...

Bloccare i fake antivirus

by user

on
Category: Documents
23

views

Report

Comments

Transcript

Bloccare i fake antivirus
Bloccare i fake antivirus:
come tenere lo scareware alla larga dalla vostra rete
I fake antivirus (FakeAV) sono una delle minacce più frequenti in cui ci si
possa imbattere sul Web al giorno d'oggi. Noti anche come rogue antivirus,
rogue, o scareware, i fake antivirus si servono dell'ingegneria sociale
per attirare gli utenti su siti malevoli, sfruttandone le paure, per indurli
all'acquisto di strumenti di rimozione delle minacce fasulli.
Questo documento offre un'analisi approfondita dell'origine dei fake
antivirus e della loro metodologia di distribuzione; descrive inoltre le
conseguenze subite da un sistema su cui si è infiltrato un fake antivirus e
indica come impedire a questa continua minaccia di attaccare rete e utenti.
Bloccare i fake antivirus: come tenere lo scareware alla larga dalla vostra rete
Che cosa sono i fake antivirus?
I fake antivirus sono software di sicurezza
fasulli che fingono di rilevare pericolose
minacce alla sicurezza (come ad es.
virus) sui vostri computer. La scansione
iniziale è gratuita; ma bisogna pagare
per rimuovere le “minacce” rilevate,
che sono in realtà inesistenti.
Questo tipo di malware mostra agli utenti
messaggi di allarme fasulli, che segnalano
la presenza di minacce sui loro computer
(anche se in realtà tali minacce non
esistono). Gli avvisi spingono gli utenti a
visitare un sito in cui verrà richiesto un
pagamento per la rimozione di queste
minacce inesistenti. Il malware fake
antivirus continua a inviare avvisi fastidiosi
e invadenti, fino a quando si effettua un
pagamento o si rimuove il malware stesso.
Questo documento fornisce un
approfondimento sulla provenienza
dei fake antivirus, sulle conseguenze
subite da un sistema infettato da
essi, e su come gli utenti possono
proteggersi da questo tipo di malware.
White paper Sophos - Gennaio 2013
Perché i fake antivirus sono così gettonati
fra i criminali informatici? Perché sono
un'importante fonte di guadagno. A
differenza di altri tipi di malware (come ad
esempio bot, backdoor trojan, downloader
e programmi di intercettazione delle
password), i fake antivirus inducono le
vittime a trasferire denaro direttamente
all'autore del malware. Le vittime versano
in media $120 tramite carta di credito, per
il pagamento di software inutile che a detta
dei malfattori dovrebbe risolvere il problema.
I fake antivirus sono anche associati a una
proficua rete di affiliati che ricava ingenti
somme di denaro indirizzando gli utenti
sui siti dei propri partner1. Gli affiliati
possono rapidamente generare utili, in
quanto vengono ricompensati dalle reti di
distribuzione con somme comprese fra i
25 e i 35 dollari, semplicemente per l'aver
"generato contatti" infettando altri computer.
2
Bloccare i fake antivirus: come tenere lo scareware alla larga dalla vostra rete
Presso i SophosLabs, viene osservata la
comparsa di tipi di fake antivirus sempre
nuovi e vari. Oggi come oggi, i Mac sono
uno dei bersagli principali, con attacchi di
ingegneria sociale che fungono da esca per
i Mac. Abbiamo attentamente monitorato lo
sviluppo del malware rivolto a Mac OS X; la
conclusione che ne abbiamo dedotto è che
i fake antivirus per Mac si stanno evolvendo
rapidamente, prendendo spunto dal
panorama del malware dei sistemi Windows.
Tipici sintomi di infezione
Solitamente, i fake antivirus utilizzano una
vasta gamma di tecniche di ingegneria
sociale per indurre ad effettuarne
l'installazione. Le loro campagne includono:
ÌÌ Aggiornamenti fasulli della
protezione di Windows2
ÌÌ Pagine Virus-Total fasulle3
ÌÌ Applicazioni di Facebook fasulle4
ÌÌ Truffe legate all'11 settembre5
Per attaccare gli utenti con fake
antivirus, gli hacker stanno adoperando
anche stratagemmi di poisoning delle
immagini, della ricerca di immagini e delle
tematiche di monitoraggio. Oltre a questa
tendenza, i SophosLabs hanno notato il
proliferare del fenomeno di rebranding
dei fake antivirus, per confondere gli
utenti ed eludere il rilevamento.
