La morte di Michael Jackson scatena un’ondata di spam

Sophos, società leader a livello mondiale nel settore della sicurezza informatica,  mette in guardia gli utenti da messaggi di spam che, facendo leva sulla prematura scomparsa del mito della musica pop, fanno incetta di indirizzi e-mail di ignari utenti per poi farne uso in future campagne di spam.

Già a distanza di poche ore dalla morte del Re del pop, gli esperti di SophosLabs hanno assistito alla prima ondata di messaggi di spam che riportavano la triste notizia nell’oggetto e nel corpo della mail.

In questi messaggi gli spammer sostengono di essere in possesso di informazioni di vitale importanza sulla morte di Michael Jackson da condividere con il destinatario della mail. Gli esperti di Sophos fanno notare che il corpo del messaggio non contiene collegamenti di tipo call-to-action quali URL, indirizzo e-mail o numero telefonico, e il mittente è fasullo. Lo spammer, tuttavia, può facilmente raccogliere gli indirizzi e-mail dei destinatari attraverso un indirizzo e-mail gratuito @live.com, qualora gli utenti rispondano al messaggio.

“La prematura scomparsa di Michael Jackson ha scosso l’opinione pubblica internazionale, ma purtroppo questo genere di notizie con un forte impatto emotivo rappresenta il sistema ideale per raggirare gli utenti più vulnerabili”, ha dichiarato Walter Narisoni, Sales Engineer Manager di Sophos Italia. “Questi spammer fanno leva sulla curiosità degli utenti che rispondono ai loro messaggi fasulli. Se ne ricevete uno, non dovete far altro che cancellarlo”.

“I criminali informatici hanno sfruttato anche la recente scomparsa di Farrah Fawcett, star televisiva degli anni 70, per mettere in circolazione software antivirus fasulli, quindi raccomandiamo agli utenti di non abbassare la guardia. Gli imbonitori della Rete sconoscono le regole del buon gusto e della decenza. Il loro unico scopo è di guadagnare soldi a scapito di altri utenti”, ha concluso Narisoni.

Per maggiori informazioni, comprese le immagini dei messaggi di spam, visitare il blog di Graham Cluley (inglese).

Aggiornamento di sicurezza per Adobe Shockwave

Adobe, con il bollettino rilasciato lo scorso giovedì 23 giugno,  ha annunciato un aggiornamento che corregge una vulnerabilità riscontrata nel player Shockwave, in particolare per le versioni 11.5.0.596 e precedenti.

Non vengono date informazioni sulla vulnerabilità che viene classificata critica. Quello che è noto è che la falla può essere sfruttata per prendere il controllo da remoto del sistema vittima dell’attacco.

Adobe raccomanda gli utenti Windows di disinstallare il player Slockwave (versione 11.5.0.596 o precedenti), riavviare il sistema e installare la versione 11.5.0.600, disponibile a questo indirizzo.

Adobe da poche settimane ha adottato una politica di rilascio degli aggiornamenti simile a quella di Microsoft: le patch per i prodotti Adobe e Acrobat Reader saranno rilasciate ogni 3 mesi. Mentre per altri prodotti, come Flash e lo stesso Shockwave, saranno rilasciate ad-hoc, a seguito di gravi vulnerabilità.

Attenti al gossip su Berlusconi che diffonde malware

Gli utenti Internet dovrebbero aver imparato che quasi sempre ogni evento legato ad un personaggio pubblico è utilizzato dal cyber crimine per diffondere codice nocivo. Questa volta a veicolare il malware è lo scandalo nel quale è coinvolto il Premier italiano Silvio Berlusconi.

L’allarme è lanciato da Trend Micro che comunica di aver rielvato una mail di spam che invita gli utenti a visualizzare su YouTube un video che ritrarrebbe il Presidente del Consiglio in intimità con una escort.

Il video ovviamente è solo un pretesto. Fa presa sulla curiosità di qualche credulone che, spinto a visualizzare il filmato segnalato, scarica ed installa il codec richiesto. In realtà quello che viene scaricato è un file maligno chiamato wmpcodec.exe.

Il consiglio, naturalmente è sempre lo stesso: ignorare e cancellare immediatamente messaggi di questo tipo.

