Indagine Kaspersky Lab: la privacy online può rovinare carriere e relazioni sentimentali

Secondo un’indagine condotta da Kaspersky Lab, gli utenti continuano a condividere con noncuranza informazioni private su Internet in situazioni pericolose. Più di 1 persona su 4. per la precisione il 28%, degli oltre 12.000 intervistati in tutto il mondo da Kaspersky Lab insieme a con B2B International condivide informazioni confidenziali per errore. E addirittura quasi 1 su 6 (16%) svela intenzionalmente segreti personali, nonostante il pericolo che le informazioni condivise online possano danneggiare le relazioni o il lavoro.

In particolare, sottolinea una nota queste informazioni includono foto personali (45%), i propri dettagli di contatto (42%), foto di altre persone (32%), informazioni personali sensibili (30%) e informazioni di lavoro (20%). Inoltre, in modo ancora più pericoloso, un intervistato su sei ha condiviso un proprio segreto (16%), mentre il 9% ha comunicato informazioni private su un’altra persona e l’8% ha condiviso dettagli finanziari sensibili.

Ciò accade nonostante il fatto che metà degli utenti siano profondamente preoccupati riguardo all’impatto negativo che potrebbero avere queste informazioni se diventassero di pubblico dominio, sia in termini di perdita economica, sia di sofferenza emotiva. Un terzo degli intervistati ha paura che possano danneggiare le relazioni oppure imbarazzare od offendere qualcuno, mentre uno su sei (15%) teme che possano danneggiare la propria carriera. Questa preoccupazione è spesso giustificata. Il 28% degli intervistati ha ammesso di aver accidentalmente condiviso informazioni confidenziali e uno su tre ha sofferto per le conseguenze. Queste ultime includono: la perdita di amici (20%), atti di bullismo (17%), perdite finanziarie (15%), la fine di una relazione (13%) e la perdita del posto di lavoro (13%).

Tuttavia, il 13% dei rispondenti non prende ancora alcuna precauzione per tenere al sicuro la propria attività e le informazioni online. Inoltre, solamente quattro utenti su dieci separano le interazioni con familiari e amici stretti dalle altre attività (43%) o fanno un doppio controllo dei messaggi e dei post prima di condividerli (39%). Un quarto degli intervistati prova a evitare di inviare o condividere informazioni dopo aver bevuto un drink, mentre il 29%, preso dal senso di colpa, opta per l’inefficace misura di cancellare avventatamente la cronologia internet dopo aver condiviso qualcosa.

“Molti utenti ancora faticano a tradurre la consapevolezza del rischio in cautela quando si tratta dell’attività online. Con così tanti dispositivi e canali online a portata di mano non è mai stato così semplice postare un messaggio imprudente o condividere accidentalmente informazioni con le persone sbagliate. Coloro che non hanno le competenze tecnologiche necessarie né le adeguate protezioni di sicurezza e privacy, potrebbero trovarsi con amicizie e carriere rovinate. Una volta che un’informazione è online, vi rimane per sempre. Quindi, in caso di dubbio, è meglio non condividerla”, commenta Morten Lehn, General Manager di Kaspersky Lab Italia.

Kaspersky Lab è un’azienda di sicurezza informatica a livello globale fondata nel 1997. La profonda intelligence sulle minacce e l’expertise di Kaspersky Lab si trasformano costantemente in soluzioni di sicurezza e servizi per la protezione di aziende, infrastrutture critiche, enti governativi e utenti privati di tutto il mondo. Il portfolio completo di sicurezza dell’azienda include la miglior protezione degli endpoint e numerosi servizi e soluzioni di sicurezza specializzati per combattere le sofisticate minacce digitali in continua evoluzione. Più di 400 milioni di utenti sono protetti dalle tecnologie di Kaspersky Lab e aiutiamo 270.000 clienti aziendali a proteggere ciò che è per loro più importante.