Una volta insediatisi in un sistema,
i loro comportamenti mostrano
diversi temi ricorrenti:
Avvisi popup
Molte famiglie di fake antivirus visualizzano
messaggi popup (vedi fig.1-5).
Fig.2
Fig.3
Fig.1
White paper Sophos - Gennaio 2013
Fig.4
Fig.5
3
Bloccare i fake antivirus: come tenere lo scareware alla larga dalla vostra rete
Scansioni fasulle
Di norma i fake antivirus fingono di effettuare
la scansione del computer e di individuare
minacce in realtà inesistenti, creando
talora file dal contenuto indesiderato che
vengono quindi rilevati6 (vedi fig.6-8).
ÌÌ AntiVirus AntiSpyware 2011
ÌÌ Malware Protection
ÌÌ XP Security 2012
ÌÌ Security Protection
ÌÌ XP Antivirus 2012
I fake antivirus utilizzano una vastissima
gamma di nomi convincenti per creare
un'illusione di legittimità, come ad esempio:
ÌÌ MacDefender
ÌÌ Security Shield
ÌÌ Mac Security
ÌÌ Windows XP Recovery
ÌÌ Security Tool
ÌÌ Internet Defender
ÌÌ PC Security Guardian
ÌÌ BitDefender 2011
ÌÌ Security Defender
ÌÌ Antimalware Tool
ÌÌ Smart Internet Protection
ÌÌ XP Anti-Spyware 2011
Possono essere presenti diverse migliaia
di varianti per ciascuna famiglia, in quanto
spesso vengono utilizzate tecniche quali
il polimorfismo lato server per alterare
il file eseguibile di un fake antivirus. In
questo processo, il file eseguibile viene
modificato offline; al momento della
richiesta di download viene quindi scaricato
un file diverso. Ciò può verificarsi diverse
volte nell'arco di 24 ore. Una famiglia in
particolare, denominata “Security Tool”7,
è nota per la produzione di file diversi
quasi ogni minuto. Ecco il motivo per cui
un'unica famiglia può produrre un così
elevato numero di esempi diversi.
Molte famiglie sono inoltre dotate di un
codebase comune, dietro alla facciata
del packer polimorfico; all'applicazione
viene assegnata una nuova interfaccia,
con aspetto e funzionalità nuovi, ma
il comportamento rimane identico.
Fig.6
Fig.7
White paper Sophos - Gennaio 2013
Fig.8
4
Bloccare i fake antivirus: come tenere lo scareware alla larga dalla vostra rete
Vettori di infezione
Come si contrae un'infezione
di fake antivirus?
Sebbene esistano vari modi diversi in cui un
determinato fake antivirus può insediarsi
in un sistema, la maggior parte dei metodi
di distribuzione si affida all'ingegneria
sociale. Seguendo un metodo simile a quello
utilizzato da molti altri tipi di trojan, l'utente
finisce per cadere in trappola e avviare il file
eseguibile del programma di installazione
del fake antivirus. Gli autori dei fake antivirus
utilizzano una vasta gamma di stratagemmi
di ingegneria sociale, continuando
costantemente ad escogitarne di nuovi.
In questo documento, vengono
esaminate diverse fonti principali
di infezione di fake antivirus:
ÌÌ Poisoning tramite ottimizzazione
dei motori di ricerca
ÌÌ Campagne di spam tramite e-mail
ÌÌ Siti manomessi e payload di exploit
ÌÌ Download di fake antivirus a
opera di altro malware
Poisoning tramite ottimizzazione
dei motori di ricerca
Una comune fonte di infezione di fake
antivirus sono i link ottenuti durante la
ricerca di termini d'attualità su motori
di ricerca molto usati. Gli autori dei fake
antivirus fanno in modo che, nei risultati
della ricerca, i link ai siti di download
dei fake antivirus risultino in evidenza,
utilizzando tecniche di Black Hat SEO8. I
risultati sottoposti a poisoning reindirizzano
gli utenti su un sito Web controllato
da un fake antivirus, che visualizza una
pagina di scansione fasulla; all'utente
viene comunicato che sul computer è
presente un virus, e che è necessario
scaricare un determinato programma
per rimuoverlo. In alternativa, può essere
visualizzata una pagina di download di
film fasulla, in cui gli utenti sono invitati
a scaricare un codec per poter vedere
il film. Il codec è in realtà il programma
di installazione di un fake antivirus.
