La Sophos Labs
Al giorno d’oggi, quasi tutte le aziende sono in possesso di una protezione della posta elettronica, il che rende difficile distribuire malware tramite e-mail. Ecco perché i criminali informatici sfruttano ora il web come mezzo per la distribuzione di contenuto malevolo. I SophosLabs segnalano 50.000 nuove pagine infette al giorno. Il web è una risorsa allettante per gli autori di malware, e rappresenta una minaccia in costante crescita per tre motivi principali:
Può raggiungervi facilmente:
le minacce si trovano in qualsiasi pagina visitiate in Internet.
Può infettarvi facilmente: le persone e gli utenti sono vulnerabili.
I tradizionali metodi di difesa non sono più efficaci:
un’adeguata protezione dagli odierni attacchi provenienti dal web richiede un approccio nuovo. Quando si naviga in Internet, si può facilmente pensare che i siti di grandi aziende e marchi rinomati siano relativamente sicuri. Tuttavia, le statistiche sui crimini commessi in Rete dimostrano il contrario. In realtà, approssimativamente un sito legittimo su 150 contiene malware. E inoltre, di tutte le pagine web infette, più dell’80% si trova su siti web legittimi. Fra gli utenti corrono alcune voci infondate relative alla vulnerabilità ai virus. Anche gli utenti con competenze avanzate osservano queste regole, poiché ritengono che, seguendole, i propri computer non saranno infettati.
Alcune di queste voci includono le seguenti leggende metropolitane:
Solo gli utenti più ingenui vengono infettati.
Si può venire infettati solamente se si scaricano dei file.
Solamente i siti di pornografia, gioco d’azzardo e altro materiale discutibile sono pericolosi.
Si deve cliccare su un link malevolo per essere infettati.
Ovviamente è comunque buona regola tenersi lontani dai siti sospetti e non scaricare file, né cliccare su link di dubbia provenienza. I siti web di alcuni dei più famosi marchi al mondo sono stati alla mercé dei criminali informatici e utilizzati per distribuire malware o reindirizzare gli utenti su altri URL malevoli, inclusi i siti di alcuni importanti vendor di sistemi di sicurezza.
Come viene utilizzato JavaScript malevolo?
Un “download drive-by” JavaScript viene utilizzato come mezzo per infettare siti web, in quanto è uno dei linguaggi di programmazione su cui si basa Internet. Viene principalmente usato nella forma di JavaScript lato client implementato come parte di un browser web, allo scopo di fornire interfacce utente potenziate e siti web dinamici. Con le attuali funzionalità del Web 2.0, navigare online senza supporto JavaScript non è più un’opzione realistica. Gli autori di malware approfittano di questo fatto. Compromettono siti web legittimi famosi e dal traffico intenso, reindirizzando gli utenti su pagine web malevole a insaputa delle vittime. Ciò avvia il processo di infezione, e, quando gli utenti visitano questi siti malevoli, altri script sfruttano le vulnerabilità lato client. L’inserimento di JavaScript incorporato è un modo per nascondere il reindirizzamento su altri siti in maniera più efficace rispetto a metodi di attacco più elementari, quali ad esempio gli attacchi iframe. Gli attacchi di JavaScript malevolo hanno subito un notevole incremento negli ultimi tre/quattro anni, e vengono utilizzati praticamente in ogni attacco; tuttavia, gli attacchi del giorno d’oggi sono più complessi. La distribuzione di malware via web è ora il metodo di attacco prediletto dai criminali informatici, e, come risultato, vengono scoperte nuove pagine web infettate ogni manciata di secondi. L’inserimento di JavaScript malevolo all’interno di pagine web legittime permette agli hacker di reindirizzare il browser delle vittime senza essere notati, in modo da poter caricare contenuti e malware da un server remoto. Questo cosiddetto “download drive-by” ha creato una serie di problemi di sicurezza sia per le aziende, sia per gli utenti finali.
In che modo gli hacker utilizzano JavaScript malevolo? E allora, come funziona un attacco di JavaScript malevolo?
