Comments
Description
Transcript
Bloccare i fake antivirus
Bloccare i fake antivirus: come tenere lo scareware alla larga dalla vostra rete I fake antivirus (FakeAV) sono una delle minacce più frequenti in cui ci si possa imbattere sul Web al giorno d'oggi. Noti anche come rogue antivirus, rogue, o scareware, i fake antivirus si servono dell'ingegneria sociale per attirare gli utenti su siti malevoli, sfruttandone le paure, per indurli all'acquisto di strumenti di rimozione delle minacce fasulli. Questo documento offre un'analisi approfondita dell'origine dei fake antivirus e della loro metodologia di distribuzione; descrive inoltre le conseguenze subite da un sistema su cui si è infiltrato un fake antivirus e indica come impedire a questa continua minaccia di attaccare rete e utenti. Bloccare i fake antivirus: come tenere lo scareware alla larga dalla vostra rete Che cosa sono i fake antivirus? I fake antivirus sono software di sicurezza fasulli che fingono di rilevare pericolose minacce alla sicurezza (come ad es. virus) sui vostri computer. La scansione iniziale è gratuita; ma bisogna pagare per rimuovere le “minacce” rilevate, che sono in realtà inesistenti. Questo tipo di malware mostra agli utenti messaggi di allarme fasulli, che segnalano la presenza di minacce sui loro computer (anche se in realtà tali minacce non esistono). Gli avvisi spingono gli utenti a visitare un sito in cui verrà richiesto un pagamento per la rimozione di queste minacce inesistenti. Il malware fake antivirus continua a inviare avvisi fastidiosi e invadenti, fino a quando si effettua un pagamento o si rimuove il malware stesso. Questo documento fornisce un approfondimento sulla provenienza dei fake antivirus, sulle conseguenze subite da un sistema infettato da essi, e su come gli utenti possono proteggersi da questo tipo di malware. White paper Sophos - Gennaio 2013 Perché i fake antivirus sono così gettonati fra i criminali informatici? Perché sono un'importante fonte di guadagno. A differenza di altri tipi di malware (come ad esempio bot, backdoor trojan, downloader e programmi di intercettazione delle password), i fake antivirus inducono le vittime a trasferire denaro direttamente all'autore del malware. Le vittime versano in media $120 tramite carta di credito, per il pagamento di software inutile che a detta dei malfattori dovrebbe risolvere il problema. I fake antivirus sono anche associati a una proficua rete di affiliati che ricava ingenti somme di denaro indirizzando gli utenti sui siti dei propri partner1. Gli affiliati possono rapidamente generare utili, in quanto vengono ricompensati dalle reti di distribuzione con somme comprese fra i 25 e i 35 dollari, semplicemente per l'aver "generato contatti" infettando altri computer. 2 Bloccare i fake antivirus: come tenere lo scareware alla larga dalla vostra rete Presso i SophosLabs, viene osservata la comparsa di tipi di fake antivirus sempre nuovi e vari. Oggi come oggi, i Mac sono uno dei bersagli principali, con attacchi di ingegneria sociale che fungono da esca per i Mac. Abbiamo attentamente monitorato lo sviluppo del malware rivolto a Mac OS X; la conclusione che ne abbiamo dedotto è che i fake antivirus per Mac si stanno evolvendo rapidamente, prendendo spunto dal panorama del malware dei sistemi Windows. Tipici sintomi di infezione Solitamente, i fake antivirus utilizzano una vasta gamma di tecniche di ingegneria sociale per indurre ad effettuarne l'installazione. Le loro campagne includono: ÌÌ Aggiornamenti fasulli della protezione di Windows2 ÌÌ Pagine Virus-Total fasulle3 ÌÌ Applicazioni di Facebook fasulle4 ÌÌ Truffe legate all'11 settembre5 Per attaccare gli utenti con fake antivirus, gli hacker stanno adoperando anche stratagemmi di poisoning delle immagini, della