sabato 19 settembre 2009

Protezione dallo scareware

Si tratta di un lungo post dal titolo 'The ultimate guide to scareware protection' apparso sul blog Zero Day - Ryan Naraine and Dancho Danchev a firma di Dancho Danchev ( consulente indipendente di sicurezza ed analista di minacce informatiche, mantiene anche un popolare blog di sicurezza a questo indirizzo)

Qui trovate l'articolo originale in lingua inglese, mentre vorrei proporre un riassunto dei temi trattati, che mi paiono molto interessanti, specialmente per chi si avvicina per la prima volta a questo importante argomento di sicurezza Internet.(in azzurro alcune note inserite non presenti sul testo originale)

---------------------------------------------------------------------------------------------------------
La guida definitiva per la protezione dallo scareware

Nel corso degli ultimi due anni, la diffusione di scareware (falso software di sicurezza), e' rapidamente emersa come una delle attivita' piu' redditizie per i criminali informatici.
A causa delle aggressive pratiche di pubblicita' applicate dalle bande della criminalita' informatica, migliaia di utenti sono vittima della truffa su base giornaliera, con un guadagno per i criminali informatici di centinaia di migliaia di dollari.

Non sorprende che il terzo trimestre 2009 (stima panda AV) segnera' il picco del modello di business scareware, le cui alte entrate non solo attirano nuovi cybercriminali , ma anche, agiscono come incentivo ad un ulteriore sviluppo dello stesso.

Questa guida si propone di educare l'utente di Internet su cio' che e' scareware, i rischi connessi con l'installazione, i suoi canali di distribuzione e, soprattutto, come riconoscerlo ed evitarlo tenendo in considerazione il fatto che il 99% della distribuzione attuale di scareware conta su tattiche di social engineering.

Che cosa e' lo scareware ?

Fondamentalmente, lo scareware, noto anche come rogueware o in termini semplici, falso software per la sicurezza, si diffonde a partire da siti web compromessi, attraverso l' ottimizzazione dei risultati dei motori di ricerca (ricerche con parole chiave che dirottano a siti scareware) ecc......
In ultima analisi, si tenta di ingannare l'utente facendogli credere che il suo computer e' gia' infettato da malware, e che acquisto dell'applicazione li aiutera' a liberarsi da esso.

Al momento dell'esecuzione, lo scareware puo' bloccare il legittimo software di sicurezza, se presente, evitando che si aggiorni nel tentativo di garantire che l'utente finale non sia in grado di ottenere le ultime firme del database del reale AV eventualmente installato per rilevare il pericolo.
Inoltre, lo scareware cerchera' di fare della sua rimozione uno processo che richiede tempo, bloccando strumenti di sistema e applicazioni di terze parti.

Vi sono stati anche casi in cui lo scareware, con elementi di ransomware, attuava la crittografia di files sul pc infetto, chiedendo un pagamento al fine di decriptare i contenuti crittografati, ma c'e' anche stato un caso di dominio scareware integrato con client-side exploit.

Per il momento, le pagine che distribuiscono scareware sono destinate esclusivamente gli utenti di Microsoft Windows.

Le caratteristiche dello scareware

Poiche' le campagne scareware sono gestite in maniera comune tra diverse organizzazioni cybercriminali si utilizza spesso un modello di distribuzione standard per i siti scareware che condividono un insieme molto comune di pratiche di pubblicita' ingannevole, modello che puo' facilmente aiutare per individuare il falso software.

Per esempio, la maggior parte dei siti scareware, nel tentativo di apparire piu' autentici utilizzano sulle loro pagine icone "non cliccabili' appartenenti a noti siti o servizi di valutazione, come il premio PC Magazine Editors 'Choice, Microsoft Certified Partner, certificato da ICSA Labs , Westcoast Labs Certified, certificato da Softpedia, CNET Editors Choice ', come pure Recensioni ZDNet.

