app dannose e ad alto rischio è cresciuto costantemente da luglio ad agosto, ma a settembre è balzato alla quota di 1 milione. 60% 55% Distribuzione dei principali tipi di minacce 40% 20% 27% 22% 12% 9% 2% 0 PREMIUM SERVICE ABUSER ADWARE DATA STEALER REMOTE CONTROLLER DOWNLOADER DI MINACCE STRUMENTI DI HACKING Anche in questo trimestre, come nel precedente, i Premium service abuser hanno coperto oltre la metà delle minacce per i dispositivi mobili; anche il numero di adware per dispositivi mobili è aumentato e si è piazzato al secondo posto. 6 Dispositivi mobili
Principali famiglie di minacce Android 1. OPFAKE 2. FAKEINST 3. GOYEAR 4. GINMASTER 5. JIFAKE 6. MSEG 7. ADPANDA 8. ADTGPTT 9. BOXER 10. SMSREG Altre 27% 24% 10% 7% 6% 4% 3% 3% 2% 2% 12% Le minacce multipiattaforma sono un rischio per la Mobile Security Oltre ai pericoli di app dannose, i dispositivi mobili sono anche soggetti alle minacce che non distinguono tra una piattaforma e l altra. Tra queste segnaliamo un e-mail WhatsApp falsa contenente un collegamento che, se attivato tramite un dispositivo mobile, apre un sito che ospita un Premium service abuser. 14 Non è la prima volta che i dispositivi mobili vengono attaccati da minacce multipiattaforma. In questo caso, tuttavia, i criminali hanno scelto lo spam come vettore di infezione, invece di affidarsi a un approccio più diretto come un blackhat search engine optimization (SEO) o un attacco ai social network. Un altro problema multipiattaforma è l aumento del numero di siti di phishing ideati specificatamente per i dispositivi mobili. Analizzando i dai dati raccolti da gennaio a settembre di quest anno, abbiamo notato un incremento del 53% del numero di siti di phishing rispetto allo stesso periodo dell anno precedente. In questo trimestre, il 42% dei siti era un imitazione di siti bancari e di altre istituzioni finanziarie. 15 7 Dispositivi mobili
Vulnerabilità ed exploit accrescono i problemi per la Mobile Security La scoperta in questo trimestre di una vulnerabilità di tipo master key ha evidenziato la capacità dei criminali informatici di trovare il modo per aggiornare su quasi tutti i dispositivi Android delle app legittime inserendo codice dannoso. In questo trimestre abbiamo visto uno sfruttamento continuo di questa vulnerabilità allo scopo di diffondere delle versioni contenenti un cavallo di Troia di un app di banking online molto diffusa. 16 Nella conferenza sulla cybersecurity Black Hat di luglio non si è praticamente parlato d altro in relazione alla sicurezza dei dispositivi mobili. È stato, ad esempio scoperto un difetto su una scheda SIM che potrebbe consentire ai criminali informatici di ricavarne la chiave digitale. Durante la conferenza, inoltre, i ricercatori del Georgia Institute of Technology hanno mostrato un prototipo di caricatore che potrebbe consentire ai criminali informatici di eseguire dei comandi dannosi su dispositivi dotati della più recente versione del sistema ios. 17 Luoghi nei quali gli utenti si imbattono in app dannose o ad alto rischio APP STORE 27% SITI 80% ALTRI 1% Sebbene le app dannose e ad alto rischio provengano per il 27% dagli app store, sono presenti anche in altri luoghi, come ad esempio i siti dannosi. È importante notare che il totale rappresenta il 42% del numero totale di app dannose rilevate da agosto 2010 a settembre 2013. 8 Dispositivi mobili
