Falsi antivirus, come riconoscerli e come difendersi

Il cyber crimine resta fortemente interessato all’utilizzo di falsi antivirus per diffondere malware e infettare i Pc degli utenti. Nonostante negli ultimi mesi sia stata registrata una diminuzione di questa attività, il pericolo resta comunque alto. Durante le ultime settimane i G Data Security Labs hanno esaminato le modalità di funzionamento di diversi falsi programmi antivirus analizzandone in dettaglio il codice sorgente. Tutti i falsi scanner antivirus analizzati dall’azienda di sicurezza cercano di replicare il layout di Windows XP e Windows 7. Per indurre l’utente ad aprire inconsapevolmente la pagina web del falso antivirus, inoltre, si sfrutta la funzione di reindirizzo. L’utente, in altre parole, non apre direttamente la pagina web del falso scanner antivirus, ma ci arriva di norma cliccando su un link trovato all’interno di un sito ritenuto affidabile che è stato opportunamente modificato dai criminali online. Si tratta di un approccio tipico del cosiddetto Social Engineering e che fa leva sulla paura dell’utente inducendolo a credere che il suo sistema sia infetto.

Approfondimenti sulle modalità di attacco e sui consigli di G Data su come difendersi sono presenti in questo articolo.

1. Falsi avvisi

Quando un utente apre un sito che è stato modificato dai cyber criminali, viene mostrato un avviso JavaScript. Questa tipologia di avvisi differisce soltanto per la sintassi e il layout web in relazione al browser installato.

2. Falso scanner di sistema

Questa è la parte principale della pagina web. Dopo che l’utente ha cliccato “OK” sul falso avviso iniziale, un falso scanner evidenzia la presenza di diverse infezioni sul Pc dell’utente. Anche questi scanner funzionano con Javascript. I file scannerizzati, le loro estensioni e anche le presunte minacce trovate sono generate in maniera casuale dallo script sulla base di un set predefinito di valori (il fine di questa azione è ovviamente quello di sfuggire all’analisi di un vero programma antivirus).

Tutti i codici esaminati indicano che la pagine in questione sono state probabilmente codificate da un piccolo gruppo di persone, se non da un’unica persona, perché molti frammenti di codice utilizzato sono praticamente identici.

Alcuni di questi siti, inoltre, utilizzano tecniche di offuscamento per impedire e ostacolare un’eventuale analisi manuale condotta da un’analista della sicurezza, come pure un’ispezione automatica avviata tramite un apposito tool. Il fatto che alcune pagine siano offuscate ed altre no lascia presupporre che tali pagine siano state create da un piccolo gruppo di persone che ha poi venduto il codice sorgente ad altri criminali i quali hanno poi aggiunto le tecniche di offuscamento.

3. Falsi risultati dello scanner e software fasullo

Dopo che è terminato il finto scanner di sistema e sono state evidenziate le (false) minacce, viene subito proposta una soluzione. Esaminando il codice i laboratori di G Data hanno notato una certa evoluzione dello stesso. Se, infatti, su Windows XP i risultati della scansione vengono presentati in una semplice immagine, quelli su windows 7 sono generati dinamicamente da JavaScript e consentono agli utenti di interagire con la lista di risultati tramite una finestra con tanto di scrolling. Queste pagine Internet sono ospitate su domini internet free e hanno una media di vita di un solo giorno.

4. Tentativo di infezione

Dopo la scansione viene consigliato il download di un (falso) software antivirus. I siti Internet, però, sono strutturati in maniera tale da rendere impossibile all’utente il rifiuto del download. La chiusura della finestra del browser e la pressione il tasto “Back” sono infatti disabilitati tramite JavaScript. Ogni volta che l’utente tenta di compiere queste operazioni la finestra di download continua a mostrarsi. Fino a questo punto non c’è ancora infezione.
Come difendersi?

Per evitare il download l’unica via percorribile è aprire il Task Manager (Ctrl+Alt+Canc) e terminare manualmente il processo del browser selezionandolo tra i programmi attivi e premendo quindi su “Termina Operazione”.