ricerca di immagini e delle tematiche di monitoraggio. Oltre a questa tendenza, i SophosLabs hanno notato il proliferare del fenomeno di rebranding dei fake antivirus, per confondere gli utenti ed eludere il rilevamento. Una volta insediatisi in un sistema, i loro comportamenti mostrano diversi temi ricorrenti: Avvisi popup Molte famiglie di fake antivirus visualizzano messaggi popup (vedi fig.1-5). Fig.2 Fig.3 Fig.1 White paper Sophos - Gennaio 2013 Fig.4 Fig.5 3 Bloccare i fake antivirus: come tenere lo scareware alla larga dalla vostra rete Scansioni fasulle Di norma i fake antivirus fingono di effettuare la scansione del computer e di individuare minacce in realtà inesistenti, creando talora file dal contenuto indesiderato che vengono quindi rilevati6 (vedi fig.6-8). ÌÌ AntiVirus AntiSpyware 2011 ÌÌ Malware Protection ÌÌ XP Security 2012 ÌÌ Security Protection ÌÌ XP Antivirus 2012 I fake antivirus utilizzano una vastissima gamma di nomi convincenti per creare un'illusione di legittimità, come ad esempio: ÌÌ MacDefender ÌÌ Security Shield ÌÌ Mac Security ÌÌ Windows XP Recovery ÌÌ Security Tool ÌÌ Internet Defender ÌÌ PC Security Guardian ÌÌ BitDefender 2011 ÌÌ Security Defender ÌÌ Antimalware Tool ÌÌ Smart Internet Protection ÌÌ XP Anti-Spyware 2011 Possono essere presenti diverse migliaia di varianti per ciascuna famiglia, in quanto spesso vengono utilizzate tecniche quali il polimorfismo lato server per alterare il file eseguibile di un fake antivirus. In questo processo, il file eseguibile viene modificato offline; al momento della richiesta di download viene quindi scaricato un file diverso. Ciò può verificarsi diverse volte nell'arco di 24 ore. Una famiglia in particolare, denominata “Security Tool”7, è nota per la produzione di file diversi quasi ogni minuto. Ecco il motivo per cui un'unica famiglia può produrre un così elevato numero di esempi diversi. Molte famiglie sono inoltre dotate di un codebase comune, dietro alla facciata del packer polimorfico; all'applicazione viene assegnata una nuova interfaccia, con aspetto e funzionalità nuovi, ma il comportamento rimane identico. Fig.6 Fig.7 White paper Sophos - Gennaio 2013 Fig.8 4 Bloccare i fake antivirus: come tenere lo scareware alla larga dalla vostra rete Vettori di infezione Come si contrae un'infezione di fake antivirus? Sebbene esistano vari modi diversi in cui un determinato fake antivirus può insediarsi in un sistema, la maggior parte dei metodi di distribuzione si affida all'ingegneria sociale. Seguendo un metodo simile a quello utilizzato da molti altri tipi di trojan, l'utente finisce per cadere in trappola e avviare il file eseguibile del programma di installazione del fake antivirus. Gli autori dei fake antivirus utilizzano una vasta gamma di stratagemmi di ingegneria sociale, continuando costantemente ad escogitarne di nuovi. In questo documento, vengono esaminate diverse fonti principali di infezione di fake antivirus: ÌÌ Poisoning tramite ottimizzazione dei motori di ricerca ÌÌ Campagne di spam tramite e-mail ÌÌ Siti manomessi e payload di exploit ÌÌ Download di fake antivirus a opera di altro malware Poisoning tramite ottimizzazione dei motori di ricerca Una comune fonte di infezione di fake antivirus sono i link ottenuti durante la ricerca di termini d'attualità su motori di ricerca molto usati. Gli autori dei fake antivirus fanno in modo che, nei risultati della ricerca, i link ai siti di download dei fake antivirus risultino in evidenza, utilizzando tecniche di Black Hat SEO8. I risultati sottoposti a poisoning reindirizzano gli utenti su un sito Web controllato da un fake antivirus, che visualizza una pagina di scansione fasulla; all'utente viene comunicato che sul computer è presente un virus, e che è necessario scaricare