Innanzi tutto, gli hacker inseriscono il codice all’interno di pagine web legittime. Il codice inserito può essere un elemento HTML iframe, oppure uno script incorporato. Solitamente si tende verso quest’ultimo. Quando la vittima finisce sulla pagina web compromessa, il codice inserito fa sì che il browser carichi, senza farsi notare, contenuto malevolo da un altro sito remoto. Tutto ciò non è visibile alla vittima. Solitamente, il contenuto caricato consiste in componenti multipli progettati per lo sfruttamento delle vulnerabilità lato client. Ad esempio, un mix di contenuto HTML, JavaScript, Flash, PDF e Java. Questo pacchetto è di solito prodotto e gestito mediante un kit che si chiama “pacchetto di exploit”. Tali pacchetti di exploit vengono compilati e venduti a criminali che intendono distribuire malware. È importante notare che non sono richieste tecniche di ingegneria sociale. Non è necessario che l’utente clicchi su un link contenuto in un’e-mail, né che navighi su pagine web potenzialmente a rischio. Basta semplicemente finire su un sito web legittimo che è stato compromesso. Gli utenti che visitano un sito controllato da hacker non hanno alcun modo di accorgersi che il sito è stato violato, in quanto il codice malevolo è invisibile e viene eseguito non appena la pagina si carica nel browser dell’utente. Normalmente, il codice utilizza altri script per prelevare ulteriori componenti malevoli, che a loro volta tentano di sfruttare gli exploit conosciuti all’interno del browser o del sistema operativo per infettarlo, rubare i dati o trasformare il PC in una botnet. La portata di questi attacchi non va sottovalutata, in quanto sono stati presi di mira tutti i tipi di siti: da enti governativi a istituzioni scolastiche, fino ai più noti portali di notizie, blog e social network. Man mano che i vendor di sicurezza aggiungono funzioni sempre nuove per il rilevamento di codici web malevoli, gli hacker rispondono facendo evolvere il malware di pari passo per evitare di essere scoperti. Gli hacker ricorrono ora a JavaScript, utilizzandolo come “collante” per questo genere di attacchi web, in quanto offre la possibilità di nascondere o offuscare il codice, occultando il payload.
In che modo i criminali informatici si arricchiscono grazie a questi attacchi?
Solamente cinque anni fa, gli hacker aggiravano i sistemi di sicurezza di un computer per ottenerne l’accesso illecito come semplice “proof of concept”, o per gratificazione personale. Al giorno d’oggi, l’attività criminale è incentrata sul profitto. Gli hacker moderni possono permettersi di investire denaro, perché molto probabilmente ne otterranno un guadagno. Sono presenti vari modi in cui i criminali possono arricchirsi con questi attacchi, inclusi: La vendita ad altri criminali di kit di exploit, o di • funzioni utilizzate nei kit. Un exploit è una parte di software, un blocco di dati, o una sequenza di comandi che sfrutta un bug, un’anomalia o una vulnerabilità per innescare un comportamento indesiderato o inaspettato all’interno del software di un computer. Frequentemente, ciò include l’appropriazione del controllo del sistema di un computer. L’inserimento di codici malevoli all’interno di siti web legittimi, per reindirizzare il traffico di utenti ovunque desiderino. Poiché controllano il reindirizzamento dal codice inserito, possono praticamente “vendere il traffico”. Il guadagno derivato dal payload del malware che verrà installato. Si arricchiscono mediante furto di dati o tramite botnet, le quali vengono eseguite automaticamente ed autonomamente, ed utilizzate per inviare spam o per effettuare un attacco “denial of service” su un bersaglio remoto. Lo sfruttamento di informazioni relative alle • vulnerabilità del giorno zero. Gli autori degli attacchi sono disposti a pagare ingenti somme di denaro per l’accesso a vulnerabilità del giorno zero. Gli exploit del giorno zero vengono utilizzati o condivisi dai criminali informatici prima ancora che gli sviluppatori del software preso di mira si accorgano di tale vulnerabilità. Alcuni hacker trasformano questa attività in un giro d’affari: trovano nuove vulnerabilità per poi rivenderne le informazioni sul mercato nero. L’uso illegittimo di programmi di marketing di • società affiliate mediante traffico illecito, a scopo di lucro. Dalla comparsa del marketing di affiliati, in cui gli affiliati ricevono incentivi per indurre i clienti a visitare il sito web di una determinata azienda, i controlli sulle attività degli affiliati sono stati minimi. Per reindirizzare il traffico sui siti dei propri sponsor, alcuni affiliati senza scrupoli ricorrono a spam, pubblicità fasulle, clic obbligatori (per far sì che vengano impostati cookie di tracciamento sui computer degli utenti), adware e altri metodi.