Consigli utili per proteggersi dai falsi antivirus

- Utilizzare una soluzione per la sicurezza informatica completa con tanto di filtro http e firme virali aggiornate;
- Se scaricate software da Internet, scaricatelo solo dai siti ufficiali dei produttori o da siti dedicati che abbiano una buona reputazione;
- Se un sito mostra una finestra di download, controllate se davvero questo è un software che volete scaricare. Queste finestre automatiche di pop-up spesso fanno riferimenti a falsi software;
- Tenete sempre aggiornati il sistema operativo e il browser;
- Non cliccate hyperlink;
- Analizzate il linguaggio e l’ortografia dei pop-up e degli avvisi che compaiono in Internet. Troppi errori grammaticali sono segno evidente di una trappola.

Fonte PCSELF.COM

I 5 pericoli più grandi per lo shopping online di Natale

Molti utenti Internet iniziano ad acquistare i regali di Natale all’inizio del periodo dell’Avvento. In Italia tre utenti su dieci sceglieranno Internet per comprare i regali di Natale (fonte: Gfk Eurisko). I criminali online traggono sicuro vantaggio da questa situazione e prendono di mira gli utenti che sono alla ricerca di regali. Essi ingannano le loro vittime inviando mail contenenti malware o basate su phishing offrendo, ad esempio, beni di lusso a prezzi particolarmente convenienti o inviando note di spedizione fasulle. L’obbiettivo dei cyber criminali è soprattutto quello di entrare in possesso dei dati personali degli utenti relativi all’online banking o alle carte di credito. G Data ha individuato i 5 pericoli più ricorrenti in cui si incorre quando si acquistano regali online e ha fornito una serie di utili consigli per proteggersi adeguatamente.

Email con esca pubblicitaria

In questo tipo di email i criminali online promettono prodotti come orologi di lusso e scarpe di marca a un prezzo estremamente basso. I link integrati nelle email traggono in inganno l’utente indirizzandolo su falsi siti web infettati da malware o falsi negozi online dove i dati personali e/o bancari vengono rubati durante il processo di compilazione dell’ordine. Email di questo tipo possono essere facilmente individuate dall’oggetto che solitamente è del tipo “Christmas Sale, Thousands of luxury goods for under $100“.

Frode relativa all’online banking

L’online banking è molto popolare tra la gente che acquista online i regali di Natale. Le transazioni bancarie elettroniche rendono più veloce e facile il pagamento dei regali ordinati online. I Trojan bancari stanno perciò diventando sempre più utilizzati dai criminali online che se ne servono per inserirsi nei processi di pagamento e dirottare denaro sui propri account. Gli utenti Pc possono essere infettati da questi malware in diversi modi: per esempio, un utente può ricevere un falso avviso da una banca comunicante che la transazione non è andata a buon fine. Per ripetere la transazione, l’utente viene invitato a cliccare su un link che rimanda a un sito Internet infettato con un Trojan bancario.

Email da falsi servizi di spedizione

I regali di Natale che sono stati ordinati online arrivano di norma attraverso i corrieri. I criminali online sono a conoscenza di ciò e ne approfittano inviando false email con conferme di spedizione e fatture. Questi messaggi potrebbero suggerire che un pacco non può essere consegnato o, come nel caso di una falsa email di UPS (immagine in basso), che la fattura per la spedizione è disponibile nel centro fatturazione. Quest’ultimo tipo di email contiene un allegato che nasconde un key logger. Se l’utente clicca sull’allegato il malware entra in esecuzione ed è in grado di spiare tutti gli input dati dalla tastiera, come per esempio i dati di login per i servizi di pagamento o l’online banking.

Email da servizi di pagamento

I criminali mandano anche email che parrebbero provenire da servizi di pagamento i quali avvisano che l’account dell’utente è stato bloccato per alcune irregolarità o che una transazione non è andata a buon fine. Il destinatario viene invitato a cliccare su un link per ripetere la procedura di pagamento o sbloccare l’account. Come già visto anche in questo caso il link rimanda a un falso sito Internet pensato appositamente per rubare i dati dell’utente o infettato con del malware.