un determinato programma per rimuoverlo. In alternativa, può essere visualizzata una pagina di download di film fasulla, in cui gli utenti sono invitati a scaricare un codec per poter vedere il film. Il codec è in realtà il programma di installazione di un fake antivirus. Google Trends è un servizio a cura di Google che mette in evidenza i termini più frequentemente inseriti nel suo motore di ricerca. Ecco un esempio di come i termini di ricerca prelevati da Google Trends vengono soggetti a poisoning da parte degli autori dei fake antivirus. Effettuiamo una ricerca sui termini di Hot Searches nelle ultime 24 ore (vedi fig.9). Fig.9 White paper Sophos - Gennaio 2013 5 Bloccare i fake antivirus: come tenere lo scareware alla larga dalla vostra rete Se si selezionano o se si effettua una ricerca Gli utenti possono anche essere reindirizzati su questi termini, compariranno diversi risultati su una pagina di download di film fasulla, che che sono stati soggetti a poisoning (vedi fig.10). segnala la necessità di scaricare un codec per vedere il film desiderato (vedi fig.14 e 15). Cliccando su questi link, l'utente viene indirizzato su una pagina di scansione fasulla, In entrambi i casi gli utenti vengono indotti in cui viene comunicato che sul computer sono con l'inganno a scaricare e ad eseguire un presenti infezioni multiple, e che è necessario file sconosciuto, che in realtà contiene il programma di installazione di un fake antivirus. scaricare un determinato programma per rimuovere le minacce (vedi fig.11). Fig.10 Fig.13 Fig.11 Fig.14 Fig.12 Fig.15 White paper Sophos - Gennaio 2013 6 Bloccare i fake antivirus: come tenere lo scareware alla larga dalla vostra rete Campagne di spam Spesso i fake antivirus vengono inviati direttamente alla vittima sotto forma di allegato o di link in un messaggio di spam. Tale messaggio viene inviato principalmente tramite e-mail, ma sono state osservate anche altre forme di spam che fungono da vettori di fake antivirus, come ad esempio applicazioni di messaggistica istantanea, incluso Google Talk10. Di solito questo messaggio di spam si serve di tecniche di ingegneria sociale per indurre con l'inganno gli utenti a scaricare il file allegato o cliccare su un determinato link. Nello specifico, le campagne variano a seconda del caso, e includono reimpostazione di password, messaggi di mancato invio, e truffe del tipo "Hai ricevuto una e-card". ÌÌ Truffe relative a e-card: l'utente riceve un'e-mail che dall'aspetto sembra essere stata inviata da una società di e-card legittima. In realtà, l'allegato è il programma di installazione di un fake antivirus (vedi fig.17). ÌÌ Truffe relative alla reimpostazione di una password: le vittime ricevono un messaggio che sembra provenire da un sito Web famoso; tale messaggio segnala che la loro password è stata modificata, e che quella nuova è contenuta nel file allegato (vedi fig.18). ÌÌ Truffe relative alla consegna di un pacco postale: i dati di una recente spedizione postale (fasulla) vengono inclusi in un allegato. In realtà, tale allegato installa un fake antivirus (vedi fig.19). Esempi di campagne di spam tramite e-mail che distribuiscono fake antivirus includono: ÌÌ Truffe relative alla sospensione di un account: le vittime ricevono un messaggio di posta elettronica che le informa che l'accesso a un determinato account è stato bloccato, e che devono eseguire il file allegato per risolvere il problema (vedi fig.16). Fig.16 Fig.18 Fig.17 Fig.19 White paper Sophos - Gennaio 2013 7 Bloccare i fake antivirus: come tenere lo scareware alla larga dalla vostra rete Siti manomessi e payload di exploit Talvolta gli utenti possono venire indirizzati su siti di fake antivirus mentre navigano su siti Web legittimi che sono stati manomessi, e nelle cui