E per quanto riguarda gli attacchi SEO?
Gli attacchi basati sull’ottimizzazione dei motori di ricerca (SEO) sono un altro modo in cui i criminali informatici utilizzano il web per infettare utenti tramite malware. Sono diversi dal classico attacco drive-by. Con gli attacchi SEO – noti come “SEO poisoning” – i risultati di un motore di ricerca vengono soggetti a poisoning, per reindirizzare il traffico di utenti su un sito illecito. Google ha segnalato che fino all’1,3% dei suoi risultati di ricerca è infetto. In questo modo, tramite SEO poisoning, si viene reindirizzati su una pagina malevola attraverso una ricerca soggetta a poisoning. In termini di tendenze seguite dalle attività dei criminali informatici, abbiamo notato un aumento degli hacker che utilizzano payload multipli — diversi tipi di malware — per prelevare dati. In aggiunta, si è verificato un incremento degli attacchi mirati a livello molto specifico. Ad esempio, i criminali informatici sono in grado di selezionare come bersaglio un contatto dell’ufficio del personale, per appropriarsi di dati e ottenere informazioni relative ad altri dipendenti di un’azienda. Elaborano quindi un attacco con le informazioni ottenute, aumentando così le probabilità di reazione della vittima.
L’impatto di questi attacchi sulla vostra attività
Il JavaScript malevolo può avere diversi impatti sulla vostra attività. I responsabili della sicurezza informatica devono stare all’erta ed essere pronti a difendersi. Due dei principali problemi a cui si deve prestare attenzione sono: Gli utenti che cadono vittime di attacchi di malware: • i computer da voi gestiti possono venire infettati da download drive-by, SEO poisoning, o altri tipi di attacco. I siti compromessi: il o i siti da voi gestiti possono • essere compromessi, e come risultato voi esponete inavvertitamente i clienti che navigano sul vostro sito ad attacchi di codici malevoli. Entrambe queste evenienze hanno un impatto estremamente concreto in termini di costi, produttività, reputazione aziendale e furto di dati. Quando i vostri utenti cadono vittime di attacchi di malware, si verificano perdite di tempo e di denaro per rimettere in azione i PC. In aggiunta, gli utenti attraversano un periodo di perdita di produttività, e possono inoltre aver danneggiato dei file. Tuttavia, l’impatto di un computer infettato va ben oltre; anche l’integrità dei dati può venire compromessa. Una volta in esecuzione sul computer della vittima, molte famiglie di malware forniscono agli hacker la facoltà di ottenere accesso remoto ai computer degli utenti, per infettarli con altro malware, o per appropriarsi di dati in maniera illecita. Se il vostro sito web è compromesso, chiunque lo visiti ha l’impressione che siate voi i responsabili di tali infezioni. Ciò può danneggiare la reputazione della vostra azienda, nonché risultare in pubblicità negativa e in perdita di fiducia da parte di clienti, partner e investitori. In conclusione, avete osservato perché ai “cattivi” piace usare JavaScript malevolo, e perché i “buoni” hanno il compito di difendervi da esso. Nella parte II svolgeremo un approfondimento sulle soluzioni che vi aiutano a difendervi.
Questo documento è stato redatto dalla Sophos Labs
cod:4