Ancora un altro importante tattica di ingegneria sociale sono la presentazione di falsi modelli comparati, fondamentalmente mostrando un grafico in cui lo scareware supera software offerti da alcune delle aziende leader per la sicurezza.

La tattica di ingegneria sociale sfruttata e' quella di simulare una vera e propria scansione antivirus in tempo reale con visualizzati i progressi della scansione, che in realta' non e' altro che uno script java, (generando quindi casi paradossali come quando a utenti Mac viene presentato il proprio personal computer come se utilizzasse S.O. Windows)

I risultati dello scanner sono statici, falsi e non hanno assolutamente alcun riferimento al contenuto del disco rigido, quindi affermazioni come "Siete infetti!; Windows e' stato infettato; Attenzione: Trovate infezioni Malware; rilevata minaccia malware ecc..... " sono da considerare come una tattica per spaventare chi esegue la falsa scansione.

Segue una lista di legittimi softwares AV offerti free dai produttori.................

Tra le principali caratteristiche della scareware abbiamo anche il layout del sito, creato in modo professionale, nonche il persistente re-branding del prodotto, nel tentativo di spostare l'attenzione dell'utente finale dal marchio precedente a quello nuovo.
Tutto questo genera un risultato di ingegneria sociale efficiente che continua ad ingannare migliaia di vittime su base giornaliera.

I canali di distribuzione e il dirottamento del traffico come tattiche delle campagne di scareware

Anche se i cybercriminali sono sempre alla ricerca di nuove strategie per la diffusione dello scareware ci sono alcune tattiche, che rappresentano attualmente i canali piu' popolari di distribuzione dello scareware. Vediamone alcune.

Blackhat search engine optimization (SEO) Ottimizzazione dei motori di ricerca (SEO)
L'ottimizzazione dei risultati dei motori di ricerca rimane il metodo principale per la maggior parte dei criminali informatici.
Questa tattica e' costituita dall'uso di centinaia di migliaia di parole chiave derivate da notizie attuali di cronaca (anche in tempo reale) e che sono inserite su domini parcheggiati gestiti da criminali con redirect su sito con falso scanner on line ...........
----------------------------------------------------------------------------------------------
Faccio notare come sempre piu' spesso le pagine con i links a falsi AV sono incluse all'interno di siti compromessi – vedi i numerosi ed attuali casi su siti .IT compromessi)
----------------------------------------------------------------------------------------------
.............. E 'importante sottolineare che ogni campagna si basa sull'utente finale in quanto il download e l'esecuzione del scareware sono manuali, rispetto ad un attacco drive-by in cui l'infezione e' automatica attraverso l'uso di vulnerabilita' client-side.
Alcune delle piu' recenti e ancora in corso campagne SEO blackhat comprendono notizie legate ai fatti molto noti come l'11 settembre “ ecc.....

Abuso sistematico delle reti sociali / servizi Web 2.0
Non c'e' stata una singola rete sociale o di servizi Web 2.0 che non sia stata sfruttata per servire scareware .
Da Twitter, Scribd e LinkedIn a Digg e Google Video, l'abuso sistematico di questi servizi attraverso la registrazione automatica di centinaia di accounts ..............

Malvertising (pubblicita' maligna)
Malvertising e' la pratica di pubblicare annunci pericolosi su siti che sono invece conosciuti come affidabili'
Si tenta di sfruttare la fiducia dell'utente finale nella capacita' di questi siti, molto noti, nel filtrare gli annunci pericolosi, cosa che a volte invece non avviene.
Alcuni rilevanti casi di pubblicita' scareware con finestre di pop-up sono - Falso Antivirus XP pops-up a Cleveland.com; Scareware pops-up a FoxNews, Digg, MSNBC e la campagna "Newsweek" scareware attraverso malvertising

Uso di botnet
Koobface botnet, non e' solo tra le piu' attive per SEO blackhat, ma ci sono stati casi con l'installazione di scareware Koobface su host infetti.
La botnet Conficker ha gia' fatto tre tentativi di monetizzare i milioni di host infetti, rivendendo l'accesso ad essi a due bande diverse, ma ha anche tentato di installare scareware.