Google Trends è un servizio a cura di
Google che mette in evidenza i termini più
frequentemente inseriti nel suo motore
di ricerca. Ecco un esempio di come i
termini di ricerca prelevati da Google
Trends vengono soggetti a poisoning
da parte degli autori dei fake antivirus.
Effettuiamo una ricerca sui termini di Hot
Searches nelle ultime 24 ore (vedi fig.9).
Fig.9
White paper Sophos - Gennaio 2013
5
Bloccare i fake antivirus: come tenere lo scareware alla larga dalla vostra rete
Se si selezionano o se si effettua una ricerca
Gli utenti possono anche essere reindirizzati
su questi termini, compariranno diversi risultati su una pagina di download di film fasulla, che
che sono stati soggetti a poisoning (vedi fig.10). segnala la necessità di scaricare un codec per
vedere il film desiderato (vedi fig.14 e 15).
Cliccando su questi link, l'utente viene
indirizzato su una pagina di scansione fasulla, In entrambi i casi gli utenti vengono indotti
in cui viene comunicato che sul computer sono con l'inganno a scaricare e ad eseguire un
presenti infezioni multiple, e che è necessario file sconosciuto, che in realtà contiene il
programma di installazione di un fake antivirus.
scaricare un determinato programma
per rimuovere le minacce (vedi fig.11).
Fig.10
Fig.13
Fig.11
Fig.14
Fig.12
Fig.15
White paper Sophos - Gennaio 2013
6
Bloccare i fake antivirus: come tenere lo scareware alla larga dalla vostra rete
Campagne di spam
Spesso i fake antivirus vengono inviati
direttamente alla vittima sotto forma di
allegato o di link in un messaggio di spam.
Tale messaggio viene inviato principalmente
tramite e-mail, ma sono state osservate
anche altre forme di spam che fungono da
vettori di fake antivirus, come ad esempio
applicazioni di messaggistica istantanea,
incluso Google Talk10. Di solito questo
messaggio di spam si serve di tecniche di
ingegneria sociale per indurre con l'inganno
gli utenti a scaricare il file allegato o
cliccare su un determinato link. Nello
specifico, le campagne variano a seconda
del caso, e includono reimpostazione di
password, messaggi di mancato invio, e
truffe del tipo "Hai ricevuto una e-card".
ÌÌ Truffe relative a e-card: l'utente riceve
un'e-mail che dall'aspetto sembra
essere stata inviata da una società di
e-card legittima. In realtà, l'allegato
è il programma di installazione di
un fake antivirus (vedi fig.17).
ÌÌ Truffe relative alla reimpostazione di
una password: le vittime ricevono un
messaggio che sembra provenire da
un sito Web famoso; tale messaggio
segnala che la loro password è stata
modificata, e che quella nuova è
contenuta nel file allegato (vedi fig.18).
ÌÌ Truffe relative alla consegna di un pacco
postale: i dati di una recente spedizione
postale (fasulla) vengono inclusi in
un allegato. In realtà, tale allegato
installa un fake antivirus (vedi fig.19).
Esempi di campagne di spam tramite e-mail
che distribuiscono fake antivirus includono:
ÌÌ Truffe relative alla sospensione di
un account: le vittime ricevono un
messaggio di posta elettronica che le
informa che l'accesso a un determinato
account è stato bloccato, e che
devono eseguire il file allegato per
risolvere il problema (vedi fig.16).
