Check Point Software Technologies pubblica l’ultima release del Threat Index, ad aprile sono state evidenziate campagne malware mobile contro Android, iOS e Windows. Nel nostro paese, il tasso di infezioni è cresciuto vertiginosamente, infatti l’Italia è Paese che ha registrato più attacchi informatici in Europa, dopo Macedonia e Serbia (31esima posizione a livello mondiale). Nel Bel Paese la minaccia più temibile resta Conficker, il malware per PC che inizialmente attaccava partendo da Facebook e Skype, e che trasforma il computer in una bot; continua a diffondersi HummingBad, il malware che colpisce Android e installa un rootkit che lo rende il padrone del dispositivo mobile. Il terzo posto va a un’altra minaccia in agguato contro gli utenti italiani di Windows, Dorkbot: anche in questo caso, il PC viene trasformato in una bot, e invierà spam, ruberà informazioni riservate e sferrerà attacchi DDoS contro le sue vittime.
Check Point ha individuato 2.000 diverse varianti di malware il mese scorso, con un aumento superiore al 50% rispetto al mese precedente. I dati rivelano una vasta gamma di minacce che le reti delle organizzazioni devono affrontare, e le sfide che i team di sicurezza informatica devono considerare, quando cercano di prevenire un attacco alle informazioni riservate della propria azienda. Tra le principali vi sono:
• XcodeGhost, una versione compromessa della piattaforma di sviluppo Apple Xcode, che è ancora una minaccia imminente per i dispositivi mobili delle aziende, anche se Apple l’ha eliminato dall’AppStore nel settembre 2015. In generale, gli attacchi verso iOS, per la prima volta, si sono posizionati tra i primi tre classificati tra i malware più comuni per i dispositivi mobili. • ll malware per Android HummingBad è ancora nella top 10 degli attacchi. Nonostante sia stato scoperto dai ricercatori di Check Point soltanto lo scorso febbraio, in breve tempo è diventato molto frequente, dimostrando che gli hacker vedono i dispositivi mobili Android come una falla di debolezza nella sicurezza delle aziende, e come bersagli potenzialmente ad alta resa.
In generale, in aprile, la variante predominante è stata Conficker, responsabile del 17% di tutti gli attacchi riconosciuti; Sality è stato responsabile del 12% degli attacchi; e Zeroaccess del 6%. Le 10 varianti più diffuse sono le protagoniste di più della metà di tutti gli attacchi riconosciuti:
1. ↔ Conficker – Worm che consente operazioni da remoto e download di malware. Le macchine infettate da Conficker vengono controllate da una botnet, che contatta il server Command & Control, pronta a ricevere istruzioni. 2. ↔ Sality – Virus che permette di eseguire operazioni da remoto e download di altri malware nei sistemi infetti. Il suo obiettivo principale è insidiarsi in un sistema, quindi fornire gli strumenti per il controllo da remoto, e installare ulteriori malware. 3. ↑ Zeroaccess – Worm che colpisce le piattaforme Windows, consentendo operazioni da remoto e download di malware. Si basa su un protocollo peer-to-peer (P2P) per scaricare e caricare nuove componenti malware, da peer remoti.
Le tre varianti di malware contro i dispositivi mobili più diffuse in aprile sono state:
1. ↔ HummingBad – Malware Android che istalla un rootkit persistente sul dispositivo, oltre a applicazioni fraudolente e, con poche modifiche, potrebbe innescare altre attività malevole, come l’installazione di key logger, il furto di credenziali, e scavalcare i sistemi di crittografia delle email utilizzati dalle aziende. 2. ↑ Iop – Malware Android che consente di installare applicazioni e che visualizza pubblicità eccessiva utilizzando l’accesso root del dispositivo mobile. La quantità di annunci e applicazioni installate rende difficile per l’utente continuare a utilizzare il dispositivo come al solito. 3. ↔ XcodeGhost – Una versione compromessa della piattaforma di sviluppo iOS Xcode. Questa versione non ufficiale di XCode è stata alterata, e inietta codice malevolo in tutte le app che sono state sviluppate e assemblate basandosi su questo servizio. Il codice iniettato invia le informazioni sull’app a un server C&C, consentendo all’app infetta di leggere la clipboard del dispositivo.
