Integrazione di famiglie di malware su botnet a livelli superiori alla norma
Symantec ha annunciato la pubblicazione del MessageLabs Intelligence Report di febbraio 2011. L’analisi ha rilevato che in febbraio una mail su 290.1 (0,345%) aveva contenuti malevoli, fatto che ha reso febbraio uno dei periodi più prolifici sia in termini di attacchi simultanei che in termini di integrazione di famiglie malware su Zeus (meglio conosciuto come Zbot), Bredolab e SpyEye. Anche in febbraio sono state registrate più di 40 varianti malware legate al Trojan Bredolab, almeno il 10,3% delle email contenenti malware bloccate da MessageLabs Intelligence in febbraio. Questi ultimi dati rivelano che contrariamente a quello che si pensava, Bredolab non sta morendo e le tecniche precedentemente associate al malware Bredolab stanno diventando sempre più popolari tra altre famiglie più importanti di malware.
A partire da fine gennaio, MessageLabs Intelligence ha registrato un volume considerevole di attacchi collaborativi che sfruttano tecniche di organizzazione temporale e di personalizzazione per target specifici. Dall’inizio di febbraio, gli attacchi sono cresciuti a livello numerico e queste famiglie di malware sono state utilizzate in maniera aggressiva per condurre degli attacchi simultanei attraverso tecniche di propagazione, fatto che fa pensare ad un’origine comune di queste e-mail infette.
“Sembra che questi attacchi si alternino tra quelle che in passato erano diverse famiglie di malware,” ha dichiarato Paul Wood, MessageLabs Intelligence Senior Analyst. “Per esempio, un giorno era dedicato alla diffusione principalmente delle varianti di Zeus (meglio conosciuto come Zbot), mentre il giorno seguente veniva dedicato alla diffusione di varianti di SpyEye. A partire dal 10 Febbraio, questi attacchi si sono ulteriormente moltiplicati e sono stati propagati simultaneamente con ogni famiglia di malware che utilizzava il proprio pacchetto polimorfe per eludere i tradizionali sistemi antivirus.”
Nonostante la maggior parte degli attacchi fosse riconducibile a Zeus e SpyEye, molti di questi avevano degli aspetti in comune con il ben noto Trojian Bredolab, fatto che sta ad indicare che alcune delle funzionalità legate a Bredolab sono state utilizzate anche da Zeus e SpyEye. Tutti questi attacchi hanno utilizzato un allegato ZIP che conteneva un file eseguibile con il codice malevolo. A febbraio, l’1,5% del malware bloccato comprendeva archivi ZIP allegati e da ulteriori analisi è emerso che il 79,2% di questi era collegato all’ultima ondata di attacchi di Bredolab, Zeus e SyeEye.
“Durante le prime due settimane di febbraio, MessageLabs Intelligence ha identificato almeno quattro diversi motori polimorfi utilizzati da server-side packers per modificare la struttura del codice dei malware Zeus, Bredolab e SpyEye e per incrementare il numero di varianti di ciascuno di essi,” ha dichiarato Wood. “Considerando le difficoltà tecniche di mantenimento di questi motori polimorfi e che ognuno di essi evolve rapidamente per generare un gran numero di varianti attraverso queste tre famiglie, questa è la prima volta che MessageLabs Intelligence ha identificato dei malware che collaborano a livello tecnico con questi volumi e con questo grado di collaborazione.”
Nello scorso anno, i file eseguibili malevoli sono cresciuti in termini di frequenza assieme ai file PDF, il format file più popolare per la diffusione dei malware. I PDF sono la tipologia di file più utilizzata come vettore di attacco. Nel 2009, approssimativamente, il 52,6% degli attacchi mirati ha utilizzato i PDF, mentre nel 2010 la percentuale è salita del 12,4% raggiungendo il 65%. Nonostante una flessione nel corso di questo mese, se il trend continuasse come lo scorso anno, il 76% dei malware mirati potrebbe essere veicolato tramite file PDF entro la metà del 2011.
“Gli attacchi mirati basati su PDF sono destinati a rimanere una realtà e prevediamo un peggioramento della situazione se consideriamo che i creatori di malware continuano a lavorare su aggiornamenti, costruzioni e confusione delle tecniche necessarie per questo tipo di malware,” ha dichiarato Wood.