Fig.16
Fig.18
Fig.17
Fig.19
White paper Sophos - Gennaio 2013
7
Bloccare i fake antivirus: come tenere lo scareware alla larga dalla vostra rete
Siti manomessi e payload di exploit
Talvolta gli utenti possono venire indirizzati
su siti di fake antivirus mentre navigano su
siti Web legittimi che sono stati manomessi,
e nelle cui pagine è stato inserito del
malware. Ciò può verificarsi quando vengono
violate le difese del server di hosting del sito
in questione, e vengono allegati JavaScript
alle pagine HTML da esso ospitate. Il codice
di reindirizzamento può essere utilizzato
per dirigere il browser su qualsiasi tipo
di pagina contenente malware, che può
includere kit di exploit e fake antivirus.
Il codice JavaScript è quasi sempre ben
offuscato, e Sophos rileva questo tipo di
malware come variante di Troj/JSRedir11.
I SophosLabs hanno inoltre osservato
che alcuni hacker compromettono feed di
annunci pubblicitari online legittimi, per
far sì che al loro posto venga scaricato del
malware. Quest'ultimo può presentarsi
sotto le spoglie di un exploit che scarica
ed esegue come payload il file binario di
un fake antivirus, oppure di un semplice
iframe che dirige il browser su una
pagina contenente fake antivirus12, 13.
White paper Sophos - Gennaio 2013
Download di fake antivirus a
opera di altro malware
I fake antivirus possono essere scaricati
su altri computer utilizzando altri tipi di
malware. Nei SophosLabs sono presenti
molti computer che fungono da honeypot
(esca) e su cui sono presenti diversi tipi
di malware; i nostri esperti ne osservano
il comportamento, per poter garantire
lo stesso livello di protezione quando ne
vengono scaricate nuove varianti. Si è
notato che i computer infetti subiscono
attacchi di fake antivirus da parte di
molte famiglie, in particolar modo TDSS,
Virtumundo e Waled14. Anche il famigerato
worm Conficker installa fake antivirus
su computer infetti15. In questo modo,
un hacker che ha infettato un computer
con TDSS o Virtumundo può estorcere
altri soldi alle vittime, costringendole
ad acquistare un fake antivirus.
Esiste anche un modello "pay-per-install",
secondo il quale gli hacker vengono
retribuiti per ciascuna installazione
effettuata sui computer degli utenti. Con
questo sistema, gli hacker controllano
il computer della vittima (servendosi
di TDSS o simili tipi di malware) e vi
installano il fake antivirus, ricevendo quindi
un compenso da parte dei suoi autori.
8
Bloccare i fake antivirus: come tenere lo scareware alla larga dalla vostra rete
Famiglie di fake antivirus
Ci accingiamo ora a descrivere in maniera
più dettagliata il comportamento
dei fake antivirus quando riescono
a infiltrarsi in un sistema.
Installazione nel registro di sistema
Il comportamento tipico di un fake
antivirus prevede la copia del programma
di installazione in un altro percorso
all'interno del sistema, e la creazione
di una voce di registro che apra il file
eseguibile all'avvio del sistema.
Spesso il programma di installazione
viene copiato nell'area "profilo utente" (ad
es.C:\Documents and Settings\<utente>\
Impostazioni Locali\Dati Applicazioni),
o nell'area "file temporanei" (ad es. c:\
windows\temp) con un nome file generato
in maniera casuale. Questo stratagemma
rende il fake antivirus conforme alla
protezione UAC (Controllo account utente)
nei computer Windows su cui UAC16 è
abilitato, evitando così avvisi popup durante
l'installazione. Tuttavia, alcune di queste
famiglie non tengono in considerazione
l'UAC, e continuano a creare file all'interno
delle cartelle "Programmi" o "Windows".
Viene quindi creata una voce chiave nel
registro che esegue il file all'avvio del
sistema. Solitamente, viene aggiunta
a uno dei seguenti percorsi:
ÌÌ HKCU\Software\Microsoft\Windows\
CurrentVersion\RunOnce
ÌÌ HKCU\Software\Microsoft\
Windows\CurrentVersion\Run
ÌÌ HKLM\Software\Microsoft\
Windows\CurrentVersion\Run
Esempi:
HKLM\SOFTWARE\Microsoft\Windows\
CurrentVersion\Runwpkarufv
c:\documents and settings\<utente>\
impostazioni locali\dati applicazioni\
tqaxywicl\chgutertssd.exe
HKCU\Software\Microsoft\Windows\
CurrentVersion\RunOnceCUA
c:\windows\temp\sample.exe
HKLM\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run85357230
c:\documents and settings\all users\dati
applicazioni\85357230\85357230.exe
White paper Sophos - Gennaio 2013
9
Bloccare i fake antivirus: come tenere lo scareware alla larga dalla vostra rete
Avvio di una scansione fasulla
Una volta installato, il fake antivirus
cercherà di contattare un sito Web
remoto tramite HTTP e spesso riuscirà a
scaricare il componente principale. Tale
processo avvierà una scansione fasulla
del sistema, in cui verranno rilevate
diverse minacce inesistenti. Di solito la
schermata principale di un fake antivirus
ha un aspetto altamente professionale; le
vittime possono quindi essere facilmente
persuase che stanno utilizzando un prodotto
di sicurezza autentico (vedi fig.20-25).