Fonte: Mondo Mobile Web 

Kaspersky Lab identifica “MiniDuke”, un nuovo programma nocivo progettato per spiare gli Enti Governativi e le Istituzioni di tutto il mondo

Ieri il team di esperti di Kaspersky Lab ha pubblicato un nuovo report che analizza una serie di incidenti che hanno coinvolto l’utilizzo di recenti exploit scoperti nei documenti PDF di Adobe Reader (CVE-2013-6040) e un nuovo programma nocivo personalizzato conosciuto con il nome di MiniDuke. La backdoor MiniDuke è stata utilizzata per attacchi multipli contro enti governativi e istituzioni in tutto il mondo durante la scorsa settimana. Gli esperti di Kaspersky Lab, in collaborazione con CrySys Lab, hanno analizzato gli attacchi nel dettaglio e pubblicato i risultati. Secondo l’analisi di Kaspersky Lab, un numero di obiettivi di alto profilo era già stato compromesso da attacchi compiuti da MiniDuke, compresi enti governativi in Ucraina, Belgio, Portogallo, Romania, Repubblica Ceca e Irlanda. Inoltre, sono stati attaccati un istituto di ricerca, due think tank e un fornitore di assistenza sanitaria negli Stati Uniti, così come un’importante fondazione di ricerca in Ungheria.

“Questo è un attacco informatico davvero insolito”, ha dichiarato Eugene Kaspersky, Fondatore e CEO di Kaspersky Lab. “Non vedevo questo tipo di programmazione nociva dalla fine degli anni 90/inizi del 2000. Mi stupisco di come gli autori di questo tipo di malware, rimasti nell’ombra per più di un decennio, siano improvvisamente riapparsi e si siano uniti al gruppo di cyber criminali. Questo gruppo di autori "old school" di malware sono stati estremamente efficaci in passato nel creare virus molto complessi e ora stanno combinando queste abilità con i nuovi exploit sandbox-evading avanzati per colpire enti o istituti di ricerca in diversi paesi".“La backdoor personalizzata di MiniDuke è stata scritta in Assembler e in un formato molto piccolo, essendo solo di 20Kb”, ha aggiunto Kaspersky. “Questa tipologia di malware compatto e molto sofisticato è spesso scritto in Assembler ed era molto comune ai tempi del VX group 29, ma oggi è molto raro. La combinazione di scrittori di malware esperti appartenenti alla vecchia scuola che utilizzano exploit scoperti di recente e l’utilizzo dell’ingegneria sociale per compromettere gli obiettivi di alto profilo, è estremamente pericolosa".

Primi risultati della ricerca di Kaspersky Lab:

• Gli autori di MiniDuke in questo momento sono ancora attivi e hanno creato il malware il 20 febbraio 2013. Per colpire le vittime, i criminali hanno utilizzato tecniche efficaci di ingegneria sociale, come l’invio di PDF nocivi agli obiettivi scelti. I contenuti presenti nei file PDF erano di una certa rilevanza come le informazioni riguardanti il seminario sui diritti umani (ASEM), dettagli sulla politica estera in Ucraina e piani di adesione alla NATO. Questi file PDF nocivi contenevano exploit che attaccavano le versioni 9, 10 e 11 di Adobe Reader, oltrepassando il sandbox. Un toolkit è stato utilizzato per creare questi exploit e sembra che sia proprio questo stesso toolkit ad essere stato impiegato nel recente attacco riportato da FireEye. Tuttavia, gli exploit impiegati negli attacchi MiniDuke avevano obiettivi diversi e ognuno il proprio malware personalizzato.
• Una volta che il sistema viene colpito dagli exploit, un piccolo downloader di soli 20Kb viene rilasciato nel disco della vittima. Questo downloader è unico per ogni sistema e contiene una backdoor personalizzata scritta in Assembler. Quando viene caricato all'avvio del sistema, il downloader utilizza una serie di calcoli matematici per determinare l’impronta digitale per accedere al computer e utilizza a sua volta questa per crittografare le proprie comunicazioni. E' inoltre programmato per evitare le analisi attraverso un set di strumenti hardcoded presenti in alcuni ambienti come VMware. Se viene trovato uno di questi indicatori, esso verrà eseguito vuoto nell’ambiente, invece di spostarsi in un’altra operazione e scoprire ulteriori funzionalità da decifrare; questo consente agli autori del malware di sapere esattamente cosa stanno facendo i professionisti della sicurezza IT per analizzare e identificare il malware.
• Se il sistema di destinazione soddisfa i requisiti prestabiliti, il malware utilizza Twitter (all'insaputa dell'utente) e inizia a cercare i tweet specifici di account già in uso. Questi account sono stati creati dagli operatori dei server di comando e controllo di MiniDuke e i tweet mantengono tag specifici di categorie crittografate per gli URL della backdoor. Questi URL consentono di accedere al C2, che fornisce i comandi e trasferisce in maniera crittografata ulteriori backdoor sui sistemi tramite i file GIF.
• Sulla base dell'analisi, sembra che i creatori di MiniDuke forniscano un sistema dinamico di backup che può passare anche sotto i radar. Se Twitter non funziona o gli account sono colpiti dal malware, si può utilizzare Google Search per trovare le stringhe crittografate del prossimo C2. Questo modello è flessibile e permette agli operatori di cambiare continuamente le loro backdoor e recuperare ulteriori comandi o codici nocivi in base alle esigenze.
• Una volta che il sistema infetto localizza il C2, riceve le backdoor criptate che si confondono tra i file GIF sotto forma di immagini che appaiono sul computer della vittima. Una volta che vengono installati sulla macchina, è possibile scaricare una backdoor più grande che svolge una serie di azioni, come ad esempio copia di file, rimozione di file, creazione di una directory, interruzione del processo ed esecuzione del nuovo malware.
• La backdoor del malware si connette ai due server, uno a Panama e uno in Turchia, per ricevere istruzioni da parte dei cyber criminali.