Come agiscono i Premium service abuser ELIMINAZIONE DATI : accedono ai dati 96% della scheda SD MONITORAGGIO MESSAGGI : leggono i vostri 92% messaggi INVIO MESSAGGI PREDEFINITI : possono inviare 86% messaggi predefiniti VISUALIZZAZIONE CONTATTI : possono accedere 48% alla rubrica RILEVAMENTO LOCALITÀ : possono rilevare la 14% posizione dell utente Se colpiti da Premium service abuser, la principale minaccia del settore mobile in questo trimestre, i dispositivi mobili sono vulnerabili a minacce quali furto di dati. Uno studio relativo al periodo novembre 2012-maggio 2013 ha rilevato che i Premium service abuser possono essere colpiti in diversi modi. 9 Dispositivi mobili
VITA DIGITALE Privacy e furto di dati: un nuova crisi di identità Gli eventi e le minacce recenti relative ai social network e ai dati personali hanno fatto riemergere problemi di sicurezza dei dati; è un nuovo tipo di crisi di identità. Gli utenti Internet sono ancora costantemente impegnati a gestire i propri dati personali e a impedire che cadano nelle mani dei criminali informatici. Tra le varie minacce che mirano a rubare i dati personali, in questo trimestre hanno avuto un grande impatto le frodi di phishing, a causa di un notevole aumento dei siti di phishing relativi ad Apple. 18 Il picco è stato probabilmente dovuto al clamore degli ultimi mesi legato ai più recenti prodotti e sviluppi Apple, tra cui le voci di maggio relative al rilascio di ios7. Un altro picco dei siti di phishing è stato registrato tra giugno e luglio in concomitanza con le voci della diffusione dell iphone 5c. A settembre abbiamo rilevato un lancio di spam che utilizzava i nuovi modelli iphone come mezzo per rubare le informazioni personali identificabili (PII). 19 Crescita del volume di pagine di phishing relative ad Apple 6.000 5.800 5.000 4.100 4.000 3.000 2.500 2.000 1.800 1.900 1.000 300 500 100 300 0 GEN FEB MAR APR MAG GIU LUG AGO SET Le pagine di phishing relative ad Apple hanno continuato ad aumentare anche dopo il picco di maggio. 10 Vita digitale
Gli utenti di applicazioni di mobile banking non sono stati risparmiati da attacchi che sfruttano tecniche di social engineering simili. Ad esempio abbiamo scoperto un sito che imita quello di un noto istituto finanziario, progettato per raccogliere dati fondamentali quali le credenziali di accesso, gli indirizzi e-mail e anche i documenti di identità rilasciati dalle autorità. 20 Questo trimestre ha visto l affermarsi di minacce alla sicurezza basate sui social network e in particolare di quelle mirate a utenti con una vita digitale molto attiva. Una frode che prometteva follower gratis ha mostrato in che modo i criminali informatici sono riusciti ad avere rapidi introiti offrendo finti follower, likes e retweet ad acquirenti interessati. 21 Le minacce mirate ai social network non si sono limitate a quelle del tipo follower gratis. Abbiamo rilevato anche delle minacce mascherate da falsi aggiornamenti di video player veicolati tramite i siti di social network. Se installate, queste applicazioni manomettono le credenziali degli account dei social network dell utente, in particolare quelli di Facebook, Google+ e Twitter. 22 Questo trimestre ha visto proliferare anche una miriade di finti account Twitter, che inducono i follower ad aprire siti che promettono strumenti di hacking sia per Facebook che per Twitter, ma che invece contengono sondaggi truffa. 23 Nonostante queste falle alla sicurezza, sono stati registrati degli sviluppi positivi relativi alla gestione degli account online. Tra questi segnaliamo il sensore di impronte digitali Touch ID sull iphone 5s, uno strumento di sicurezza che consente agli utenti di sbloccare il loro telefono in modo molto più semplice rispetto a un semplice codice PIN. 24 Sebbene l impegno di Apple verso la protezione degli account online degli utenti sia lodevole, non può essere considerato una soluzione definitiva: il comportamento dell utente rimane comunque un fattore di sicurezza fondamentale. Alcune esche di social engineering utilizzate OBAMACARE WHATSAPP PLANTS vs. ZOMBIES FILM ESTIVI ENDER S GAME ROYAL BABY iphone 5s E 5c 11 Vita digitale