Fonte PCSELF.COM

Google sotto attacco

I cybercriminali infettano i risultati delle ricerche. Gli autori di malware usano il motore per contrabbandare programmi dannosi.

Negli ultimi giorni G Data ha rilevato un attacco su larga scala rivolto contro gli utenti del motore di ricerca Google. La procedura seguita dai cybercriminali è particolarmente astuta: una volta inseriti i dati per la ricerca si viene indirizzati su link manipolati cliccando sui quali l’ignaro utente scarica sul proprio Pc dei codici maligni camuffati in vario modo. Ad esempio alcuni scaricano malware sotto forma di video codec, mentre ad altri vengono offerti falsi programmi di protezione antivirus. Secondo le ricerche condotte da G Data Security Labs il server da cui è partito questo attacco si trova in India

L’attuale ondata di attacchi è rivolta innanzitutto agli utenti che sono alla ricerca di siti dal contenuto pornografico. G Data comunque ipotizza che questo trend potrebbe cambiare a breve spostando il focus su utenti appassionati di sport, automobili piuttosto che interessati ad offerte di lavoro.

Ralf Benzmüller, Manager di G Data Security Labs: “Durante gli ultimi giorni abbiamo notato un deciso aumento di risultati pericolosi derivanti dalle ricerche effettuate con Google. Circa il 10% dei messaggi di allarme erano correlati in maniera diretta o indiretta a risultati di ricerca manipolati. Con l’attuale ondata di attacchi, basta soltanto un click sul sito sbagliato per cadere nella trappola. Solo se i dati Http vengono vagliati prima che il sito venga visualizzato il proprio Pc può dirsi protetto.”

Trucchi usati dai cybercriminali

I cybercriminaly tentano di contrabbandare codici maligni sostituendo il testo con numeri esadecimali. In questo modo il browser può ancora processare il codice liberamente e senza nessun problema. Per gli utenti e per i motori di ricerca si tratta comunque di qualcosa di illeggibile. In questo modo i criminali riescono a bypassare I filtri di Google. Il codice esadecimale contiene un codice HTML nascosto che viene inserito nella pagina web risultato della ricerca. Se un utente clicca sul risultato della ricerca si apre il sito desiderato, ma con l’aggiunta di uno script che proviene da un dominio Indiano. I link così manipolati vengono inseriti dai criminali su blog, forum o siti hackerati e questo consente loro di avere un elevato rating tra  i termini più ricercati nei vari motori di ricerca.

Per fare un esempio sembra che un sito poco utilizzato di un’università Americana sia stato manipolato in modo che alcuni termini di ricerca appaiano nelle prime posizioni dei risultati dei vari motori

Il codice di script downloadato dal sito internet indiano è allo stesso modo molto mascherato. Ci troviamo, infatti, di fronte a un variegato ventaglio di modalità . Dai test effettuati dai G Data Security Labs è stato evidenziato come l’infezione si propaghi attraverso file in flash, finti codec video e falsi software antivirus. Tutte queste diverse tipologie, comunque, portano a un medesimo risultato con il download dello stesso malware.

Misure di protezione:

Gli utenti G Data sono protetti fin dall’inizio conctro queste minacce. Si raccomanda comunque di adottare alcune semplici contromisure:

1. Mantenere aggiornato il proprio antivirus e il sistema operativo

2. Assicurarsi che il contenuto web sia verificato dal software antivirus prima che esso venga visualizzato nel browser

3. Disattivare JavaScript nel browser

4. Non navigare con i diritti di amministratore

Autore: Massimo Nicora

Fonte: G DATA Security Labs

Net Nanny 6.0

Net Nanny è un software che si occupa di regolare l’accesso ad Internet e proteggere in modo molto efficace i minori dai pericoli della rete. E’ infatti sempre più frequente che i piccoli si imbattano in contenuti inadatti in grado di trascinarli nel sottobosco del Web tra immagini e rischi per la loro sicurezza. Net Nanny è sulla breccia da parecchi anni, può essere definito un pioniere in tal senso, avendo acquisito parecchia esperienza nella gestione dei contenuti inappropriati.

