- SandBox Information Center
- Malware Analysis Search
- Articoli sulla sicurezza
- Blog sulla sicurezza [EN]
- Livello di pericolosità [EN]
- Minacce attuali di virus
- Tipi di malware [EN]
- Descrizione dei virus [EN]
- Statistiche sulla posta elettronica [EN]
- Testi, white paper generici ed altro
- La tecnologia Norman
Produzione di identità maligne
Introduzione
Furto di identità è un'espressione che negli ultimi anni ha trovato sempre maggiore diffusione. Un'espressione finora meno utilizzata è invece produzione di identità con intenti dannosi. Si tratta dell'operazione svolta da una nuova versione di Koobface - in automatico.
Il malware Koobface
Koobface è un worm che viene diffuso attraverso i siti dei social network, ad esempio Facebook. Esistono diverse versioni di questo worm, rilevato per la prima volta dal software antivirus Norman più di un anno fa. Per ulteriori informazioni, consultare la descrizione del virus di Norman.
La nuova versione che ha ispirato quest'articolo sulla sicurezza presenta alcune nuove funzionalità e svolge automaticamente varie operazioni, tra cui:
- Impostazione di account su Facebook
- Questi account presentano caratteristiche che sembrano autentiche, come data di nascita, libri preferiti, film, ecc.
- I dettagli dell'account sono diversi per ogni account configurato.
- Conferma che un indirizzo di posta elettronica di Gmail è corretto (viene utilizzato per attivare l'account su Facebook)
- Partecipazione a gruppi casuali su Facebook
- Aggiunta di altri utenti di Facebook tra gli amici
- Invio di messaggi ai nuovi amici su Facebook
Ovviamente alcune delle funzionalità citate impediscono agli utenti esposti al worm di determinare se si tratta di un malware automatico che impersona un essere umano e non una persona vera.
Considerazioni
Questa nuova variante di Koobface offre lo spunto per alcune interessanti considerazioni generiche.
Sofisticazione
Rappresenta un altro esempio del fatto che i malware stanno diventando sempre più sofisticati, sia per quanto concerne le capacità di programmazione sia (e soprattutto) in termini di struttura del malware.
Sostituzione di persona
Una tecnica ben nota utilizzata dai malware è il tentativo di spacciarsi per una persona reale.
In genere un malware invia un'e-mail utilizzando gli indirizzi e-mail rinvenuti nel computer infetto. Questa tecnica si basa sul presupposto che i destinatari dei messaggi sono più inclini a fidarsi dei messaggi inviati da persone che conoscono. Spesso però questo metodo sortisce effetti strani, ad esempio un conoscente che improvvisamente scrive messaggi in un'altra lingua, ecc.
La tecnica utilizzata da Koobface è diversa e non tenta di impersonare una persona reale, bensì una persona fittizia. I tentativi del destinatario di fare ricerche sul mittente generano informazioni che sembrano plausibili.
Canali per la propagazione del malware
In precedenza abbiamo trattato l'importanza crescente dei cosiddetti "nuovi media" come vettori di diffusione di malware. Vedere ad esempio l'articolo Facebook - un vettore sempre più comune di diffusione del malware dell'anno scorso.
Ripercussioni
Ulteriori perfezionamenti e variazioni della produzione di identità diventeranno probabilmente prioritari per i creatori di malware. Dal punto di vista dei malintenzionati, conviene essere pionieri nell'utilizzo di questa tecnica, prima che gli utenti comuni si organizzino meglio per distinguere tra le comunicazioni con persone reali e identità generate dal computer.
In futuro è prevedibile che assisteremo ad altri esempi di varianti di malware basate su questa tecnica.