Malware: Italia seconda in Europa

Il Threat Index di Check Point si basa sulla Threat Intelligence della ThreatCloud World Cyber Threat Map, un software in grado di monitorare in tempo reale gli attacchi informatici in tutto il mondo. La Threat Map si avvale dell’intelligence ThreatCloudTM di Check Point, la più grande rete collaborativa contro i cybercriminali che fornisce dati sulle minacce e sull’andamento degli attacchi grazie ad una rete mondiale di sensori. Il database di ThreatCloud contiene più di 250 milioni di indirizzi che vengono analizzati per scoprire i bot malevoli, più di 11 milioni di signature malware e più di 5,5 milioni di siti web infetti, e ogni giorno, riesce ad individuare milioni di varianti di malware. La ThreatCloud World Cyber Threat Map mostra una serie di statistiche giornaliere, tra cui: i principali paesi da cui gli attacchi partono, i principali paesi presi di mira dagli attacchi, le tipologie di attacchi (comunicazione bot, accesso a risorse malevole, trasferimento di file infetti, spam), il totale degli attacchi quotidiani e, per finire, i dati specifici per ogni paese che mostrano il tasso medio di infezione e gli attacchi più comuni suddivisi per settimana e per mese.
L’ultima edizione del Threat Index mostra come nel mese di maggio 2016 vi sia stato un forte aumento delle varianti di malware attive a livello mondiale pari al 15%. L’Italia è uno dei paesi più minacciato, in particolare si classifica seconda in Europa e trentesima a livello mondiale. La ricerca dimostra come le minacce più significative e pericolose sono in linea con le passioni dell’italiano medio: smartphone e siti di networking. È il caso del worm Conficker che, scoperto nel 2008, sceglie le sue vittime a partire da siti come Facebook o da servizi come Skype, Gmail e Yahoo Mail e di Hummingbad, il malware “dedicato” ad Android in grado di prendere possesso dello smartphone. Crescono anche le minacce bancarie, +9%, minacce rappresentate da Tinba, un trojan che si nasconde dentro un innocuo programma per poi liberare la sua forza distruttiva attaccando i correntisti, in particolare quelli italiani e polacchi.
Conficker si dimostra il malware più usato durante il periodo analizzato, ma il malware bancario Trojan Tinba è emerso come la seconda forma di attacco più utilizzata che permette agli hacker di rubare le credenziali delle vittime attraverso delle web-injection che si attivano quando gli utenti provano ad effettuare l’accesso sui loro siti web bancari. Anche gli attacchi contro i dispositivi mobili sono in aumento costante. Scoperto lo scorso febbraio, il malware Android Hummingbad è diventato molto frequente e gli hacker usano questa falla nella sicurezza dei dispositivi mobili Android per carpire dati aziendali.
La variante malware più usata in assoluto è stata Conficker, da sola è responsabile del 14% di tutti gli attacchi riconosciuti, al secondo posto si posiziona Tinba, mentre al terzo Sality, entrambi con il 9% degli attacchi. Conficker è un worm che consente di effettuare operazioni da remoto, download di malware e furto di credenziali, il tutto attraverso la disattivazione dei sistemi di sicurezza di Windows. Le macchine infettate sono controllate da un bot in grado di contattare il server Command & Control pronto a ricevere istruzioni. Il trojan bancario Tinba, conosciuto anche come Tiny Banker o Zusy, ruba le credenziali dell’inbank della vittima non appena l’utente effettua il login per controllare il suo conto o svolgere una qualsiasi operazione. Infine Sality, un virus che colpisce le piattaforme Windows permettendo all’hacker di effettuare operazioni in remoto o scaricare altri malware nel sistema ormai infettato. È considerato uno dei più pericolosi malware diffusi al giorno d’oggi proprio a causa della sua complessità e facilità di adattamento. Secondo Check Point, nel mese di maggio di quest’anno, si è assistito ad un grande aumento delle varianti di malware dedicati ai dispositivi mobile. La maggior parte di questi attacca esclusivamente device Android, ma anche gli attacchi ai prodotti Apple stanno crescendo in maniera allarmante. Tra le varianti di malware per dispositivi mobile più pericolose ci sono: Hummingbad, come dicevamo, malware Android che installa un rootkit persistente sul telefono insieme ad una serie di app fraudolente in grado di dar vita ad attività malevoli come l’istallazione di Key logger, il furto di credenziali, e la capacità di superare i sistemi di crittografia delle mail utilizzati dalle aziende. Iop è un altro malware Android che permette l’istallazione di applicazioni che visualizzano pubblicità in maniera eccessiva e fastidiosa attraverso l’accesso root del dispositivo. Una serie spropositata di annunci e app installate rende impossibile per l’utente continuare ad utilizzare il telefono. Ultimo, ma non meno importante, è XcodeGhost. Si tratta di una versione compromessa della piattaforma di sviluppo iOS Xcode che, una volta alterata, inietta un codice malevolo in tutte le app sviluppate e basate su questo sistema. Il codice una volta iniettato invia le informazioni sull’app a un server C&C permettendo all’applicazione infetta di leggere la clipboard del dispositivo (iPhone o iPad).