Sembravano un fenomeno in calo, ma in tempi recentissimi sono nuovamente tornati a popolare il Web: nel mese di febbraio di quest’anno GFi Software ha registrato una nuova ondata di finti antivirus, malware camuffati da programmi di protezione e intenzionati in realtà a rubare dati sensibili e numeri di carta di credito. Dai dati raccolti attraverso il Malware Pretection Center emerge infatti come il fenomeno dei cosiddetti Rogue AV, dopo il calo mostrato a fine 2011, abbia nuovamente ripreso a crescere dall’inizio dell’anno.
Uno fra i prodotti per la sicurezza di GFI
“Nonostante la velocità di diffusione degli antivirus fasulli sia rallentata alla fine dello scorso anno – ha affermato
Chris Boyd, analista senior per i rischi informatici di GFI Software –, stiamo assistendo a una loro recrudescenza e, in ogni caso, questa rimane una delle tecniche più utilizzate dai criminali informatici. Gli utenti non devono assolutamente abbassare la guardia”.
“È necessario – prosegue l’analista - valutare sempre e attentamente qualsiasi tipo di software che sembri aver infettato il PC, che richieda un numero di carta di credito o la condivisione di dati sensibili. Soprattutto se si tratta di un software che non è stato installato né da voi né dai vostri dipendenti”.
Circa i metodi in infezione, l’azienda specializzata in sicurezza spiega che molti finti antivirus vengano inviati agli utenti attraverso
mail di spam, contenenti link dannosi all’exploit Blackhole: uno strumento utilizzato dai criminali informatici per individuare le vulnerabilità non ancora coperte da patch all’interno di software (in particolare di Microsoft e Adobe).
Gli utenti infettati da tale minaccia vengono reindirizzati verso siti illeciti, dove il loro sistema viene colpito da programmi che simulano una procedura di scansione del PC o aprono finestre di avviso su minacce inesistenti sul computer. Il tutto per indurre i più ingenui a inviare i propri dati di carta di credito per acquistare delle protezioni che non esistono. Per non essere individuati, questi programmi vengono costantemente modificati, con l’introduzione di nuove varianti in grado di propagarsi ogni 12 - 24 ore. In generale, il mese appena trascorso ha confermato come le minacce di tipo
trojan siano ancora le più utilizzate, come mostra la classifica compilata da GFI Software.
Tra gli altri fenomeni rilevanti di febbraio, GFI ha individuato
episodi di phishing nei quali i criminali informatici si sono spacciati per rappresentanti di Intuit Inc,
azienda proprietaria del diffuso programma di calcolo delle tasse Turbo
Tax.
Ai malcapitati bersagli veniva richiesta via mail una verifica dei
dati fiscali, motivata con presunte discrepanze rilevate rispetto ai
dati fiscali in possesso della Social Security Administration: un
trucchetto che serviva per portare l’utente verso un sito Blackhole. Nel
frattempo, un falso account dell’ American Institute of Certified
Public Accounts inviava email nelle quali si citava un “accertamento
relativo ad una falsa dichiarazione dei redditi”, in modo da spaventare
le vittime e indurle ad aprire allegati all’apparenza innocui.
La top 10 delle minacce rilevate a febbraio 2012 (Fonte: GFI Software)
Altri e più tradizionale attacchi si sono annidati in
finte promesse di buoni omaggio per l’acquisto di beni vari, con tanto di post su Tumblr (provenienti da un account creato ad hoc) per confermare l’autenticità dell’offerta. I criminali informatici hanno inoltre
colpito i giocatori online, attraverso alcuni video di YouTube che li incoraggiavano a scaricare un programma in grado di generare codici per ottenere punti gratuiti Microsoft (la valuta utilizzata nel marketplace Xbox Live), e che in realtà mirava a carpire i dati personali degli internauti.