Net Nanny fa uso di un database di siti conosciuti ed abbina a tale tecnica una serie di tecnologie che permettono di avere un ottimo livello di protezione. Permette di attivare il blocco o lo sblocco di accesso ai siti potenzialmente pericolosi inserendo una password in modo molto efficace. Ma Net Nanny non monitora solo la navigazione sul Web, protegge anche le conversazioni effettuate via instant messenger o l’accesso a Facebook. Se nel corso di una chat rileva domande inappropriate, il programma inizia a registrare la conversazine ed è in grado di inviare una segnalazione, con tutti i dati rilevati, al genitore.

Altrettanto efficiente è il sistema di controllo dei videogiochi, basato sulle classificazioni ESRB. Net Nanny permette di disattivare l’accesso ai giochi in base all’età o sulla base di caratteristiche motivate, indipendentemente dall’età. Ovviamente Net Nanny permette anche di programmare i tempi di accesso ad Internet, stabilendo il giorno e l’ora.

Recensione completa e download

iPhone OS 3.0: risolte 46 vulnerabilità

L’aggiornamento software per l’iPhone rilasciato venerdi scorso da Apple, oltre ad una serie di funzionalità per avvicinare le vecchie versioni del dispositivo mobile alla nuova versione in arrivo sui mercati internazionali, ha introdotto anche importanti patch per la sicurezza del prodotto.

La nuova versione corregge 46 diverse vulnerabilità dei software che mettevano a rischio l’intero dispositivo, per minacce esterne sfruttabili da bug presenti all’interno delle varie applicazioni di sistema.

Parecchie vulnerabilità corrette potevano consentire l’esecuzione di codice malevolo nel momento in cui semplicemente un utente visitava un sito Internet pericoloso o visualizzava un’immagine appositamente manipolata.

L’aggiornamento pone rimedio ad alcune falle in CoreGraphics, ImageIO, Mail, nel browser Safari e in WebKit. Inoltre, sono stati risolti dei bug presenti in IPSec, libxml, il codec video MPEG-4, Profiles e Telephony.

Tutti gli utenti in possesso di un iPhone possono effettuare l’aggiornamento direttamente attraverso il software iTunes.

Rapidshare e i servizi di file hosting nel mirino della malware-mafia

Nelle ultime settimane G Data ha registrato  un sensibile incremento di file infetti originati dai cosiddetti one-click host. Secondo quanto rilevato, i criminali stanno facendo leva su servizi legali per scaricare file più popolari come Rapidshare. Di solito vengono creati dei link che rimandano a file infetti in forum piuttosto che su siti di social network. La maggior parte di questi offre tool completamente gratuiti. Attraverso questo sistema i criminali riescono a by-passare i filtri basati sul concetto di “reputazione” che inseriscono i website in “white” o “black” list. I servizi di file hosting non rientrano nelle black list e quindi non vengono bloccati. Il ventaglio di malware diffuso attraverso questo sistema è decisamente vario: ci sono backdoor, sniffer, downloader come pure diverse tipologie di Trojan e worm.

Ralf Benzmueller, Manager of G Data Security Labs: “Non è solo Rapidhsare che è stato infettato. Anche molti altri servizi di file hosting come mediafire.com, uploaded.to e uploading.com vengono utilizzati per diffondere malware. Spesso questi file vengono pubblicizzati come l’ultima versione di un software piuttosto che come i tool più aggiornati o software “craccato”. Il rischio è elevatissimo. Di solito gli utenti Internet non dovrebbero essere ingannati da un falso senso di sicurezza, perfino quando la fonte è un rinomato servizio di file hosting.”

I motivi essenziali per distribuire malware attraverso servizi di file hosting deve essere analizzato da un duplice punto di vista, tecnico ed economico:

1.    L’upload di codici dannosi è per la maggior parte anonimo e i siti che offrono questo servizio offrono grande spazio e capacità online. Inoltre questi siti sono un modo semplice ed efficiente per distribuire malware.

2.    Questo sistema permette di evitare il controllo operato dai filtri URL che si basano sulla gestione di “white” e “black” list e quindi sulla reputazione stessa dei siti web. Vista la loro enorme popolarità questi siti di file hosting non sono inseriti in black list.

