Continua l’attività di Gumblar e Sasfis
Fortinet, leader di mercato nella fornitura di soluzioni per la sicurezza di rete e leader mondiale nel campo delle soluzioni UTM (Unified Threat Management), ha annunciato che il report Threatscape di aprile 2010 segnala l’elevata attività di più botnet, ed esattamente Gumblar e Sasfis. Mentre Gumblar risulta al primo posto nell’elenco stilato da Fortinet dei 10 principali attacchi di rete, il ranking del botnet Sasfis è salito grazie a due dei suoi eseguibili presenti insistentemente nella lista dei 10 maggiori antivirus di Fortinet.
Come Bredolab, Sasfis è un botnet loader che segnala statistiche e recupera/esegue file al momento del check-in. Sasfis si distingue comunque per essere più innovativo e perché non utilizza la crittografia (tutte le comunicazioni vengono inviate tramite HTTP non crittografato). Ciononostante, Sasfis continua a diffondersi in modo aggressivo e in genere carica, tra gli altri file dannosi, trojan horse destinati alle attività di banking.
Le ulteriori principali minacce rilevate nel mese di aprile includono:
• Vulnerabilità Microsoft: la vulnerabilità di Internet Explorer MS.IE.Userdata.Behavior.Code.Execution (CVE-2010-0806) è stata la seconda attività di rete dannosa rilevata per il secondo report consecutivo. Nello stato zero-day, Fortinet ha osservato un attacco a questa vulnerabilità che ha installato il famigerato spy-trojan Gh0st RAT, uno strumento di amministrazione remoto completamente funzionante che esegue anche lo streaming di feed audio e video per webcam. I FortiGuard Labs hanno inoltre scoperto due vulnerabilità di danneggiamento della memoria in Microsoft Office Visio, che consentono all’autore di un attacco remoto di compromettere un sistema usando documenti dannosi. Le vulnerabilità vengono attivate durante l’apertura e il rendering di un file di Visio. L’autore di un attacco remoto può creare un documento dannoso che sfrutta una di queste vulnerabilità per compromettere un sistema.
• Vulnerabilità di Adobe Acrobat: i FortiGuard Labs hanno inoltre scoperto due vulnerabilità di danneggiamento della memoria in Adobe Reader/Acrobat, che consentono all’autore di un attacco remoto di compromettere un sistema usando documenti dannosi. Le vulnerabilità vengono attivate durante l’apertura e il rendering di un documento PDF. L’autore può creare un documento dannoso che sfrutta una di queste vulnerabilità per compromettere un sistema.
• Ransomware e Scareware sono ancora tra i virus più rilevati: non è una sorpresa, perché Scareware è costantemente presente da settembre 2008. Ransomware, d’altra parte, ha iniziato a farsi strada nel 2010 grazie agli incentivi dei programmi di affiliazione che producono un guadagno quando le vittime acquistano i prodotti fittizi.
• Lo spambot Cutwail sfrutta l’arruolamento di money mule: Fortinet continua ad osservare lo spambot Cutwail, attivo ormai da anni, che lancia varie campagne di spam per i suoi clienti. Lo spam inviato da Cutwail questo mese includeva di solito collegamenti dannosi a binari eCard o messaggi e-mail con binari allegati. Sono stati osservati vari argomenti ricorrenti per l’arruolamento di money mule nei messaggi di spam, cosa che dimostra una crescente domanda di lavoro sul mercato nero.
“I money mule sono essenzialmente veicoli per il riciclaggio di denaro sporco che i criminali cibernetici utilizzano per gestire e trasferire fondi illeciti”, ha detto Derek Manky, project manager dell’unità Cyber security and Threat Research di Fortinet.
“Il mule, o galoppino, riceve una commissione per l’esecuzione del trasferimento. Questi trasferimenti sono di solito eseguiti in lotti di 10.000 dollari al massimo. Le situazioni dei money mule sono prevalentemente mascherate da lavori in apparenza leciti, ad esempio la tenuta di un conto clienti. Se qualcosa sembra troppo bello per essere vero, di solito lo è”.