Nell'edizione di giugno del
VIPRE Report, la classifica mensile delle prime
10 minacce informatiche, i ricercatori di
GFI Software hanno riscontrato, il mese scorso, due nuove
campagne spam con link a
exploit Blackhole, che sembravano email di conferma provenienti da
Twitter e
Amazon.com.
Con modalità simili, il marchio
Delta Airlines è stato protagonista di una campagna spam che aveva un unico obiettivo: infettare gli utenti con virus
Sirefef e antivirus fasulli. A tal proposito, GFI ha reso disponibile un
webinar gratuito, durante il quale ha illustrato in dettaglio le modalità di attacco del virus
Flame, utilizzando il proprio prodotto
GFI Sandbox.
Durante tutto il mese di giugno, sono state inviate email fasulle, che avevano l'aspetto di conferme d'ordine provenienti da Amazon.com e che avevano invece il preciso intento di infettare le vittime con malware. Gli utenti che cliccavano su uno qualsiasi dei link contenuti nella mail venivano indirizzati ad una pagina web con un codice exploit Blackhole. Questo exploit scansionava i programmi
Adobe Reader e
Adobe Flash dell'utente, dopodichà© caricava una
applet Java che reindirizzava la vittima verso alcune pagine web contenti file exploit PDF appositamente creati, in base alla versione di Adobe Reader presente nel sistema.
Un'altra email fasulla, che appariva come una conferma dell'account di Twitter, indirizzava le vittime verso un sito russo, sul quale risiedeva un kit di exploit Blackhole: questo sito lanciava exploit in grado di colpire vulnerabilità di
Adobe Reader e Adobe Flash vecchie di sei anni.
E' importante sottolineare come gli utenti avrebbero potuto evitare di diventare vittime di questi attacchi, se solo avessero provveduto a mantenere il loro software
antivirus aggiornato.
E' stata riscontrata inoltre una finta email spam che si proponeva come e-ticket di Delta Airlines. Aprendo l'allegato, gli utenti scaricavano anche un file eseguibile che infettava il loro sistema con Sirefef e Live Security Platinum, un
programma antivirus fasullo. Questo finto programma AV bloccava l'esecuzione di tutte le altre applicazioni e distribuiva pop-up continui e reindirizzamenti del browser a messaggi che informavano l'utente di un'infezione in corso, richiedendo un pagamento per procedere alla bonifica del sistema.
Nel mese di giugno, la task force di GFI Software che analizza il malware Flame ha riscontrato alcuni comportamenti malware, non identificati in precedenza da altri vendor o ricercatori. Grazie all'utilizzo di GFI
SandBox sono stati identificati
100Mb di dati comportamentali dettagliati su Flame, in meno di 5 minuti.