False cartoline di auguri

Un’ altra strategia molto popolare nel periodo natalizio è quella di mandare via email false cartoline di auguri. Queste possono contenere allegati con diverse tipologie di malware o link che rimandano a siti web infetti.
Otto suggerimenti utili per comprare i regali di Natale online in tutta sicurezza

1. Gli utenti dovrebbero usare una soluzione completa per la sicurezza dotata di scanner antivirus, firewall, spam e protezione in tempo reale. Questa soluzione dovrebbe essere regolarmente aggiornata. Si raccomanda anche di effettuare una scansione totale del proprio Pc prima di comprare regali online.

2. Quando poi si usa l’online banking bisognerebbe essere sicuri di usare una doppia procedura di autentificazione per maggiore sicurezza. Gli acquirenti che utilizzano un service provider per i pagamenti dovrebbero utilizzare provider che offrono protezione all’utente.

3. Sarebbe opportuno controllare che sia il sistema operativo, sia ogni altro software presente sul proprio Pc sia aggiornato all’ultimo update disponibile.

4. Tutte le email di spam dovrebbero essere cancellate senza neppure leggerle. Gli utenti, inoltre, non dovrebbero cliccare sui link in esse contenute o aprire eventuali allegati. Link a siti di online banking, shop online o servizi di pagamento dovrebbero essere inseriti nel browser manualmente. Nel fare questo bisognerebbe avere particolare attenzione nell’evitare errori di battitura perché i criminali online se ne servono spesso per reindirizzare l’utente su siti web fasulli.

5. Bisognerebbe analizzare attentamente gli shop online prima di fare degli acquisiti. Questo significa leggere I termini generali e le condizioni d’uso, le informazioni legali e controllare bene le spese di spedizione e ogni costo addizionale. Gli utenti dovrebbero, inoltre, verificare su Internet se il negozio online è considerato affidabile o meno.

6. Gli acquisti non vanno effettuati da Pc pubblici perché, spesso e volentieri, questi non sono adeguatamente protetti. Le WLAN pubbliche vanno evitate perché i cyber criminali possono intercettare il traffico di dati.

7. Durante il processo di pagamento è necessario fare attenzione alle notifiche di sicurezza del browser per assicurarsi che i dati vengano trasferiti in modalità sicura. La cosa importante da verificare è che l’indirizzo web nella barra inizi con “https”, che lo sfondo della barra degli indirizzi sia verde e che sia presente un lucchetto.

8. Bisognerebbe usare password non facilmente identificabili, soprattutto quelle utilizzate per i servizi di pagamento, l’online banking e gli shop online. Queste password dovrebbero essere composte da lettere maiuscole e minuscole e caratteri speciali.

Maggiori informazioni sulle soluzioni per la sicurezza informatica di G Data sono disponibili sul sito internet www.gdata.it.

Fonte PCSELF.COM

Flash: risolto il bug che attivava le webcam

Adobe ha posto riparo al problema di clickjacking che affliggeva Flash Player e che permetteva di spiare un utente. Il bug era stato individuato da Feross Aboukhadijeh, studente dell’Università di Stanford, che era riuscito ad attivare da remoto microfono e webcam attraverso un gioco in Flash.

Utilizzando un iFrame nascosto sulle pagine web, era possibile modificare le impostazioni di Flash Player Settings Manager residente sul dominio di Macromedia. Intervenendo sulla configurazione si poteva autorizzare l’accesso alla webcam da qualunque sito senza che gli utenti se ne accorgessero. La società è intervenuta bloccando il bug clickjacking lato server, senza richiedere quindi aggiornamenti da parte degli utenti. Non è escluso che …

Leggi il resto su PCSELF.COM

HTC, problema di sicurezza sui device Android

Un grave problema di sicurezza affligge i device HTC Evo 3D, Evo 4G, Thunderbolt ed altri ancora basati su sistema operativo Android. Questa vulnerabilità permetterebbe a terze parti di accedere ai numeri di telefono, alle informazioni relative al GPS, agli SMS e alle email. La vulnerabilità non risiederebbe in Android in modo specifico, ma nell’interfaccia utente Sense offerta da HTC.