pagine è stato inserito del malware. Ciò può verificarsi quando vengono violate le difese del server di hosting del sito in questione, e vengono allegati JavaScript alle pagine HTML da esso ospitate. Il codice di reindirizzamento può essere utilizzato per dirigere il browser su qualsiasi tipo di pagina contenente malware, che può includere kit di exploit e fake antivirus. Il codice JavaScript è quasi sempre ben offuscato, e Sophos rileva questo tipo di malware come variante di Troj/JSRedir11. I SophosLabs hanno inoltre osservato che alcuni hacker compromettono feed di annunci pubblicitari online legittimi, per far sì che al loro posto venga scaricato del malware. Quest'ultimo può presentarsi sotto le spoglie di un exploit che scarica ed esegue come payload il file binario di un fake antivirus, oppure di un semplice iframe che dirige il browser su una pagina contenente fake antivirus12, 13. White paper Sophos - Gennaio 2013 Download di fake antivirus a opera di altro malware I fake antivirus possono essere scaricati su altri computer utilizzando altri tipi di malware. Nei SophosLabs sono presenti molti computer che fungono da honeypot (esca) e su cui sono presenti diversi tipi di malware; i nostri esperti ne osservano il comportamento, per poter garantire lo stesso livello di protezione quando ne vengono scaricate nuove varianti. Si è notato che i computer infetti subiscono attacchi di fake antivirus da parte di molte famiglie, in particolar modo TDSS, Virtumundo e Waled14. Anche il famigerato worm Conficker installa fake antivirus su computer infetti15. In questo modo, un hacker che ha infettato un computer con TDSS o Virtumundo può estorcere altri soldi alle vittime, costringendole ad acquistare un fake antivirus. Esiste anche un modello "pay-per-install", secondo il quale gli hacker vengono retribuiti per ciascuna installazione effettuata sui computer degli utenti. Con questo sistema, gli hacker controllano il computer della vittima (servendosi di TDSS o simili tipi di malware) e vi installano il fake antivirus, ricevendo quindi un compenso da parte dei suoi autori. 8 Bloccare i fake antivirus: come tenere lo scareware alla larga dalla vostra rete Famiglie di fake antivirus Ci accingiamo ora a descrivere in maniera più dettagliata il comportamento dei fake antivirus quando riescono a infiltrarsi in un sistema. Installazione nel registro di sistema Il comportamento tipico di un fake antivirus prevede la copia del programma di installazione in un altro percorso all'interno del sistema, e la creazione di una voce di registro che apra il file eseguibile all'avvio del sistema. Spesso il programma di installazione viene copiato nell'area "profilo utente" (ad es.C:\Documents and Settings\<utente>\ Impostazioni Locali\Dati Applicazioni), o nell'area "file temporanei" (ad es. c:\ windows\temp) con un nome file generato in maniera casuale. Questo stratagemma rende il fake antivirus conforme alla protezione UAC (Controllo account utente) nei computer Windows su cui UAC16 è abilitato, evitando così avvisi popup durante l'installazione. Tuttavia, alcune di queste famiglie non tengono in considerazione l'UAC, e continuano a creare file all'interno delle cartelle "Programmi" o "Windows". Viene quindi creata una voce chiave nel registro che esegue il file all'avvio del sistema. Solitamente, viene aggiunta a uno dei seguenti percorsi: ÌÌ HKCU\Software\Microsoft\Windows\ CurrentVersion\RunOnce ÌÌ HKCU\Software\Microsoft\ Windows\CurrentVersion\Run ÌÌ HKLM\Software\Microsoft\ Windows\CurrentVersion\Run Esempi: HKLM\SOFTWARE\Microsoft\Windows\ CurrentVersion\Runwpkarufv c:\documents and settings\<utente>\ impostazioni locali\dati applicazioni\ tqaxywicl\chgutertssd.exe HKCU\Software\Microsoft\Windows\ CurrentVersion\RunOnceCUA