Fig.22
Fig.23
Fig.20
Fig.24
Fig.21
Fig.25
White paper Sophos - Gennaio 2013
10
Bloccare i fake antivirus: come tenere lo scareware alla larga dalla vostra rete
Una volta individuate queste minacce
fasulle, agli utenti viene comunicato che, per
poter rimuovere tali minacce, è necessario
registrarsi o attivare il prodotto. Gli utenti
vengono indirizzati (tramite browser o
mediante un'applicazione del fake antivirus)
su un sito di registrazione in cui viene
richiesto l'inserimento del numero della
carta di credito e di altri dati personali.
Anche queste pagine sono estremamente
convincenti; a volte utilizzano illegalmente
logo e marchi registrati di rinomate aziende
del settore, quali ad esempio Virus Bulletin17
e West Coast Labs18 (vedi fig.26-31).
Fig.28
Fig.29
Fig.26
Fig.30
Fig.27
White paper Sophos - Gennaio 2013
Fig.31
11
Bloccare i fake antivirus: come tenere lo scareware alla larga dalla vostra rete
Altri comportamenti dei fake antivirus
Alcune famiglie di fake antivirus affliggono
ulteriormente le vittime, interferendo con
la consueta attività di sistema. Di solito ciò
implica la disabilitazione della Gestione
attività e dell'Editor del registro di sistema,
l'impossibilità di eseguire alcuni processi e
addirittura il reindirizzamento delle richieste
Web. Tali comportamenti convincono
ancora di più l'utente della presenza di
un problema nel sistema, aumentando la
probabilità di acquisto. Questo tipo di attività
può assumere le seguenti sembianze:
ÌÌ Chiusura dei processi: i fake antivirus
impediscono l'esecuzione di determinati
programmi, visualizzando invece un
messaggio di avviso (vedi fig. 32 e 33).
Di solito i fake antivirus consentono
l'esecuzione di Explorer e Internet
Explorer, quindi rinominare un eseguibile
"explorer.exe" o "iexplore.exe" dovrebbe
permetterne l'esecuzione.
ÌÌ Reindirizzamento delle pagine Web:
alcune famiglie di fake antivirus
reindirizzano le richieste Web di siti
legittimi su un messaggio di errore o altri
tipi di messaggi di avviso. Ciò contribuisce a
fomentare il timore dell'utente e aumenta
la possibilità che questi sia disposto ad
acquistare il fake antivirus (vedi fig.34).
ÌÌ Installazione di altro malware: si è notato
che, al momento dell'installazione,
i fake antivirus scaricano altri tipi di
malware, come ad esempio trojan
mirati all'acquisizione di coordinate
bancarie, rootkit e spam bot.
Prevenzione e protezione
Ci sono molti modi per bloccare i fake
antivirus: sul Web, tramite e-mail e con
la protezione degli endpoint. Il malware
è complesso, e proteggere l'ambiente IT
aziendale è un lavoro a tempo pieno. Il
software antivirus è solamente il primo
passo. È necessaria una difesa solida, che
diminuisca i rischi a cui è esposta la vostra
azienda proteggendo tutti i punti di attacco.
La difesa più efficace contro la minaccia
dei fake antivirus è una soluzione di
sicurezza completa e a livelli multipli.
Il rilevamento può e deve avvenire
in ciascuna fase dell'infezione.
