Nel primo semestre 2018 diminuisce l’impatto dei file eseguibili. Le minacce più rilevanti lo scorso anno sono già uscite dalla top ten

Italia in vetta alla classifica del Malware

Secondo le ultime analisi dei G DATA Security Labs, lo sviluppo dei moderni malware e il loro utilizzo è soggetto a forti fluttuazioni, proprio come il settore IT nel suo insieme. Nove delle dieci minacce malware più comuni lo scorso anno per gli utenti PC non figurano nella top ten di quelle relative alla prima metà del 2018. Gli attacchi vengono lanciati sempre più spesso da siti web e non solo tramite file eseguibili, come avveniva in passato.

“Tradizionalmente, il malware si propagava principalmente attraverso file eseguibili. Innegabile tuttavia l’aumento significativo degli attacchi perpetrati via web, alcuni dei quali non richiedono alcun file”, afferma Ralf Benzmüller, portavoce esecutivo dei G DATA Security Labs. “Anche gli attacchi tramite macro in documenti di office sono comuni e incoraggiano gli utenti a interagire. Il costante incremento della rapidità con cui vengono sviluppati nuovi malware comporta la necessità che gli utenti possano proteggersi in modo completo solo con tecnologie proattive.”

Alcune statistiche

I G DATA Security Labs raccolgono informazioni statistiche attraverso la Malware Information Initiative (MII), uno strumento che consente agli utenti G DATA di trasmettere volontariamente alla società dati sulle minacce identificate ed evitate. Ciò permette un’analisi più accurata dei campioni correnti rispetto alle minacce attualmente attive.

Il predominio del “Cryptojacking”

Il cryptojacking, ossia l’estrazione di criptovalute, solitamente Monero, all’insaputa degli utenti – è stato particolarmente significativo nella prima metà dell’anno. Soprattutto nel primo trimestre di quest’anno, i cryptominer sono stati nascosti su numerosi siti Web, che scaricano gli script sul computer dell’utente cagionando un elevato carico del processore. In alcuni casi, tuttavia, le funzioni di mining possono essere trovate anche in file eseguibili come il gioco Abstractism inizialmente fornito su Steam ma poi rimosso. Poiché non è sempre chiaro se, magari sorvolando sulle clausole presentate durante l’installazione, gli utenti abbiano accettato o meno la conduzione di attività per la generazione di criptovalute, G DATA classifica il criptomining in parte come malware – se l’intenzione è chiaramente fraudolenta – e in alcuni casi come “Programma potenzialmente indesiderato” (PUP). In Italia, nel primo semestre 2018, le applicazioni malevole per minare criptovalute non solo hanno occupato ben sei posizioni nella top 15 dei malware più ricorrenti, ma hanno rappresentato circa un quinto dell’intero volume di software dannosi rilevati nel primo semestre 2018.

Particolarmente interessante dal punto di vista tecnico: sempre più spesso, il malware utilizza funzioni di sistema Windows meno conosciute per eseguire comandi dannosi con script a riga di comando. Ad esempio, i ricercatori G DATA sono stati in grado di utilizzare la rilevazione euristica dei campioni di malware Voiv per bloccare numerosi attacchi che utilizzano attività pianificate in Windows per apportare modifiche al sistema. Il malware si traveste etichettandosi come processo relativo al browser. A seconda della variante, vengono eseguiti diversi tipi di codice tramite i motori di scripting, tra cui quelli per aggiornare il malware o caricare moduli malware aggiuntivi. Dato che non vengono salvati file sul disco rigido della vittima, le soluzioni antivirus devono avvalersi di altri metodi per identificare il software dannoso.

Problemi di sicurezza cronici

Il plugin Flash di Adobe è tristemente noto per i suoi cronici problemi di sicurezza. Una vulnerabilità identificata ancora nel 2017 (CVE-2017-3077) si è classificata al settimo posto nella top 10 delle minacce più evitate tra gli utenti G DATA su scala globale. In questo caso, un’immagine PNG manipolata è stata utilizzata per introdurre codice dannoso nel computer degli utenti e sfruttare le vulnerabilità. Una volta creata la testa di ponte per la conduzione dell’attacco, è possibile caricare ulteriore malware sui PC infetti. G DATA consiglia di interrompere l’uso di Adobe Flash Player e di disinstallarlo. Se non è possibile privarsi di tale software è consigliabile installare immediatamente gli aggiornamenti disponibili.

Gamer, state all’occhio!

Malware generici nascosti in giochi craccati rivestono la quarta e l’ottava posizione tra le minacce più spesso rilevate su scala globale. I cybercriminali nascondono spesso il loro malware nei giochi, non solo per computer Windows, per sfruttare l’inconsapevolezza di molti bambini verso potenziali minacce.

Nel processo di rilevamento dei programmi potenzialmente indesiderati (PUP), oltre ai miner di Monero, vanno annoverati anche i programmi che manipolano le impostazioni del browser senza farne richiesta esplicita all’utente, apportando ad esempio modifiche alla pagina iniziale o al motore di ricerca preimpostato o installando fastidiose barre degli strumenti. “Open Candy” e il framework “Mindspark”, principalmente nascosti in applicazioni per l’installazione di freeware, sono noti da anni in tale ambito. Tali minacce sono ancora ampiamente diffuse. In Italia, nel primo semestre 2018, Open Candy ha rappresentato l’1,5% dell’intero volume dei software sgraditi intercettati dalle soluzioni di sicurezza G DATA. Interessante anche l’evoluzione dei PUP, ad esempio Win32.Application.DownloadGuide.T riconosce persino le macchine virtuali, nel qual caso tenta di bypassare il rilevamento da parte dei programmi antivirus agendo in modo meno aggressivo.

Frequenza degli attacchi in leggero calo

In generale l’incidenza degli attacchi rilevati nel primo semestre 2018 risulta leggermente inferiore rispetto allo stesso periodo dello scorso anno. Le statistiche mostrano tuttavia che la natura e l’intensità degli attacchi varia notevolmente da un Paese all’altro. La maggior parte delle infezioni da malware e PUP rilevate nella prima metà del 2018 sono state riportate dalla Turchia, con cifre molto superiori a quanto riportato dal Paese collocatosi al secondo posto: Israele. In Turchia, le soluzioni di sicurezza G DATA hanno principalmente prevenuto le infezioni derivanti da strumenti impiegati per craccare i software Microsoft. I numeri variano anche nell’Europa continentale. Nel primo semestre i tentativi di infezione tramite malware rilevati in Italia si sono attestati al 31,5% del totale, un valore che colloca l’Italia al terzo posto dopo Olanda (46,6%) e Francia (35,4%). In Belgio invece il malware ha rappresentato l’11,5% dei software dannosi rilevati, con una presenza di PUP dell’88,5% sul totale (cfr. Italia 68,5%).

Anche lo sviluppo di nuovi campioni di malware è diminuito leggermente nel primo semestre dell’anno rispetto all’anno precedente. In totale, i G DATA Security Labs hanno classificato 2.396.830 nuovi campioni come nocivi. In media, ogni giorno sono stati rilevati circa 13.000 nuovi campioni di malware, 9 al minuto. Benzmüller commenta le cifre: “Prevediamo che il numero di nuovi malware subirà un leggero aumento nella seconda metà dell’anno. Con molta probabilità il 2018 non sarà un anno da record in termini di creatività, ma i singoli attacchi stanno diventando sempre più sofisticati e mirati.”