c:\windows\temp\sample.exe HKLM\SOFTWARE\Microsoft\Windows\ CurrentVersion\Run85357230 c:\documents and settings\all users\dati applicazioni\85357230\85357230.exe White paper Sophos - Gennaio 2013 9 Bloccare i fake antivirus: come tenere lo scareware alla larga dalla vostra rete Avvio di una scansione fasulla Una volta installato, il fake antivirus cercherà di contattare un sito Web remoto tramite HTTP e spesso riuscirà a scaricare il componente principale. Tale processo avvierà una scansione fasulla del sistema, in cui verranno rilevate diverse minacce inesistenti. Di solito la schermata principale di un fake antivirus ha un aspetto altamente professionale; le vittime possono quindi essere facilmente persuase che stanno utilizzando un prodotto di sicurezza autentico (vedi fig.20-25). Fig.22 Fig.23 Fig.20 Fig.24 Fig.21 Fig.25 White paper Sophos - Gennaio 2013 10 Bloccare i fake antivirus: come tenere lo scareware alla larga dalla vostra rete Una volta individuate queste minacce fasulle, agli utenti viene comunicato che, per poter rimuovere tali minacce, è necessario registrarsi o attivare il prodotto. Gli utenti vengono indirizzati (tramite browser o mediante un'applicazione del fake antivirus) su un sito di registrazione in cui viene richiesto l'inserimento del numero della carta di credito e di altri dati personali. Anche queste pagine sono estremamente convincenti; a volte utilizzano illegalmente logo e marchi registrati di rinomate aziende del settore, quali ad esempio Virus Bulletin17 e West Coast Labs18 (vedi fig.26-31). Fig.28 Fig.29 Fig.26 Fig.30 Fig.27 White paper Sophos - Gennaio 2013 Fig.31 11 Bloccare i fake antivirus: come tenere lo scareware alla larga dalla vostra rete Altri comportamenti dei fake antivirus Alcune famiglie di fake antivirus affliggono ulteriormente le vittime, interferendo con la consueta attività di sistema. Di solito ciò implica la disabilitazione della Gestione attività e dell'Editor del registro di sistema, l'impossibilità di eseguire alcuni processi e addirittura il reindirizzamento delle richieste Web. Tali comportamenti convincono ancora di più l'utente della presenza di un problema nel sistema, aumentando la probabilità di acquisto. Questo tipo di attività può assumere le seguenti sembianze: ÌÌ Chiusura dei processi: i fake antivirus impediscono l'esecuzione di determinati programmi, visualizzando invece un messaggio di avviso (vedi fig. 32 e 33). Di solito i fake antivirus consentono l'esecuzione di Explorer e Internet Explorer, quindi rinominare un eseguibile "explorer.exe" o "iexplore.exe" dovrebbe permetterne l'esecuzione. ÌÌ Reindirizzamento delle pagine Web: alcune famiglie di fake antivirus reindirizzano le richieste Web di siti legittimi su un messaggio di errore o altri tipi di messaggi di avviso. Ciò contribuisce a fomentare il timore dell'utente e aumenta la possibilità che questi sia disposto ad acquistare il fake antivirus (vedi fig.34). ÌÌ Installazione di altro malware: si è notato che, al momento dell'installazione, i fake antivirus scaricano altri tipi di malware, come ad esempio trojan mirati all'acquisizione di coordinate bancarie, rootkit e spam bot. Prevenzione e protezione Ci sono molti modi per bloccare i fake antivirus: sul Web, tramite e-mail e con la protezione degli endpoint. Il malware è complesso, e proteggere l'ambiente IT aziendale è un lavoro a tempo pieno. Il software antivirus è solamente il primo passo. È necessaria una difesa solida, che diminuisca i rischi a cui è esposta la vostra azienda proteggendo tutti i punti di attacco. La difesa più efficace contro la minaccia dei fake antivirus è una soluzione di sicurezza completa e a livelli multipli. Il rilevamento può e deve avvenire in ciascuna fase dell'infezione. ÌÌ Riduzione della