ÌÌ Riduzione della superficie dell'attacco
ÌÌ Protezione su tutti i fronti
ÌÌ Blocco degli attacchi
ÌÌ Continuità lavorativa
ÌÌ Formazione degli utenti
Fig.32
Fig.33
White paper Sophos - Gennaio 2013
Fig.34
12
Bloccare i fake antivirus: come tenere lo scareware alla larga dalla vostra rete
Quanto segue sono utili consigli su come
creare questo tipo di difesa a livelli multipli:
Riduzione della superficie dell'attacco:
al fine di limitare la superficie di attacco,
Sophos filtra gli URL e blocca lo spam,
per impedire ai fake antivirus di giungere
agli utenti. Bloccando i domini e gli URL
da cui vengono scaricati i fake antivirus, è
possibile prevenire l'infezione e far sì che
non si verifichi. I clienti Sophos sono protetti
dal filtro URL di Sophos Web Security and
Control19, nonché dai più recenti prodotti di
sicurezza per computer endpoint. Sophos
Email Security and Data Protection blocca
lo spam contenente fake antivirus ancor
prima che l'utente se ne accorga20.
Protezione su tutti i fronti: la protezione
deve però fare di più, ed è proprio questo che
ottenete da Sophos, con Web Protection,
Live Protection e Firewall per gli endpoint.
Sophos Endpoint Security and Control
effettua il rilevamento dei contenuti del
Web, inclusi i JavaScript e gli HTML utilizzati
sulle pagine di fake antivirus e codec fasulli.
Il rilevamento a questo livello impedisce il
download dei file binari di un fake antivirus
(ad es. Mal/FakeAVJs, Mal/VidHtml).
Oltre a ciò, Sophos Live Protection consente
al prodotto Sophos Endpoint Security
and Control di contattare direttamente i
SophosLabs ogni qual volta individui un
file sospetto, al fine di stabilire se il file
in questione sia un fake antivirus o un
altro tipo di malware. Questa funzione
permette di bloccare automaticamente e in
tempo reale i nuovi casi di malware, ancor
prima che abbiano la possibilità di essere
eseguiti. L'accesso immediato vi aiuta a
chiudere la finestra di tempo fra l'attimo
in cui viene comunicato ai SophosLabs il
verificarsi un attacco e il momento in cui
gli utenti cominciano a essere protetti.
White paper Sophos - Gennaio 2013
La protezione del firewall significa
che Sophos Client Firewall può essere
configurato per bloccare le connessioni
in uscita originate da programmi
sconosciuti; ciò impedisce ai fake antivirus
di "richiamare" gli autori per ricevere
aggiornamenti dei download o inviare i
dati della carta di credito della vittima.
Blocco degli attacchi: bloccare un
attacco richiede software antimalware,
costanti aggiornamenti e applicazione di
patch, nonché funzioni di rilevamento di
runtime. Per rilevare in maniera proattiva
i file contenenti fake antivirus, il nostro
agente antivirus Sophos garantisce una
protezione completa, oltre a scansioni a
basso impatto per rilevare malware, adware,
file e comportamenti sospetti e software
non autorizzato. Grazie alla tecnologia
Behavioral Genotype è possibile rilevare
diverse migliaia di file contenenti fake
antivirus con un'unica identità. Il numero
di campioni attualmente rilevati come
varianti di Mal/FakeAV e Mal/Fake Ale è
di gran lunga superiore a mezzo milione.
Ovviamente anche gli aggiornamenti e
le patch sono essenziali per mantenere
aggiornato il software antivirus, e vanno
applicati a tutti i livelli della protezione. Il
software antivirus va mantenuto aggiornato
mediante funzioni di aggiornamento
automatiche, per garantire la protezione
più recente in maniera costante. Le
patch vanno applicate anche ad altri tipi
di software, come il sistema operativo
e altre applicazioni molto usate, ad
es. Adobe Reader; ciò impedisce lo
sfruttamento di qualsiasi punto debole
della sicurezza. Una difesa statica non sarà
in grado di tenere il passo con le nuove
varianti, in quanto gli attacchi cambiano
continuamente. È quindi importante
effettuare gli aggiornamenti e applicare
le patch non appena vengono ricevuti.