Ulteriori highlights del report:
Spam: In febbraio, la percentuale di spam globale nel traffico email proveniente da fonti malevoli nuove e sconosciute è stato dell’81,3% (1 su 1,23 email), con un incremento del 2,7% rispetto al mese di gennaio.
Virus: In febbraio, la quantità di virus presenti in email provenienti da fonti malevoli nuove e sconosciute è stata di 1 su 290 email (0,345%), con un incremento del 0,7% rispetto al mese di gennaio. Mentre il 63,5% dei malware presenti in email conteneva link a siti malevoli, con una diminuzione del 1,6% rispetto al mese precedente.
Minacce per gli endpoint: Le minacce per dispositivi quali laptop, pc e server possono attaccare una azienda in diversi modi, inclusi gli attacchi provenienti da siti compromessi, Trojan e worm che si diffondono copiando se stessi da drive rimovibili. L’analisi dei malware bloccati con maggiore frequenza nell’ultimo mese rivela che il virus Sality.AE è stato quello più diffuso. Sality.AE si propaga infettando file eseguibili e cercando di effettuare il download da Internet di file potenzialmente malevoli.
Phishing: In febbraio, 1 mail su 216,7 conteneva attività di phishing (0,462%), con un incremento del 0,22% rispetto al mese di gennaio.
Sicurezza sul web: L’analisi delle attività di sicurezza sul web mostra che il 38,9% dei domini malevoli bloccati nel mese di febbraio era nuovo, con un decremento del 2,2% rispetto al mese di gennaio. E in più, il 20,3% di tutti i malware web-based bloccati nel mese di febbraio era nuovo, il 2,2% in meno rispetto al mese precedente. MessageLabs Intelligence ha anche individuato una media di 4,098 nuovi siti al giorno che nascondono malware e altri programmi potenzialmente indesiderati quali spyware e adware, il 13,7% in meno rispetto al mese di gennaio.
Trend geografici:
• In febbraio la Cina è diventato il Paese con la maggiore quantità di spam, l’86,2%.
• In USA e in Canada, l’81,4% delle mail era spam. In UK il livello di spam era dell’81,1%.
• Nei Paese Bassi, l’82,2 % del traffico email era spam, mentre il livello di spam ha raggiunto l’81,2% in Germania, l’81,7%in Danimarca e l’81% in Australia.
• Il livello di spam di Hong Kong ha raggiunto l’82,8%, l’80,4% a Singapore e il 78.5% in Giappone. In Sud Africa, l’81,6% del traffico email era spam.
• Il Sud Africa resta il bersaglio preferito dai malware presenti nelle email con 1 su 81,8 email malevole bloccate nel mese di febbraio.
• In UK, 1 su 139 email conteneva malware. In USA, i virus sono stati 1 su 713,6 e 1 su 328,8 in Canada. In Germania, il livello dei virus ha raggiunto 1 su 393,1, in Danimarca 1 in 451,1 e 1 su 910,4 nei Paesi Bassi.
• In Australia, 1 su 365,8 email era malevola, 1 su 455,3 ad Hong Kong, in Giappone 1 su 1,331.0 rispetto a 1 su 828,9 a Singapore e 1 su 457 in Cina.
Trend verticali:
• In febbraio, il settore più colpito dallo spam con una percentuale dell’84,3% continua ad essere quello automobilistico.
• Il livello di spam del settore formazione è stato dell’82,6%, l’81,7% per il settore chimico e farmaceutico, l’81,4% nel settore servizi IT, l’80,8% nel retail, l’80,1% per il settore pubblico e l’80,2% per quello finanziario.
• In febbraio, il settore pubblico e governativo resta quello più attaccato da malware con 1 su 41,1 email malevole bloccate.
• Il livello di virus per il settore chimico e farmaceutico è stato di 1 su 458,3, 1 su 394,4 per i servizi IT, 1 su 514,3 per il retail, 1 su 137.,2 per l’educazione e 1 su 436,9 per il settore finanziario.
Al seguente link il report completo: http://www.messagelabs.com/intelligence.aspx.