EXPLOIT E VULNERABILITÀ Le vulnerabilità di Java continuano a essere una delle preoccupazioni più importanti Dopo diversi incidenti di tipo zero-day all inizio dell anno, le vulnerabilità di Java continuano a essere uno dei problemi più importanti. In questo trimestre un exploit della vulnerabilità di Java 6 è stato inserito nel kit di exploit Neutrino. 25, 26 Poiché Oracle ha interrotto il supporto di questa versione, tutti i software interessati non riceveranno più gli aggiornamenti e le correzioni alla sicurezza relative, tra l altro, ai bug identificati più di recente. La brutta notizia è che l annuncio di Oracle implica che circa 31 vulnerabilità recentemente scoperte non verranno mai corrette. Appena una settimana dopo il September Patch Tuesday, è stato scoperto un exploit di Internet Explorer di tipo zero-day capace di colpire anche l ultima versione. 27 Microsoft ha immediatamente rilasciato una correzione per risolvere il problema. Un nostro studio su Apache Struts ha mostrato che le vecchie vulnerabilità rimangono un target preferito dai criminali informatici. 28 Lo studio ha rilevato che alcuni criminali cinesi hanno creato degli strumenti automatici per sfruttare i bug delle vecchie versioni di Apache Struts, subito dopo che le falle sono state rese note alla pubblica opinione. Metodo usato dagli exploit per aggirare i controlli di sicurezza 1 URL Crawl A 2 Controlla se l indirizzo IP è nel database 4 Il sito viene caricato SITO DANNOSO A 3 Se l indirizzo IP non è nel database RICERCATORE *I criminali informatici compilano un elenco di indirizzi IP che reputano essere utilizzati dai ricercatori e bloccano l accesso tramite questi indirizzi. DATABASE BACKEND 5 URL Crawl B 6 Controlla se l indirizzo IP è nel database 8 Il sito non viene caricato SITO DANNOSO B 7 Se l indirizzo IP è nel database 12 Exploit e vulnerabilità
ATTACCHI MIRATI Sykipot si focalizza sui dati relativi all aviazione Le campagne di attacchi mirati continuano a colpire diversi obiettivi, come i governi, le grandi organizzazioni e le aziende di grandi dimensioni. In questo caso i criminali informatici mirano a trafugare o rubare dati alle organizzazioni. Una delle campagne che è stata recentemente sottoposta a modifiche è quella della minaccia Sykipot. La campagna Sykipot ha fatto la sua prima comparsa nel 2007. Originariamente colpiva vari settori tra i quali le telecomunicazioni, l informatica, i governi e le industrie aerospaziali; la minaccia è attiva ancora oggi. 29 Tuttavia, abbiamo osservato delle modifiche apportate di recente al suo funzionamento, tra cui l uso di identificatori aggiornati, di exploit di tipo drive-by, di dynamic link library (DLL) e di iniezioni di processo. Adesso la campagna punta anche alle informazioni sull aviazione civile. Durante il controllo di attacchi mirati, negli attacchi di tipo spear-phishing, abbiamo continuato a rilevare l uso di vecchie vulnerabilità già corrette. Una vulnerabilità presa molto di mira è la vulnerabilità MSCOMCTL.OCX RCE, conosciuta anche con il codice CVE-2012-0158, che è stata risolta da Microsoft con la patch MS12-027 ad aprile dell anno scorso. 30 Inoltre, nonostante la release dell ultima versione di Apache Struts, abbiamo rilevato che vengono venduti sul mercato nero degli strumenti automatici che sfruttano le vulnerabilità delle vecchie versioni del software. In Asia, abbiamo inoltre rilevato degli exploit con attacchi mirati ai bug menzionati. I file.pkzip e.mime sono i tipi di file che i creatori di minaccia hanno utilizzato maggiormente per attaccare le loro vittime tramite lo spear-phishing. Per accedere a reti mirate, sono stati utilizzati anche file di tipo comune come documenti e fogli di calcolo. 13 Attacchi mirati