13
Bloccare i fake antivirus: come tenere lo scareware alla larga dalla vostra rete
per una configurazione che consente
agli utenti di ricevere queste notifiche; in
alternativa, si può scegliere di mostrare
questi messaggi solamente al team che
si occupa della sicurezza informatica.
Il rilevamento di runtime è estremamente
importante, in quanto, se il file eseguibile
di un fake antivirus riesce a eludere gli
altri livelli di protezione, il Sophos Host
Intrusion Prevention System (HIPS) può
rilevare e bloccare il comportamento del
campione di fake antivirus non appena provi
a eseguirsi nel sistema21. La funzionalità
HIPS include regole appositamente studiate
per individuare fake antivirus. In sostanza, se
il programma osserva un comportamento
pericoloso da parte di un software di
fake antivirus, termina il processo: un
blocco su un altro livello di protezione.
Formazione degli utenti: anche informare
gli utenti è una parte essenziale della
strategia di difesa. Gli utenti devono essere
consci di non dover cliccare su elementi
sospetti. Ma è bene anche ricordargli che
la protezione antivirus dei loro computer
è affidata al reparto IT. Se hanno dei
dubbi relativi all'antivirus, oppure se
ricevono strani messaggi popup, devono
contattare il reparto IT, invece di cercare
di risolvere il problema da soli. È inoltre
essenziale rifiutare categoricamente
qualsiasi software antimalware che offra
una scansione gratuita ma che richieda
un pagamento per la rimozione. I marchi
rispettabili non si comportano in questo
modo: la valutazione di un antivirus
consente di provare sia rilevamento
che rimozione prima dell'acquisto.
Continuità lavorativa: agli utenti tutto
ciò non interessa molto. Vogliono
semplicemente svolgere il proprio lavoro. Ed
è questo il motivo per cui Sophos fornisce
al personale IT una visibilità completa del
rilevamento dei fake antivirus, inviando
messaggi di allarme nel caso in cui venga
bloccato del malware e rimuovendolo dai
computer degli utenti. È possibile optare
Bloccare i fake antivirus
ce
rfa
su
k
ac
Pro
tec
t
URL Filtering
Educate Users
Web Application
Firewall
Endpoint Web
Protection
Complete
Security
Clean up
ev
re
he
yw
er
Re
du
ce
at
t
Protezione completa contro una minaccia dilagante
Live Protection
ep
br
ea
Ke
ch
es
Anti-malware
rk i
ng
Patch Manager
S to
d
op
Visibility
wo
an
pe
le
tt
pa
ac
ks
Fig.35
White paper Sophos - Gennaio 2013
14
Bloccare i fake antivirus: come tenere lo scareware alla larga dalla vostra rete
Quelli che seguono sono tre ulteriori consigli
pratici per la protezione degli utenti di Mac.
ÌÌ Se si utilizza Safari, disattivare l'opzione
"apri file 'sicuri' dopo il download".
Questo accorgimento impedisce ai
file più usati dagli autori di scareware
(come i programmi di installazione ZIP)
di venire eseguiti automaticamente,
nell'eventualità che gli utenti clicchino
inavvertitamente sui loro link.
ÌÌ Non fidarsi del rilevamento di malware
incorporato XProtect di Apple. È meglio
di niente, ma rileva solamente i virus che
sfruttano tecniche di base, e solamente
se vengono rispettate certe condizioni.
Ad esempio, il malware contenuto in
una chiave USB passerebbe inosservato,
così come il malware già presente sul
vostro Mac. Inoltre, scarica aggiornamenti
solamente una volta ogni 24 ore, il che
oggi come oggi probabilmente non basta.
ÌÌ Installare software antivirus autentico.
Per ironia della sorte, l'Apple App Store
è il peggior posto dove cercare: qualsiasi
antivirus in vendita nell'App Store deve
soddisfare il requisito di Apple che
prevede l'esclusione del componente
di filtraggio basato su kernel (noto
anche come scanner in tempo reale o
in accesso), che è essenziale per una
prevenzione antivirus affidabile.
Conclusione
I fake antivirus continuano a essere una minaccia
estremamente diffusa; rappresentano un problema costante
e i potenziali vantaggi economici per i criminali informatici
significano che i fake antivirus non sono in procinto di svanire.