Fonte

G DATA

G Data: Top 5 malware e virus Maggio 2009

In Maggio il panorama del malware è stato ancora dominato dalla presenza di Trojan che hanno comunque subito una significativa flessione. Lo dimostrano gli ultimi dati provenienti dai G Data Security Labs secondo cui il 31,2% (-5,8% rispetto al mese di Aprile) del malware registrato nell’ultimo mese è costituti proprio da Trojan che hanno però subito una flessione a favore dei Downloader che si collocano al secondo posto della classifica passando dal 20,1% di Aprile all’attuale 25,6%. Seguono nell’ordine Backdoor, Spyware e Adware-

La ricerca di G Data ha analizzato 91.691 tipologie di malware e da qui è stata stilata la classifica delle 5 categorie di più diffuse

Top 5 malware

Le varie tipologie di malware sono state categorizzate in base al loro meccanismo di diffusione e alla tipologia dei danni provocati.

1. Trojan: 31,2% (-5,8%)

I Trojan (Cavalli di Troia) sono un tipo di malware le cui funzionalità sono nascoste all’interno di un programma apparentemente utile per l’utente. È dunque lo stesso utente che, installando un determinato programma, installa inconsapevolmente anche questo codice maligno che provoca danni al sistema. I Trojan non hanno una dinamica di propagazione propria, come virus e worm, ma sono solitamente inviati via e-mail o diffusi attraverso il file sharing o siti Internet.

2.  Downloader: 25,6% (+5,5%)

Il Downloader è un tipo di malware che, come il nome stesso indica, scarica in maniera automatica dei file dannosi da Internet che, di norma, cercano subito di inficiare le impostazioni di sicurezza del Pc.

3.  Backdoor: 13,8% (13,8%)

I Backdoor sono paragonabili a porte di servizio che consentono di superare, in parte o in tutto, le difese di un Pc che così può, di conseguenza, essere controllato da un hacker per via remota. La maggior parte delle volte viene installato un particolare tipo di software e il Pc viene integrato in una Botnet costituita da Pc cosiddetti “zombie” che vengono quindi utilizzati per distribuire spam, rubare dati o eseguire attacchi di tipo DDoS.

4.  Spyware: 13,6% (=)

Gli Spyware sono un tipo di malware il cui fine principale è quello di rubare le informazioni personali dal Pc degli utenti. Queste informazioni includono tutti i tipi di dati personali tra cui password, dati per account bancari o addirittura dati di login per i videogiochi online.

5.  Adware: 4,9% (-0,2%)

Gli Adware registrano le attività e i processi di un Pc tra cui, ad esempio, il comportamento degli utenti in rete. Se si presenta un’opportunità adatta, vengono quindi mostrati messaggi pubblicitari mirati. In altri casi, invece, vengono manipolati i risultati delle ricerche sul web in modo che la vittima sia indirizzata su certi prodotti o servizi che possano fruttare denaro a chi ha diffuso il malware. In moltissimi casi questo avviene senza che l’utente se ne renda conto.

Top 5 famiglie di virus

Basandosi sulle somiglianze a livello di codice, il malware può essere diviso in varie “ famiglie”:

1.  Stuh: 4,4%

I Cavalli di Troia della famiglia Stuh sono capaci di agganciarsi ai processi in atto sovrascrivendo determinate aree di memoria. Questo Trojan colpisce, tra gli altri, Internet Explorer, i driver di rete o addirittura anche certi processi del tool di virtualizzazione VMWare.

In questo modo il codice maligno è in grado di manipolare il traffico di rete o perfino di registrare gli input durante la digitazione sulla tastiera del sistema infetto.

Oltre a ciò, il servizio di update automatico di Windows viene disabilitato e il registro di sistema manipolato in modo tale che il software maligno venga caricato ad ogni avvio di sistema.

2.  Fraudload: 3,9%

La famiglia Frauload contiene un grande numero di varianti del cosiddetto “scareware”, una serie di programmi che si presentano all’utente sotto le vesti di un software di sicurezza o un tool si sistema. Alle vittime viene solitamente detto che il proprio sistema è infetto e che per risolvere questo problema è necessario acquistare la versione “full” del software antivirus proposto. Per effettuare la transazione si viene indirizzati su siti fasulli dove è necessario fornire gli estremi della propria carta di credito.

Le infezioni vengono solitamente trasmesse attraverso falle di sicurezza presenti nel sistema della vittima o attraverso applicazioni software vulnerabili. Ma ci sono altri metodi di attacco che invitano gli utenti a visitare determinati siti internet con la promessa di video erotici e news dell’ultimo minuto. Per vedere questi video viene richiesto di norma l’istallazione di un particolare codec che contiene software infetto.