Tipi di file utilizzati nelle e-mail di spear-phishing legate agli attacchi mirati MIME PKZIP RAR RTF PPS/PPT DOC EXE/DLL LUG AGO SET XLS ZIP PDF 0 10% 20% 30% 40% 50% In questo trimestre, gli enti pubblici sono stati l obiettivo più soggetto ad attacco, seguito dalle aziende nel settore delle tele comunicazioni e quelle nel settore IT/software. Per evitare di essere vittima di attacchi mirati, le aziende devono rinforzare le loro reti. 14 Attacchi mirati
Appendice Lingue principali usate per lo spam 1. Inglese 2. Cinese 3. Giapponese 4. Tedesco 5. Russo 6. Portoghese 7. Spagnolo 8. Francese 9. Islandese 10. Turco Altre 89,39% 2,49% 1,88% 0,95% 0,70% 0,24% 0,16% 0,08% 0,07% 0,05% 3,99% L inglese resta la lingua preferita dagli spammer perché è la lingua più utilizzata al mondo. Paesi principali da cui partono gli attacchi spam 1. Stati Uniti 2. Argentina 3. Italia 4. Spagna 5. India 6. Taiwan 7. Colombia 8. Perù 9. Messico 10. Germania Altri 9,16% 6,71% 6,69% 6,45% 6,16% 4,31% 4,26% 3,97% 3,82% 3,27% 45,20% Coerentemente con la lingua più utilizzata per lo spam, gli Stati Uniti sono il paese da cui parte la maggior parte dello spam. Nell elenco dei primi 10 paesi sono ancora presenti paesi di lingua spagnola come l Argentina, la Spagna, la Colombia, il Messico e il Perù. 15 Appendice
Principali domini bloccati DOMINI ads.alpha00001.com trafficconverter.biz http :// adsgangsta. com http :// www. ody. cc az7t8.com ckstatic.com announce.opensharing.org promos.fling.com http :// labambaka. com international-spcsz.ru MOTIVI Inganna i più diffusi browser Web e li induce a reindirizzare gli utenti su siti falsi, compresi siti pubblicitari Ospita e distribuisce worm, in particolare DOWNAD/Conficker È legato a operazioni dei kit exploit È collegato a siti che ospitano la minaccia BKDR_ HPGN.B-CN È coinvolto nell attacco a siti con molto traffico È coinvolto nell attacco a siti con molto traffico Ospita software di hacking ed è utilizzato per il peer-to-peer È coinvolto nella diffusione di una rete zombie a partire da un sito di appuntamenti per adulti. Ospita e distribuisce minacce informatiche, è legato ad attività di spam Ospita e distribuisce minacce informatiche, è legato ad attività di spam I principali domini dannosi di questo trimestre ospitano siti che inducono i browser Web a reindirizzare gli utenti su siti pubblicitari falsi. Probabilmente questo è il motivo per cui in questo trimestre è stato registrato un aumento di adware. Numero di connessioni botnet al mese LUGLIO 12,7 MLN AGOSTO 10,7 MLN SETTEMBRE 13,9 MLN 0 2 MLN 4 MLN 6 MLN 8 MLN 10 MLN 12 MLN 14 MLN Il numero di collegamenti botnet è aumentato a luglio, è diminuito ad agosto ed è poi risalito in settembre. 16 Appendice
URL dannosi per paese di origine PAESE PERCENTUALE 1 Stati Uniti 24% 2 Paesi Bassi 3% 3 Cina 3% 4 Germania 3% 5 Francia 3% 6 Corea del Sud 2% 7 Regno Unito 2% 8 Russia 1% 9 Giappone 1% 10 Canada 1% Altri 57% Come nell ultimo trimestre, una percentuale considerevole di URL dannosi si trova negli Stati Uniti. Paesi che effettuano il maggior numero di accessi a URL dannosi PAESE PERCENTUALE 1 Stati Uniti 35% 2 Giappone 14% 3 Cina 7% 4 India 4% 5 Taiwan 4% 6 Corea del Sud 4% 7 Germania 3% 8 Australia 3% 9 Russia 2% 10 Regno Unito 2% Altri 22% In questo trimestre, la maggior parte degli utenti che effettua l accesso a URL dannosi si trova negli Stati Uniti. 17 Appendice