Ora che sapete cosa e' lo scareware e come vi raggiunge, e' il momento di vedere alcuni dei metodi pratici per riconoscerlo ed evitarlo

Scareware. Riconoscerlo ed evitarlo:

A causa della costante comparsa di nuovi software scareware e con nuovi nomi il mantenimento di un elenco di nomi di software coinvolto non e' molto pratico

L'approccio piu' logico, e' invece quello di mantenere un elenco dei legittimi produttori di software antivirus, nel tentativo di aumentare di piu' il sospetto su coloro che non sono nella lista. Un tale elenco e' gestito dal CCSS (Common Computing Security Standards Forum), e per il momento comprende i seguenti fornitori:

AhnLab (V3)
Labs Antiy (Antiy-AVL)
Aladdin (eSafe)
ALWIL (antivirus avast!)
Authentium (Command Antivirus)
AVG Technologies (AVG)
Avira (AntiVir)
Cat Computer Services (Quick Heal)
ClamAV (ClamAV)
Comodo (Comodo)
CA Inc. (Vet)
Doctor Web, Ltd. (DrWeb)
Emsi Software GmbH (a-squared)
Eset Software (NOD32)
Fortinet (Fortinet)
Frisk Software (F-Prot)
F-Secure (F-Secure)
G DATA Software (GData)
Hacksoft (The Hacker)
Hauri (ViRobot)
Ikarus Software (Ikarus)
INCA Internet (nProtect)
K7 Computing (K7AntiVirus)
Kaspersky Lab (AVP)
McAfee (VirusScan)
Microsoft (Malware Protection)
Norman (Norman Antivirus)
Panda Security (Panda Platinum)
PC Tools (PCTools)
Prevx (Prevx1)
Rising Antivirus (Rising)
Secure Computing (SecureWeb)
BitDefender GmbH (BitDefender)
Sophos (SAV)
Sunbelt Software (Antivirus)
Symantec (Norton Antivirus)
VirusBlokAda (VBA32)
Trend Micro (TrendMicro)
VirusBuster (VirusBuster)

Una lista alternativa di software antivirus affidabili e' anche gestita dal servizio di VirusTotal.

Se prendete sul serio la sicurezza e la cura dei vostri dati, non affidereste l'integrita' del computer a un'applicazione chiamata Doctor Antivirus 2008, Spyware Preventer 2009, Power Antivirus, Total Virus Protection, Malware Destructor 2009, Cleaner 2009, Smart Antivirus 2009 , Antivirus VIP o Advanced Antivirus 2009, vero?

Un altro passo concreto per riconoscere lo scareware, e' la ricerca del dominio potenzialmente dannoso in questione sia usando Google.com, o un motore di ricerca di indagine gestito da Anti-Malvertising.com. Il motore di ricerca Anti-Malvertising utilizza un database di elenchi di siti scareware e domini correlati, e aumenta notevolmente la probabilita' di trovare il dominio di sospetto nei risultati.

------------------------------------------------------------------------------------------------
La ricerca in rete e' probabilmente il metodo piu' veloce per identificare il falso AV.
Viste infatti le attuali possibilita' dei motori di ricerca nel caso si trattasse di falsa applicazione AV quasi sempre si trovano online notizie su utenti Internet che hanno avuto problemi con il falso software AV cercato, specialmente per disinstallarlo.....
--------------------------------------------------------------------------------------------------

Tenendo presente che l'utente finale ha il pieno controllo della finestra di scareware, nonostante la sua resistenza modesta quando si tenta di chiuderla, – si puo' scaricare una copia di esso, e sottoporlo ad una scansione antivirus come VirusTotal.com per verificare ulteriormente la sua vera natura...............

Edgar

Fonte originale in lingua inglese: http://blogs.zdnet.com/security/?p=4297 a cui rimando per immagini ed ulteriori dettagli.

1 commento:

frater ha detto...

hi
thanks for sharing this info...