Per leggere il report completo di Kaspersky Lab e i consigli per la protezione contro gli attacchi MiniDuke, visitare Securelist.
Per leggere il report di CrySys Lab, cliccare qui.
Il sistema Kaspersky Lab individua e neutralizza il malware MiniDuke, classificato come
HEUR:Backdoor.Win32.MiniDuke.gen e Backdoor.Win32.Miniduke. Kaspersky Lab individua gli exploit utilizzati nei documenti PDF e classificati come Exploit.JS.Pdfka.giy.

Fonte: Kaspersky Lab

Cybercriminali aumentano il business con le calamità naturali

Gli esperti di Kaspersky Lab diffondono i dati di marzo sulle attività malevole

Link ingannevoli. Il mese di marzo è stato caratterizzato dalla creazione di siti web e link ingannevoli, da parte dei cyber criminali, che sfruttavano la tragedia avvenuta in Giappone. Una serie di link collegati ad “ultime notizie dal Giappone” in realtà guidava attacchi drive-by ai computer degli utenti. Da non considerare attendibili neanche siti web o “spam nigeriano” che richiedevano l’invio di soldi per far fronte alla distruzione del paese nipponico. Neanche la morte di Liz Taylor è rimasta immune dallo sfruttamento da parte dei creatori di virus che hanno usato la notizia per diffondere malware.

Velocità. I creatori di virus sono tra l’altro sorprendentemente veloci nel reagire agli annunci di vulnerabilità. Adobe ha annunciato una vulnerabilità per Flash Player il 14 marzo e già il giorno successivo Kaspersky Lab ha trovato un exploit che andava a colpire proprio li.

Intrusioni tecniche. Si conferma la predilezione dei cyber criminali per gli exploit di Java. Ben 3 exploit su 5, nella top 20 di marzo, nascono da vulnerabilità Java.

Anche gli hacker si proteggono. Per evitare di essere individuati dai programmi antivirus i cyber criminali proteggono le pagine HTML, attraverso cui diffondono malware. A Febbraio il sistema usato erano le CSS, a marzo abbiamo la tag "textarea". Questa tag viene usata come contenitore in cui raccogliere dati che serviranno in seguito come script principale. Un esempio può essere il Trojan-Downloader JS Agent che si posiziona nono nella Top 20 di Marzo. Inoltre secondo il Kasperesky Security Network (KSN) i creatori di virus modificano gli exploit usati per gli attacchi drive-by in modo da non essere identificati.

Attenti alle App. All’inizio di Marzo gli esperti di Kaspersky Lab hanno scoperto che alcune applicazioni legittime per il Mercato Android sono state usate per infettare gli smartphone. Queste app contenevano dei root exploit, il cui scopo era quello di aprire l’accesso ai dati sensibili. Oltre questo l’archivio malevolo APK conteneva altre due componenti malevoli, una di queste inviava ad un server gestito da hacker, un file XML con IMEI e IMSI.

I numeri di Marzo

• 241 mln di attacchi di rete bloccati;

• 85,8 mln di attacchi provenienti dal web prevenuti;

• 219,8 mln di programmi malevoli scoperti e neutralizzati;

• 96,7 mln di verdetti euristici registrati.

Dati basati su statistiche di studio effettuate su utenti che utilizzano i prodotti Kaspersky Lab.