Paesi con il maggior numero di connessioni a botnet PAESE PERCENTUALE 1 Stati Uniti 25% 2 Malesia 19% 3 Portogallo 4% 4 Russia 4% 5 Canada 4% 6 Corea del Sud 4% 7 Belgio 3% 8 Colombia 2% 9 Germania 2% 10 Paesi Bassi 2% Altri 31% In questo trimestre, gli Stati Uniti hanno fatto registrare il maggior numero di collegamenti a botnet. La Malesia è passata al secondo posto in concomitanza con l aumento delle tensioni politiche nel paese. Paesi con i maggiori volumi di download di app Android dannose 1. Ucraina 2. Myanmar (Birmania) 13% 10% 9 1 6 3. Libia 4. Nigeria 5. Vietnam 6. Russia 9% 7% 5% 4% 8 4 3 10 2 5 7. Argentina 8. Antigua e Barbuda 4% 4% 7 9. Canada 3% 10. India 3% L Ucraina ha registrato il maggior volume di download di app dannose, prendendo il posto degli Emirati Arabi Uniti, che sono usciti dall elenco. Questo potrebbe essere legato al boom di vendite di smartphone nell Europa orientale. Il motivo dell ingresso in elenco di Nigeria e Argentina potrebbe essere similmente legato all aumento dei dispositivi mobili. La classifica si basa sulla percentuale di app valutata come dannosa rispetto al numero totale di app analizzate per il paese. La classifica si limita, tuttavia, a paesi con almeno 10.000 scansioni. 18 Appendice
Paesi con maggior rischio di esposizione della privacy a causa dell uso delle app 1. Kazakistan 2. Uganda 3. Ucraina 26% 20% 11% 9 3 1 4. India 5. Argentina 10% 9% 7 2 10 4 8 6 6. Filippine 7% 7. Antigua e Barbuda 8. Thailandia 7% 7% 5 9. Canada 7% 10. Myanmar (Birmania) 6% In questo trimestre sono entrati in questo elenco nuovi paesi come Kazakistan, Uganda e Ucraina, che sono risultati essere i paesi più a rischio di esposizione della privacy. Questo potrebbe essere parzialmente dovuto al boom di vendite di smartphone in questi paesi. La classifica si basa sulla percentuale di app categorizzate come privacy risk inducers (app che spingono verso un rischio per la privacy) rispetto al numero totale di app analizzato nel paese. La classifica si limita, tuttavia, a paesi con almeno 10.000 scansioni. 19 Appendice
Bibliografia 1. Trend Micro Incorporated. (martedì 16 luglio 2013). TrendLabs Security Intelligence Blog. Post Liberty Reserve Shutdown What Is Next? Ultimo accesso 29 ottobre 2013 http://blog.trendmicro.com/trendlabs-security-intelligence/post-liberty-reserve-shutdown-whats-next/. 2. Charlie Osborne. (mercoledì 9 ottobre 2013). ZDNet. Blackhole Malware Toolkit Creator Paunch Suspect Arrested. Ultimo accesso 29 ottobre 2013 http://www.zdnet.com/blackhole-malware-toolkit-creator-paunch-arrested-7000021740/. 3. Merianne Polintan. (lunedì 16 settembre 2013). TrendLabs Security Intelligence Blog. ZeuS/ZBOT Most Distributed Malware by Spam in August. Ultimo accesso 29 ottobre 2013 http://blog.trendmicro.com/trendlabs-security-intelligence/zeuszbot-most-distributed-malware-by-spam-in-august/. 4. Gelo Abendan. (martedì 20 agosto 2013). TrendLabs Security Intelligence Blog. Can KINS Be the Next ZeuS? Ultimo accesso 29 ottobre 2013 http:// blog.trendmicro.com/trendlabs-security-intelligence/can-kins-be-the-next-zeus/. 5. Trend Micro Incorporated. (lunedì 2 settembre 2013). TrendLabs Security Intelligence Blog. Citadel Makes a Comeback, Targets Japan Users. Ultimo accesso 29 ottobre 2013 http://blog.trendmicro.com/trendlabs-security-intelligence/citadel-makes-a-comeback-targets-japan-users/. 