Già adesso i fake antivirus vengono distribuiti attraverso un
vasto numero di fonti. La varietà e l'inventiva dei loro metodi
di distribuzione possono solamente aumentare.
Fortunatamente gli utenti sono in grado di difendersi, con
l'aiuto di una soluzione di sicurezza completa e a livelli
multipli che rileva e protegge dai fake antivirus su tutti i livelli
possibili.
White paper Sophos - Gennaio 2013
15
Bloccare i fake antivirus: come tenere lo scareware alla larga dalla vostra rete
Bibliografia
http://www.sophos.com/blogs/sophoslabs/?p=6765
1. “The Partnerka – What is it, and why should you care?”
Documento tecnico a cura di Sophos, http://www.sophos.
com/security/technical-papers/samosseiko-vb2009paper.html
12.“New York Times pwned to serve scareware pop-ups”
The Register, http://www.theregister.co.uk/2009/09/14/
nyt_scareware_ad_hack/
2. “Fake antivirus Uses False ‘Microsoft Security Updates’”
Blog dei SophosLabs, http://www.sophos.com/blogs/
sophoslabs/?p=8564
13.“Scareware Traversing the World via a Web App Exploit”
SANS Institute InfoSec Reading Room, http://www.sans.
org/reading_room/whitepapers/incident/scarewaretraversing-world-web-app-exploit_33333
3. “Free fake antivirus at Virus-Total (That’s not VirusTotal)”
Blog dei SophosLabs, http://www.sophos.com/blogs/
sophoslabs/?p=8885
4. “Phantom app risk used to bait scareware trap” The
Register, http://www.theregister.co.uk/2010/01/27/
facebook_scareware_scam
5. “Scareware scammers exploit 9/11” Blog di Sophos,
http://www.sophos.com/blogs/gc/g/2009/09/11/
scareware-scammers-exploit-911
6. “Fake antivirus Generates Own Fake Malware” Blog
dei SophosLabs, http://www.sophos.com/blogs/
sophoslabs/?p=6377
7. “Mal/FakeVirPk-A” Analisi di sicurezza Sophos, http://
www.sophos.com/security/analyses/viruses-andspyware/malfakevirpka.html
8. “Poisoned search results: How hackers have automated
search engine poisoning attacks to distribute malware”
Documento tecnico a cura dei SophosLabs, http://www.
sophos.com/sophos/docs/eng/papers/sophos-seoinsights.pdf
9. Google Trends http://www.google.com/trends
10.“Google Talk used to distribute Fake AV” Blog di Sophos,
http://www.sophos.com/blogs/chetw/g/2010/03/20/
google-talk-distribute-fake-av/
14.“Mal/TDSS-A” Analisi di sicurezza Sophos, http://www.
sophos.com/security/analyses/viruses-and-spyware/
maltdssa.html
“Troj/Virtum-Gen” Analisi di sicurezza Sophos, http://
www.sophos.com/security/analyses/viruses-andspyware/trojvirtumgen.html
“Mal/WaledPak-A” Analisi di sicurezza Sophos, http://
www.sophos.com/security/analyses/viruses-andspyware/malwaledpaka.html
15.“Conficker zombies celebrate ‘activation’ anniversary”
The Register, http://www.theregister.co.uk/2010/04/01/
conficker_anniversary/
16.“User Account Control Step-by-Step Guide” Microsoft
TechNet, http://technet.microsoft.com/en-us/library/
cc709691(WS.10).aspx
17. Virus Bulletin http://www.virusbtn.com/
18.West Coast Labs http://www.westcoastlabs.com/
19.Sophos Web Security and Control http://www.sophos.
com/products/enterprise/web/security-and-control/
20.Sophos Email Security and Data Protection http://www.
sophos.com/products/enterprise/email/security-andcontrol/
21.Sophos HIPS http://www.sophos.com/security/
sophoslabs/sophos-hips/index.html
11.“More fake AV SEO poisoning” Blog dei SophosLabs,
Sophos EndUser Protection
Get a Free Trial
Boston, USA | Oxford, Regno Unito
© Copyright 2013. Sophos Ltd. Tutti i diritti riservati.
Tutti i marchi sono proprietà dei rispettivi titolari.
White paper Sophos 1/13.dNA
Fly UP