superficie dell'attacco ÌÌ Protezione su tutti i fronti ÌÌ Blocco degli attacchi ÌÌ Continuità lavorativa ÌÌ Formazione degli utenti Fig.32 Fig.33 White paper Sophos - Gennaio 2013 Fig.34 12 Bloccare i fake antivirus: come tenere lo scareware alla larga dalla vostra rete Quanto segue sono utili consigli su come creare questo tipo di difesa a livelli multipli: Riduzione della superficie dell'attacco: al fine di limitare la superficie di attacco, Sophos filtra gli URL e blocca lo spam, per impedire ai fake antivirus di giungere agli utenti. Bloccando i domini e gli URL da cui vengono scaricati i fake antivirus, è possibile prevenire l'infezione e far sì che non si verifichi. I clienti Sophos sono protetti dal filtro URL di Sophos Web Security and Control19, nonché dai più recenti prodotti di sicurezza per computer endpoint. Sophos Email Security and Data Protection blocca lo spam contenente fake antivirus ancor prima che l'utente se ne accorga20. Protezione su tutti i fronti: la protezione deve però fare di più, ed è proprio questo che ottenete da Sophos, con Web Protection, Live Protection e Firewall per gli endpoint. Sophos Endpoint Security and Control effettua il rilevamento dei contenuti del Web, inclusi i JavaScript e gli HTML utilizzati sulle pagine di fake antivirus e codec fasulli. Il rilevamento a questo livello impedisce il download dei file binari di un fake antivirus (ad es. Mal/FakeAVJs, Mal/VidHtml). Oltre a ciò, Sophos Live Protection consente al prodotto Sophos Endpoint Security and Control di contattare direttamente i SophosLabs ogni qual volta individui un file sospetto, al fine di stabilire se il file in questione sia un fake antivirus o un altro tipo di malware. Questa funzione permette di bloccare automaticamente e in tempo reale i nuovi casi di malware, ancor prima che abbiano la possibilità di essere eseguiti. L'accesso immediato vi aiuta a chiudere la finestra di tempo fra l'attimo in cui viene comunicato ai SophosLabs il verificarsi un attacco e il momento in cui gli utenti cominciano a essere protetti. White paper Sophos - Gennaio 2013 La protezione del firewall significa che Sophos Client Firewall può essere configurato per bloccare le connessioni in uscita originate da programmi sconosciuti; ciò impedisce ai fake antivirus di "richiamare" gli autori per ricevere aggiornamenti dei download o inviare i dati della carta di credito della vittima. Blocco degli attacchi: bloccare un attacco richiede software antimalware, costanti aggiornamenti e applicazione di patch, nonché funzioni di rilevamento di runtime. Per rilevare in maniera proattiva i file contenenti fake antivirus, il nostro agente antivirus Sophos garantisce una protezione completa, oltre a scansioni a basso impatto per rilevare malware, adware, file e comportamenti sospetti e software non autorizzato. Grazie alla tecnologia Behavioral Genotype è possibile rilevare diverse migliaia di file contenenti fake antivirus con un'unica identità. Il numero di campioni attualmente rilevati come varianti di Mal/FakeAV e Mal/Fake Ale è di gran lunga superiore a mezzo milione. Ovviamente anche gli aggiornamenti e le patch sono essenziali per mantenere aggiornato il software antivirus, e vanno applicati a tutti i livelli della protezione. Il software antivirus va mantenuto aggiornato mediante funzioni di aggiornamento automatiche, per garantire la protezione più recente in maniera costante. Le patch vanno applicate anche ad altri tipi di software, come il sistema operativo e altre applicazioni molto usate, ad es. Adobe Reader; ciò impedisce lo sfruttamento di qualsiasi punto debole della sicurezza. Una difesa statica non sarà in grado di tenere il passo con le nuove varianti, in quanto gli attacchi cambiano continuamente. È quindi importante effettuare gli aggiornamenti e applicare le patch non appena vengono ricevuti. 