[section_title title=Il mercato dei malware]
McAfee ha evidenziando in un recente Report il ruolo essenziale “web oscuro” dell’industria del malware nel favorire gli attacchi ai POS (point-of-sale) di alto profilo e nelle violazioni di dati accadute nell’autunno del 2013. Il report, inoltre, mette in luce la crescente facilità di acquisto on-line di malware indirizzato ai POS, oltre alla vendita dei numeri di carte di credito rubate e altri dati personali on-line. Nel corso del 2013, McAfee ha visto anche triplicare il numero di campioni di malware con firma digitale, spinto soprattutto da un grande utilizzo di reti di distribuzione di contenuti automatizzate (CDN), in cui si nascondono codici dannosi all’interno di firme digitali di installatori altrimenti legittimi. Questo trend in crescita potrebbe rappresentare una minaccia significativa per l’autorità di certificazione di lunga tradizione (CA), solitamente utilizzata per l’autenticazione del software “sicuro”.
Una disamina dettagliata delle violazioni di dati di alto profilo di carte di credito verificatesi durante il quarto trimestre dello scorso anno ha portato alla luce che il malware POS utilizzato negli attacchi era dal punto di vista della tecnica relativamente poco sofisticato, probabilmente acquistato “a scaffale” dalla community Cybercrime-as-a -Service, e specificatamente personalizzato per questo tipo di attacchi. Continuando a esplorare i mercati sotterranei cosiddetti “dark web”, McAfee ha identificato il tentativo di vendita di numeri di carte di credito rubate e informazioni personali la cui compromissione era già nota precedentemente. I ricercatori hanno scoperto vendite di alcuni dei 40 milioni di numeri di carte di credito rubate suddivisi in lotti da 1 milione o 4 milioni alla volta.
A fine 2013, McAfee ha visto triplicare la presenza di malware firmato digitalmente all’interno del proprio database, arrivando a più di 8 milioni di file sospetti. Nel solo quarto trimestre sono0 stati trovati più di 2,3 milioni di nuove applicazioni firmate dannose, pari a un aumento del 52% rispetto al trimestre precedente. La pratica di firma del codice del software è una convalida dell’identità dello sviluppatore che ha prodotto il codice e assicura che tale codice non sia stato manomesso dopo il rilascio del suo certificato digitale. Sebbene il numero totale di campioni di malware firmati includa certificati rubati, acquistati o abusati, la maggior parte dell’aumento è dovuto alle CDN dubbie. Si tratta di siti web e in cui le aziende consentono agli sviluppatori di caricare i propri programmi, o di una URL che rende disponibile un’applicazione esterna tramite cui viene aggiunta la firma al programma.
Il team di McAfee avverte infine che il crescente numero di file dannosi firmati potrebbe creare confusione tra gli utenti e gli amministratori, e anche mettere in discussione la continua vitalità del modello di CA per la firma del codice.
“L’espansione delle CA e delle CDN ha abbassato drasticamente i costi di sviluppo e rilascio di software per gli sviluppatori, e parallelamente si sono alleggerite le norme per qualificare l’identità di chi lo pubblica – ha dichiarato Weafer vice president senior di McAfee – Dovremo imparare a fidarci di più della reputazione di chi ha firmato il file, e meno della semplice presenza di un certificato.”
Per leggere i risultati relativi al quarto trimestre del 2013 consultare la pagina successiva
Per leggere invece il Report (in inglese) cliccare QUI