HTC ha diffuso una nota replicando: “Prestiamo molta attenzione alla sicurezza dei nostri clienti e stiamo lavorando per approfondire il più rapidamente possibile questa notizia. Forniremo un aggiornamento non appena saremo in grado di determinare con accuratezza il problema e, nel caso, su come intervenire”.

Fonte: PCSELF

Upgrade di Adobe Flash Player per falle critiche

Adobe ha appena reso disponibile un importante upgrade di sicurezza per Flash Player. La versione rilasciata, 10.3.183.10, pone al riparo da possibili rischi veicolati visitando siti contenenti file Flash appositamente manipolati che innescano malware.

Attraverso questa pagina di Adobe, è possibile verificare la versione installata sul computer ed effettuare l’upgrade a Flash Player 10.3.183.10. E’ bene ricordare che l’operazione di verifica e aggiornamento va effettuata per ciascun browser utilizzato, in quanto, ad esempio, prodotti come Internet Explorer e Mozilla Firefox fanno uso di tecnologie diverse per supportare Flash. Google Chrome include già Adobe Flash Player integrato, pertanto questo browser si aggiorna automaticamente quando è disponibile una nuova versione di Flash Player.

Fonte PCSELF

Dispositivi mobili nelle mire del cyber crimine

Sono minacciose le nubi che si addensano all’orizzonte dei dispositivi mobili. Il motivo? Il cyber crimine sta concentrando la propria attenzione e interesse verso smartphone e tablet. Lo rende noto G Data con la pubblicazione del suo Malware Report. Gli esperti dell’azienda di sicurezza informatica tedesca hanno rilevato che la percentuale di nuovo malware per questi dispositivi ha visto incrementi di circa il 140% nella prima metà dell’anno in corso: in media uno ogni 12 secondi. A dominare la scena sono i Trojan cross-platform. Molti di questi sono progettati per favorire lo spamming o altre attività criminali tra le tanti presenti nel catalogo del cosiddetto eCrime.

“Con i mobile malware i cyber criminali hanno scoperto un nuovo modello di business”, spiega Ralf Benzmüller, Responsabile dei G Data SecurityLabs. ”Al momento i criminali utilizzano soprattutto backdoor, programmi spia e costosi servizi di SMS per danneggiare le loro vittime. Anche se questo particolare segmento del mercato underground è ancora in fase di organizzazione, possiamo già evidenziare un enorme e potenziale rischio per i dispositivi mobili e i loro utenti. Ci aspettiamo pertanto un’ulteriore crescita nel settore dei mobile malware nella seconda metà dell’anno”.

Due esempi di codici maligni per Android

L’app manipolata chiamata Zsone è stata diffusa attraverso il Google Android Market. Questo Trojan manda segretamente i dati di iscrizione a costosi numeri SMS cinesi. Poiché viene anche intercettata la conferma della registrazione, gli utenti possono scoprire questa truffa solo controllando la propria bolletta.

Le funzionalità di NickiBot includono la possibilità di spiare le sue vittime. Una variante del malware chiamato Google++, è disponibile come applicazione per il social network Google+ e registra rumori di background e chiamate. Il malware utilizza un sito per mandare queste informazioni, tra i cui i dati del tracciamento GPS, a chi ha condotto l’attacco. Questo consente ai criminali di accedere alle informazioni personali e determinare dove l’utente si trovi in qualsiasi momento.

Le cose non vanno meglio per i computer, dove la crescita riscontrata dai G Data SecurityLabs nei primi sei mesi del 2011 è stata del 15.7% se confrontata con lo stesso periodo dell’anno precedente. I nuovi programmi malware in grado di infettare i PC sono stati ben 1.245.403, cifra che potrebbe raddoppiare per la fine del 2011, superando il totale di tutto il malware diffuso tra il 2006 e il 2009.