Più dettagli sul report mensile di KasperskyLab si possono scaricare: http://www.kaspersky.com/it/news?id=338

Fonte: Data Manager

Kaspersky Lab pubblica il report sull’attività dei virus a marzo 2011

Spesso i cybercriminali non disdegnano sfruttare eventi tragici per raggiungere i loro scopi. Moltissime persone in Giappone hanno perso i loro cari e le loro case, mentre tutto il mondo segue con il fiato sospeso lo sviluppo degli eventi presso la centrale nucleare Fukushima 1 anch'essa colpita dal terremoto. Ma i cybercriminali e i programmatori di virus non si fermano davanti a nulla e con sprezzante cinismo diffondono link maligni nei siti che riportano le notizie di attualità, creano pagine web infettate il cui contenuto è in un modo o nell'altro attinente alla tragedia che si è abbattuta sul Giappone e inviano «spam nigeriano» con richieste strappalacrime nelle quale si invoca l'aiuto finanziario dei destinatari mediante il trasferimento di denaro sul conto del mittente. Per esempio in una delle e-mail di spam erano contenuti dei presunti link per collegarsi alle ultime notizie sul Giappone. In realtà, cliccando sui link, gli utenti attivavano un attacco drive-by per mezzo di pacchetti di exploit. Se l’attacco andava a segno sui computer degli utenti veniva scaricato il Trojan-Downloader.Win32.CodecPack. Per ciascun membro di questa famiglia sono rigorosamente registrati tre centri di controllo ai quali il trojan si rivolge e dai quali riceve degli elenchi di file maligni da scaricare e installare sul computer dell'utente. In una della pagine web individuate come infette i visitatori venivano invitati a scaricare un filmato sugli eventi accaduti in Giappone, ma anziché riprodurre il video l'utente scaricava sul suo computer un backdoor. I cybercriminali più lesti si danno invece da fare su Twitter, sul quale, già il giorno successivo alla notizia, sono apparsi link maligni a presunte informazioni sul decesso di Elisabeth Taylor. La quantità di exploit Java è piuttosto elevata: in totale ha infatti inciso per circa il 14% sul numero totale degli exploit individuati. Nella TOP 20 dei malware riscontrati in Internet si sono piazzati tre exploit Java. Inoltre due di questi, l'Exploit.Java.CVE-2010-0840.d (15° posto) e l'Exploit.Java.CVE-2010-0840.c (19° posto), sono exploit nuovi che sfruttano la vulnerabilità CVE-2010-0840 di Java. Ricordiamo che già il mese scorso era stato segnalato lo sfruttamento di questa falla.

Secondo i dati delle statistiche KSN, i creatori di malware continuano a cambiare gli exploit che sfruttano nel corso degli attacchi drive-by per eludere i rilevamenti degli antivirus. I programmatori di virus reagiscono con velocità sorprendente alle comunicazioni di nuove vulnerabilità. Ne è un esempio l'exploit della vulnerabilità di Adobe Flash Player, la cui individuazione è stata comunicata da Adobe in data 14 marzo. La vulnerabilità è contenuta nella libreria authplay.dll ed è stata valutata come critica. A marzo una delle principali notizie è stata la scoperta della botnet Rustock. Ricordiamo che la rete creata da Rustock contava alcune centinaia di migliaia di computer infetti e che per estendersi utilizzava lo spam. L'operazione di chiusura della botnet è stata organizzata da Microsoft e dalle autorità degli Stati Uniti. Il 17 marzo Microsoft ha reso nota la chiusura dei server di controllo della botnet. I malware per Android non sono più una rarità. In marzo i cybercriminali sono riusciti a diffonderli sotto forma di applicazioni legittime in Android Market. Il Report security completo di Kaspersky Lab a marzo 2011 è disponibile a questo indirizzo.

Fonte: Protezione Account

Kasperky Lab pubblica la condizione del malware a gennaio 2011

La maggior parte dei programmi malware, particolarmente complessi, nasconde la propria presenza nel sistema e operano a insaputa dell'utente. Tuttavia per attuare i suoi schemi fraudolenti, la cybercriminalità ha bisogno della partecipazione attiva dell'utente. Per poter sfuggire alle trappole dei cybercriminali è pertanto di estrema importanza che l'utente conosca quali sono gli approcci utilizzati.

