- SandBox Information Center
- Malware Analysis Search
- Articoli sulla sicurezza
- Blog sulla sicurezza [EN]
- Livello di pericolosità [EN]
- Minacce attuali di virus
- Tipi di malware [EN]
- Descrizione dei virus [EN]
- Statistiche sulla posta elettronica [EN]
- Testi, white paper generici ed altro
- La tecnologia Norman
Registrazione del nome di dominio: un vettore di diffusione di malware
Introduzione
Verso la fine del 2007 abbiamo scritto un articolo sulla sicurezza segnalando l'importanza crescente di server Web non protetti come vettori di diffusione di software dannoso (malware). Da allora Norman ha rilevato che i server Web vengono sempre più utilizzati come diffusori di malware. Questo approccio si serve di termini popolari per ingannare gli utenti inducendoli a visitare siti Web intenzionalmente dannosi.
Ricerca con i motori di ricerca
I termini di ricerca più diffusi sono influenzati fortemente dagli argomenti più discussi dall'opinione pubblica. È possibile presupporre che nel corso delle ultime settimane argomenti di ricerca come "influenza suina" e "H1N1" siano tra i termini più ricercati. Ipotizzare che nessuno di questi due termini fossero compresi nel milione di argomenti più ricercati sei mesi fa è una scommessa vinta in partenza. Un ulteriore argomento di ricerca molto diffuso sono i nomi dei VIP.
I nuovi argomenti discussi nelle chat (e i termini relativi utilizzati nei motori di ricerca) sono particolarmente interessanti per le persone malintenzionate.
Il titolo (ovvio) del capitolo indica che i motori di ricerca sono utilizzati per effettuare ricerche (in Internet). I motori di ricerca vengono utilizzati al fine di fornire alle persone interessate a informazioni specifiche elenchi di pagine Web che soddisfano i criteri di ricerca in cui le informazioni più importanti siano collocate all'inizio.
I motori di ricerca utilizzano diverse tecniche per disporre le informazioni secondo questo criterio:
- la considerazione dei nomi di dominio che corrispondono al termine di ricerca;
- l'efficacia maggiore di un numero alto di collegamenti da altri siti Web rispetto a un numero esiguo di collegamenti;
- l'utilizzo due volte nella stessa pagina del termine ricercato facilita la ricerca rispetto a una singola occorrenza;
- l'utilizzo del termine ricercato nel titolo della pagina e nel testo facilita la creazione di una classificazione.
Vedere ad esempio le informazioni provenienti da Google per scoprire il modo in cui questo motore di ricerca specifico utilizza differenti criteri per classificare le pagine. Oltre ai criteri automatici di classificazione è possibile pagare per vedere le proprie pagine posizionate all'inizio dell'elenco.
Se già sono disponibili molte pagine con informazioni ben progettate in relazione a un termine di ricerca, è più difficile per una nuova pagina/sito Web entrare tra le prime posizioni dell'elenco. I nuovi termini invece presentano meno difficoltà e un nome di dominio registrato di recente con pagine Web corrispondenti può occupare facilmente le prime posizioni in un elenco di risultati di ricerca.
Poiché la classificazione delle pagine è quasi esclusivamente automatizzata, una persona malintenzionata ha la possibilità di inserire il proprio sito Web nelle prime posizioni dell'elenco registrando uno o più nomi di dominio ingegnosamente progettati. È necessario aggiungere che alcuni di questi motori di ricerca, ad esempio Google, tentano di bloccare i siti noti per il loro contenuto pericoloso. Coloro che desiderano utilizzare il proprio sito Web per diffondere malware, possono utilizzare tecniche ingegnose di social engineering per ingannare i navigatori, inducendoli a fare clic su collegamenti di download e installare un contenuto pericoloso, invece di affidarsi a tecniche di infezione automatica.
Questa tecnica di registrazione del nome di dominio si è diffusa incredibilmente con la famiglia di worm Storm/Tibs, apparsa qualche anno fa, ma che, per certi versi, è ancora attiva.
Gli esempi riportati, relativi alla diffusione di malware attraverso siti Web con nomi di dominio corrispondenti a eventi popolari, vengono per lo più denominati programmi fraudolenti. Tipici esempi sono i programmi antivirus e antispyware che in realtà rappresentano programmi pubblicitari e/o software di estorsione.
Consiglio generale
Come intervenire se si è interessati a informazioni relative a un argomento di particolare interesse? Evitare di utilizzare la tecnologia di ricerca disponibile sembra un approccio eccessivamente drastico.
Alcuni consigli generali:
- utilizzare siti di notizie conosciuti per accedere alle informazioni;
- non installare/eseguire un software disponibile da siti Web non conosciuti e affidabili;
e ovviamente non dimenticare il consiglio valido in ogni circostanza: - una buona dose di scetticismo non guasta mai!
Dichiarazione di non responsabilità
Anche se ovvio, è necessario sottolineare che non tutti i nomi di dominio registrati contenenti termini di ricerca popolari sono dannosi o creati da malintenzionati. Vi sono vari motivi perfettamente legittimi alla base di questo fenomeno. Il messaggio centrale del presente articolo è illustrare un'altra tecnica utilizzata dalle persone con intenzioni criminali per rendere il proprio sito Web più allettante/accessibile.
Si consiglia la massima cautela quando/se si esamina il contenuto di questo articolo, effettuando un test in diretta dei termini individuati con i motori di ricerca e aprendo le pagine Web risultanti.
Norman non è responsabile del contenuto e delle informazioni presenti su altri siti Web e altre risorse Internet.