Fonte PCSELF

G Data: i pericoli dei social network

Il successo dei social network cresce ogni giorno e questo è ormai un fatto innegabile. Purtroppo esiste il rovescio della medaglia. Questa popolarità stimola il cyber crimine a utilizzare l’enorme popolarità di questo mezzo per indurre gli utenti a cliccare su link che rimandano a siti infetti che possono scaricare malware nei loro Pc.

Lo studio sulla sicurezza 2011 condotto da G Data fotografa una situazione che deve far riflettere. Quasi un utente su cinque clicca su tutti i link pubblicati, da chiunque essi siano stati postati. Se dunque rapportassimo questo risultato al solo Facebook significherebbe comunque che più di 130 milioni di utenti non fanno abbastanza attenzione e finiscono nelle trappole dei cyber criminali.
Lo studio, inoltre, evidenzia differenze anche tra i diversi gruppi di utenti: gli utenti più anziani sono di norma più attenti nell’utilizzo di Internet rispetto a quelli più giovani e le donne sono risultate un po’ più consapevoli degli uomini sul tema della sicurezza informatica.

In generale gli utenti più giovani utilizzano i social network più a lungo e in maniera più intensiva rispetto agli utenti più anziani. A dispetto di ciò, però, i “silver surfers” adottano più precauzioni come dimostrato dallo studio di G Data: più anziani sono gli utenti, meno è probabile che questi clicchino su link. Di contro gli utenti più giovani sono più predisposti a correre rischi sui social network. Come l’età diminuisce, così decresce il numero di utenti che operano una distinzione tra link provenienti da fonti conosciute e sconosciute.

Esiste comunque una leggera differenza nel modo con cui uomini e donne utilizzano Facebook e altri siti simili. Gli utenti maschi corrono più rischi nell’utilizzo di Facebook e, in maniera analoga agli utenti più giovani, non badano se un link proviene da una fonte conosciuta o sconosciuta. Le donne, invece, mostrano di essere più attente ai rischi dei social network e preferiscono cliccare solo su link che provengono dalla loro cerchia di amici.

Il testo completo dello Studio sulla sicurezza 2011 di G Data è disponibile in formato pdf a questo indirizzo . L’azienda di sicurezza, inoltre, distribuisce gratuitamente G Data CloudSecurity un plug-in compatibile con tutti i software antivirus gratuiti in grado di bloccare i siti dannosi prima che questi possano causare danni. Maggiori informazioni e download sul sito www.free-cloudsecurity.com/.

Fonte PCSELF

Kaspersky Lab: alcuni inviti a Google+ sono virus

Il nuovo social network di Google non ha ancora debuttato ufficialmente ma viene già sfruttato dai cyber criminali per infettare la rete. Stanno circolando falsi inviti ad iscriversi al social network e che nascondo in realtà un virus. E’ quanto dichiara Fabio Assolini, esperto di Kaspersky Lab, nel suo blog – www.securelist.com/en/blog/208188145/Google_fake_invites_malware.

Il falso invito arriva via mail con il brand Google e contiene i campi appositi in cui inserire nome ed e-mail personale. In realtà si tratta di un fake che costituisce una minaccia per gli utenti e per il loro computer. “I cyber criminali sfruttano spesso notizie di ampia diffusione per cercare di carpire l’interesse o la buona fede degli utenti in rete – afferma Assolini – Questa volta hanno sfruttato l’annuncio dei nuovi servizi di social network di Google”. Al momento il fake è stato rilevato in lingua portoghese.

Fonte PCSELF

G Data FakeAV Cleaner: la soluzione contro i falsi antivirus

G Data ha registrato un significativo aumento di falsi programmi antivirus, altrimenti noti come “Scareware”. Negli ultimi 15 mesi è stato registrato un incremento del 35% di questi programmi che non hanno alcuna funzione protettiva e, anzi, possono risultare molto pericolosi. Dopo l’installazione i falsi programmi antivirus notificano all’utente un infezione nel sistema, anche se il sistema potrebbe non essere attualmente infetto. Per “disinfettare” il Pc il programma offre dunque all’utente la possibilità di acquistare una versione completa del medesimo programma. G Data ora offre un programma di rimozione completamente gratuito, in grado di eliminare tutti i più comuni falsi programmi antivirus, scaricabile da questo indirizzo:

https://www.gdata.it/?eID=PushFile&dl=1a60458cc9%3AAFIIDQM%3D

“Lo sviluppo e la diffusione di Scareware è diventato un business molto profittevole. I falsi programmi antivirus hanno un doppio tornaconto per i cyber criminali: essi ricevono soldi da quegli utenti che acquistano una versione completa di questi loro inutili tool ed inoltre entrano in possesso dei dati delle carte di credito delle vittime. Peggio ancora: i falsi programmi antivirus mettono i criminali online in una posizione che permette loro di scaricare ulteriore malware nei computer delle vittime”, spiega Ralf Benzmüller, Head of G Data Security Labs. “Lo Scareware garantisce eccellenti guadagni alla community dell’e-crime. Questa tipologia di programmi, tra i quali potete trovare anche “WinHDD” è stata diffusa ampiamente nel corso degli ultimi dodici mesi.

Come installare G Data FakeAV cleaner:

È virtualmente impossibile rimuovere un programma Scareware da un sistema senza un tool esterno. Oltre a questo, le routine di programma di questi “System Tool” prevengono anche la rimozione di tipo manuale. G Data FakeAV Cleaner è tutto ciò di cui avete bisogno per rimuovere questi programmi dal vostro sistema. L’installazione consta di alcuni piccoli passaggi:

1) Scaricare G Data FakeAV Cleaner dal sito di G Data
2) Se viene scaricato su un Pc differente da quello che risulta infettato, il file di setup deve essere copiato sul Pc infetto.
3) Lanciare il file setup di G Data FakeAV Cleaner setup file. Il file si chiama “svchost.exe”.
4) Riavviare il computer per completare l’installazione

I consigli di G Data per evitare le infezioni causate dai falsi antivirus:

Per proteggere il Pc e i vostri dati G Data raccomanda di installare una completa soluzione per la sicurezza informatica che va aggiornata regolarmente ed abbia un filtro  http.

Scaricare software solo da affidabili siti di aziende o portali di download.
Sia il sistema operativo che il browser dovrebbero essere costantemente aggiornati.
Pensateci due volte prima di cliccare su un  link. Cliccare su un link potrebbe reindirizzarvi su un sito che distribuisce Scareware
Se ricevete un messaggio con un pop up, controllate attentamente la grammatica e la battitura. Se il pop up contiene evidenti errori grammaticali o di battitura ciò potrebbe essere sintomo di un tentativo di frode.

Visitate il G Data SecurityBlog per maggiori informazioni: http://blog.gdatasoftware.com/blog/article/fakeav-scams-do-not-stop.html

Fonte PCSELF

Malware, l’Italia è terza in Europa

Un altro primato italiano, in particolare di Roma, del quale il Belpaese e noi tutti avremmo fatto volentieri a meno. Secondo l’Internet Security Threat Report di Symantec, l’Italia è arroccata al terzo posto in fatto di malware. Roma, inoltre, è la quinta città al mondo (la prima in Italia) per numero di computer infetti utilizzati come “zombie”, ossia macchine sulle quali è installato codice malevolo (all’insaputa dei proprietari) controllate in remoto dal cyber crimine per lanciare attacchi informatici verso terze parti. Nella top five italiana, la Capitale è seguita nell’ordine da Milano, Cagliari, Arezzo e Torino.

Dal rapporto di Symantec emerge che l’Italia genera il 3% di tutto lo spam mondiale e il 5% di quello legato alle regioni Emea (Europa, Medio Oriente e Africa). Evidentemente i criminali hanno trovato terreno fertile visto che il 4% degli host che inviano posta elettronica indesiderata su scala mondiale e il 2% dei siti di phishing è localizzato nel nostro Paese.

Il report evidenzia inoltre l’aumento dei rischi legati alle piattaforme mobile (smartphone e tablet), che in un solo anno hanno visto emergere milioni di nuove minacce. Il malware più frequente nel segmento mobile è finalizzato al furto di informazioni, di identità e al superamento delle protezioni per le transazioni on line.