6. Jessa De La Torre. (lunedì 5 agosto 2013). TrendLabs Security Intelligence Blog. How to Check If Your Website Is Part of the Stealrat Botnet. Ultimo accesso 29 ottobre 2013 http://blog.trendmicro.com/trendlabs-security-intelligence/how-to-check-if-your-website-is-part-of-the-stealrat-botnet/. 7. Philippe Lin. (giovedì 5 settembre 2013). TrendLabs Security Intelligence Blog. Joomla! and WordPress Sites Under Constant Attack from Botnets. Ultimo accesso 29 ottobre 2013 http://blog.trendmicro.com/trendlabs-security-intelligence/joomla-and-wordpress-sites-under-constant-attackfrom-botnets/. 8. Rhena Inocencio. (lunedì 15 luglio 2013). TrendLabs Security Intelligence Blog. File Infector EXPIRO Hits U.S., Steals FTP Credentials. Ultimo accesso 29 ottobre 2013 http://blog.trendmicro.com/trendlabs-security-intelligence/file-infector-expiro-hits-us-steals-ftp-credentials/. 9. Trend Micro Incorporated. (venerdì 19 luglio 2013). TrendLabs Security Intelligence Blog. More Details on EXPIRO File Infectors. Ultimo accesso 29 ottobre 2013 http://blog.trendmicro.com/trendlabs-security-intelligence/more-details-on-expiro-file-infectors/. 10. Feike Hacquebord. (giovedì 5 settembre 2013). TrendLabs Security Intelligence Blog. The Mysterious MEVADE Malware. Ultimo accesso 29 ottobre 2013 http://blog.trendmicro.com/trendlabs-security-intelligence/the-mysterious-mevade-malware/. 11. Roger Dingledine. (martedì 27 agosto 2013). Tor Project. Many More TOR Users in the Past Week? Ultimo accesso 29 ottobre 2013 https://lists. torproject.org/pipermail/tor-talk/2013-august/029582.html. 12. Roddell Santos. (venerdì 6 settembre 2013). TrendLabs Security Intelligence Blog. Adware Spread Alongside MEVADE Variants, Hits Japan and U.S. Ultimo accesso 29 ottobre 2013 http://blog.trendmicro.com/trendlabs-security-intelligence/us-taiwan-most-affected-by-mevade-malware/. 13. Rowena Diocton. (martedì 17 settembre 2013). TrendLabs Security Intelligence Blog. Connecting the Dots: Fake Apps, Russia, and the Mobile Web. Ultimo accesso 29 ottobre 2013 http://blog.trendmicro.com/trendlabs-security-intelligence/connecting-the-dots-fake-apps-russia-and-the-mobileweb/. 14. Peter Yan. (venerdì 13 settembre 2013). TrendLabs Security Intelligence Blog. Spam Leads to Multi-Platform Mobile Threat. Ultimo accesso 29 ottobre 2013 http://blog.trendmicro.com/trendlabs-security-intelligence/spam-leads-to-multi-platform-mobile-threat/. 15. Trend Micro Incorporated. (2013). Analisi mensile sui dispositivi mobili. A Look at Mobile Banking Threats. Ultimo accesso 29 ottobre 2013 http:// about-threats.trendmicro.com/us/mobile/monthly-mobile-review/2013-08-mobile-banking-threats. 16. Peter Yan. (venerdì 2 agosto 2013). TrendLabs Security Intelligence Blog. Master Key Android Vulnerability Used to Trojanize Banking App. Ultimo accesso 29 ottobre 2013 http://blog.trendmicro.com/trendlabs-security-intelligence/master-key-android-vulnerability-used-to-trojanize-bankingapp/. 17. Gelo Abendan. (giovedì 8 agosto 2013). TrendLabs Security Intelligence Blog. Exploiting Vulnerabilities: The Other Side of Mobile Threats. Ultimo accesso 29 ottobre 2013 http://blog.trendmicro.com/trendlabs-security-intelligence/exploiting-vulnerabilities-the-other-side-of-mobile-threats/. 18. Paul Pajares. (martedì 1 ottobre 2013). TrendLabs Security Intelligence Blog. Apple Spikes as Phishing Target. Ultimo accesso 29 ottobre 2013 http:// blog.trendmicro.com/trendlabs-security-intelligence/apple-spikes-as-phishing-target/. 20 Bibliografia