I cybercriminali sfruttano spesso la diffusione di certi servizi Internet o di determinati prodotti. Anche la popolarità di cui godono i prodotti «Kaspersky Lab» non è sfuggita all'attenzione dei cybercriminali e in gennaio se ne avuta una chiara conferma. Come anche in passato si continua a registrare un'attiva diffusione di programmi adware. Senza richiedere il consenso dell'utente, l'AdWare.Win32.WhiteSmoke.a, che si è aggiudicato il 12° posto nella classifica dei programmi malware riscontrati in Internet, aggiunge sulla scrivania del PC lo shortcut «Improve your PC». Dopodiché, quando l'utente vi clicca sopra, si apre una pagina con l'invito ad «eliminare dal computer eventuali errori» che compromettono le prestazioni del PC. Se l'utente accetta l'invito, sul suo computer si installa un programma denominato RegistryBooster 2011 che effettua una scansione del computer e si offre di eliminare a pagamento i problemi individuati. Il componente del diffuso adware FunWeb Hoax.Win32.ScreenSaver.b, sebbene alla sua prima apparizione nella TOP 20 dei malware bloccati nei computer degli utenti, si è piazzato subito al 4° posto. Ricordiamo che FunWeb fa parte di una famiglia di adware, i rappresentanti della quale figurano ininterrottamente da un anno nelle classifiche dei malware più diffusi. Questi adware predominano nei Paesi anglofoni, quali gli Stati Uniti, il Canada, la Gran Bretagna e anche l'India. Per l'ennesima volta invitiamo gli utenti a non ignorare gli aggiornamenti critici. Nella TOP 20 di gennaio delle minacce più diffuse bloccate nei computer degli utenti si è piazzato l'Exploit.JS.Agent.bbk (al 20° posto) che sfrutta la vulnerabilità CVE-2010-0806. Sebbene questa vulnerabilità sia già stata riparata alla fine del marzo 2010 (la patch è disponibile a questo indirizzo, oltre che dall'Agent.bbk viene anche sfruttata da altri malware presenti nella TOP 20 (al 6° e al 1° posto). Ciò significa che la breccia nel software non è ancora stata chiusa in molti computer e continua quindi ad essere efficacemente sfruttata dai cybercriminali. l download di file per mezzo di malware Java con il metodo OpenConnection, che ha cominciato ad essere utilizzato dai cybercriminali nell'ottobre dell'anno scorso, risulta attualmente essere uno dei metodi di download maggiormente diffusi. Nel corso del mese di gennaio nei computer degli utenti dei prodotti «Kaspersky Lab»:

• sono stati respinti 213.915.256 attacchi della rete;
• sono stati bloccati 68.956.183 tentativi di infezione via Internet;
• sono stati individuati e neutralizzati 187.234.527 programmi malware (tentativi di infezione locale);
• sono state registrate 70.179.070 attivazioni di analisi euristiche.

In gennaio, nella TOP 20 dei malware più diffusi in Internet, si piazzano (rispettivamente al 9° e al 20° posto) due nuovi rappresentanti della famiglia Trojan-Downloader.Java.OpenConnection. Se si utilizzano le ultime versioni di JRE (ambiente operativo Java), all'avvio del pericoloso applet Java l'utente riceve un relativo avviso. Per evitare eventuali infezioni del computer, è sufficiente quindi annullarne l'avvio. In gennaio ha fatto la sua comparsa un nuovo e-mail worm, l'Email-Worm.Win32.Hlux, che si diffonde tramite la notifica della ricezione di una cartolina elettronica d’auguri. Nella notifica è contenuto il link alla pagina dove viene suggerito di scaricare Flash Player per una corretta visione della e-card. nuovo Trojan-SMS.J2ME.Smmer.f si diffonde secondo la modalità ormai consueta dei malware Java per piattaforme mobili ossia per mezzo di spam SMS contenenti un link di rinvio a una «cartolina virtuale». Dopo esser stato installato sul telefono, il trojan invia gratuitamente un SMS a due diversi numeri. Come viene conseguito quindi il guadagno illecito? I due numeri vengono utilizzati da un operatore di telefonia cellulare per trasferire soldi da un conto all'altro. Nel primo messaggio inviato dal trojan, vengono indicati la somma che verrà prelevata dal conto del possessore del telefono infetto (200 rubli, circa 5 euro) e il numero utilizzato dai cybercriminali per ricevere i soldi, mentre il secondo SMS viene inviato per confermare il trasferimento del denaro. Ci siamo già imbattuti in un simile tipo di frode due anni or sono: allora la truffa interessava gli utenti indonesiani, oggi i cybercriminali hanno preso di mira la Russia. Maggiori informazioni su http://www.kaspersky.com/.
Fonte: Protezione Account