3.  Monder: 4,9%

La numerose varianti di Monder sono essenzialmente dei Trojan che manipolano le impostazioni di sicurezza sui sistemi infettati rendendoli così suscettibili di ulteriori attacchi. Un’infezione aggiuntiva può avere luogo anche attraverso Adware, soprattutto tramite falsi software di sicurezza. Alla vittima viene di norma raccomandato di fare una scansione del proprio sistema con il suggerimento di eliminare le infezioni acquistando la versione “full” del presunto software per la sicurezza immettendo i dati della propria carta di credito su uno sito web creato appositamente.

4.  Autorun: 2,7%

Alcune parti dei software maligni della categoria Autorun sfruttano periferiche removibili come le chiavi USB o gli Hard Disk esterni per diffondersi.

La funzione di Autorun che è inclusa nei più comuni sistemi operativi Microsoft è spesso sfruttata per trasmettere software maligni nel sistema delle vittime.

Attraverso un’intelligente manipolazione delle icone grafiche che appaiono nel menu di Autorun dopo che è stato connesso al Pc un media removibile, le vittime sono indotte con l’inganno a lanciare il codice maligno. Per esempio, il primo oggetto di un menu mostra l’icona di una cartella che si supponga debba contenere la struttura di una directory, mentre invece è deputata a lanciare un file eseguibile maligno.

5. Buzus: 2,7%

I Trojan della famiglia Buzus esaminano il sistema delle ignare vittime alla ricerca di dati personali o informazioni di log in per carte di credito, online banking, mail o Ftp. Inoltre cercano di modificare le impostazioni di sicurezza del sistema per renderlo ancora più vulnerabile.

Antivirus gratis

Aggiornamento di sicurezza anche per Adobe

Patch di sicurezza anche per Adobe che pone rimedio a 13 vulnerabilità relative a Reader 9.1.1, Acrobat 9.1.1 e versioni precedenti. “Queste vulnerabilità – si legge nel bollettino di Adobe – potrebbero causare il crash dell’applicazione e potenzialmente consentire ad un aggressore di prendere il controllo di un sistema vulnerabile”.

L’aggiornamento si rende indispensabile anche a fronte della segnalazione di G DATA secondo cui si stanno utilizzando falle di sicurezza del plugin di Adobe per infettare i Pc via browser. Stando a quanto riportato dalla nota società esperta in sicurezza, centinaia di domini web dai nomi decisamente espliciti, contengono frame che puntano a un documento Pdf dannoso collocato su un server cinese che distribuisce malware e che viene caricato automaticamente nella configurazione standard dei browser più comuni non appena il visitatore richiama la pagina.

Con questo patch day, Adobe avvia gli aggiornamenti di sicurezza su base trimestrale. Verranno distribuiti il secondo martedi del mese, contestualmente ai tradizionali bollettini di Microsoft.

Microsoft: un antivirus gratis per tutti

Sono mesi che se ne parla. Ora la notizia sembra avere più che un fondamento: Morro (nome in codice del prodotto), l’antivirus gratuito di Microsoft è in avanzata fase di test interno e il suo rilascio sembra pianificato per la seconda parte del 2009. Sono molti a pensare alla data del 22 0ttobre insieme a Windows 7. Sostituirà Live OneCare, la suite per la protezione a pagamento lanciata dal colosso del software qualche anno fa rivelatasi un grande insuccesso commerciale. Sarà in grado di proteggere da ogni tipo di malware: virus, rootkit, trojan e spyware.

Le aziende concorrenti sul piano della sicurezza non sembrano affatto preoccupate, ritenendo la nuova creatura di Microsoft una riedizione rimescolata di Live OneCare che cesserà di essere distribuito il prossimo 30 giugno.

Per non crearsi problemi con l’antitrust, Microsoft ha deciso di non distribuire Morro con i sistemi operativi. Andrà scaricato come un’applicazione a parte. Il nuovo antivirus andrà ad integrarsi agli altri pacchetti già inclusi in Vista e nel futuro Windows 7, come Windows Firewall e Windows Defender.

Antivirus gratis