13 Bloccare i fake antivirus: come tenere lo scareware alla larga dalla vostra rete per una configurazione che consente agli utenti di ricevere queste notifiche; in alternativa, si può scegliere di mostrare questi messaggi solamente al team che si occupa della sicurezza informatica. Il rilevamento di runtime è estremamente importante, in quanto, se il file eseguibile di un fake antivirus riesce a eludere gli altri livelli di protezione, il Sophos Host Intrusion Prevention System (HIPS) può rilevare e bloccare il comportamento del campione di fake antivirus non appena provi a eseguirsi nel sistema21. La funzionalità HIPS include regole appositamente studiate per individuare fake antivirus. In sostanza, se il programma osserva un comportamento pericoloso da parte di un software di fake antivirus, termina il processo: un blocco su un altro livello di protezione. Formazione degli utenti: anche informare gli utenti è una parte essenziale della strategia di difesa. Gli utenti devono essere consci di non dover cliccare su elementi sospetti. Ma è bene anche ricordargli che la protezione antivirus dei loro computer è affidata al reparto IT. Se hanno dei dubbi relativi all'antivirus, oppure se ricevono strani messaggi popup, devono contattare il reparto IT, invece di cercare di risolvere il problema da soli. È inoltre essenziale rifiutare categoricamente qualsiasi software antimalware che offra una scansione gratuita ma che richieda un pagamento per la rimozione. I marchi rispettabili non si comportano in questo modo: la valutazione di un antivirus consente di provare sia rilevamento che rimozione prima dell'acquisto. Continuità lavorativa: agli utenti tutto ciò non interessa molto. Vogliono semplicemente svolgere il proprio lavoro. Ed è questo il motivo per cui Sophos fornisce al personale IT una visibilità completa del rilevamento dei fake antivirus, inviando messaggi di allarme nel caso in cui venga bloccato del malware e rimuovendolo dai computer degli utenti. È possibile optare Bloccare i fake antivirus ce rfa su k ac Pro tec t URL Filtering Educate Users Web Application Firewall Endpoint Web Protection Complete Security Clean up ev re he yw er Re du ce at t Protezione completa contro una minaccia dilagante Live Protection ep br ea Ke ch es Anti-malware rk i ng Patch Manager S to d op Visibility wo an pe le tt pa ac ks Fig.35 White paper Sophos - Gennaio 2013 14 Bloccare i fake antivirus: come tenere lo scareware alla larga dalla vostra rete Quelli che seguono sono tre ulteriori consigli pratici per la protezione degli utenti di Mac. ÌÌ Se si utilizza Safari, disattivare l'opzione "apri file 'sicuri' dopo il download". Questo accorgimento impedisce ai file più usati dagli autori di scareware (come i programmi di installazione ZIP) di venire eseguiti automaticamente, nell'eventualità che gli utenti clicchino inavvertitamente sui loro link. ÌÌ Non fidarsi del rilevamento di malware incorporato XProtect di Apple. È meglio di niente, ma rileva solamente i virus che sfruttano tecniche di base, e solamente se vengono rispettate certe condizioni. Ad esempio, il malware contenuto in una chiave USB passerebbe inosservato, così come il malware già presente sul vostro Mac. Inoltre, scarica aggiornamenti solamente una volta ogni 24 ore, il che oggi come oggi probabilmente non basta. ÌÌ Installare software antivirus autentico. Per ironia della sorte, l'Apple App Store è il peggior posto dove cercare: qualsiasi antivirus in vendita nell'App Store deve soddisfare il requisito di Apple che prevede l'esclusione del componente di filtraggio basato su kernel (noto anche come scanner in tempo reale o in accesso), che è essenziale per una prevenzione antivirus affidabile. Conclusione I fake antivirus continuano a essere una minaccia estremamente diffusa; rappresentano un problema costante e i potenziali vantaggi economici per i criminali informatici significano che i fake antivirus non sono in procinto di svanire. Già adesso i fake antivirus vengono distribuiti attraverso un vasto numero di fonti. La varietà e l'inventiva dei loro metodi di distribuzione possono solamente aumentare. Fortunatamente gli utenti sono in grado di difendersi, con l'aiuto di una soluzione di sicurezza completa e a livelli multipli che rileva e protegge dai fake antivirus su tutti i livelli possibili. White paper Sophos - Gennaio 2013 15 Bloccare i fake antivirus: come tenere lo scareware alla larga dalla vostra rete Bibliografia http://www.sophos.com/blogs/sophoslabs/?p=6765 1. “The Partnerka – What is it, and why should you care?” Documento tecnico a cura di Sophos, http://www.sophos. com/security/technical-papers/samosseiko-vb2009paper.html 12.“New York Times pwned to serve scareware pop-ups” The Register, http://www.theregister.co.uk/2009/09/14/ nyt_scareware_ad_hack/ 2. “Fake antivirus Uses False ‘Microsoft Security Updates’” Blog dei SophosLabs, http://www.sophos.com/blogs/ sophoslabs/?p=8564 13.“Scareware Traversing the World via a Web App Exploit” SANS Institute InfoSec Reading Room, http://www.sans. org/reading_room/whitepapers/incident/scarewaretraversing-world-web-app-exploit_33333 3. “Free fake antivirus at Virus-Total (That’s not VirusTotal)” Blog dei SophosLabs, http://www.sophos.com/blogs/ sophoslabs/?p=8885 4. “Phantom app risk used to bait scareware trap” The Register, http://www.theregister.co.uk/2010/01/27/ facebook_scareware_scam 5. “Scareware scammers exploit 9/11” Blog di Sophos, http://www.sophos.com/blogs/gc/g/2009/09/11/ scareware-scammers-exploit-911 6. “Fake antivirus Generates Own Fake Malware” Blog dei SophosLabs, http://www.sophos.com/blogs/ sophoslabs/?p=6377 7. “Mal/FakeVirPk-A” Analisi di sicurezza Sophos, http:// www.sophos.com/security/analyses/viruses-andspyware/malfakevirpka.html 8. “Poisoned search results: How hackers have automated search engine poisoning attacks to distribute malware” Documento tecnico a cura dei SophosLabs, http://www. sophos.com/sophos/docs/eng/papers/sophos-seoinsights.pdf 9. Google Trends http://www.google.com/trends 10.“Google Talk used to distribute Fake AV” Blog di Sophos, http://www.sophos.com/blogs/chetw/g/2010/03/20/ google-talk-distribute-fake-av/ 14.“Mal/TDSS-A” Analisi di sicurezza Sophos, http://www. sophos.com/security/analyses/viruses-and-spyware/ maltdssa.html “Troj/Virtum-Gen” Analisi di sicurezza Sophos, http:// www.sophos.com/security/analyses/viruses-andspyware/trojvirtumgen.html “Mal/WaledPak-A” Analisi di sicurezza Sophos, http:// www.sophos.com/security/analyses/viruses-andspyware/malwaledpaka.html 15.“Conficker zombies celebrate ‘activation’ anniversary” The Register, http://www.theregister.co.uk/2010/04/01/ conficker_anniversary/ 16.“User Account Control Step-by-Step Guide” Microsoft TechNet, http://technet.microsoft.com/en-us/library/ cc709691(WS.10).aspx 17. Virus Bulletin http://www.virusbtn.com/ 18.West Coast Labs http://www.westcoastlabs.com/ 19.Sophos Web Security and Control http://www.sophos. com/products/enterprise/web/security-and-control/ 20.Sophos Email Security and Data Protection http://www. sophos.com/products/enterprise/email/security-andcontrol/ 21.Sophos HIPS http://www.sophos.com/security/ sophoslabs/sophos-hips/index.html 11.“More fake AV SEO poisoning” Blog dei SophosLabs, Sophos EndUser Protection Get a Free Trial Boston, USA | Oxford, Regno Unito © Copyright 2013. Sophos Ltd. Tutti i diritti riservati. Tutti i marchi sono proprietà dei rispettivi titolari. White paper Sophos 1/13.dNA