Da qualche giorno circola in rete un email di spam ai danni di Microsoft, che distribuisce un falso tool anti-Conficker, ovvero il famoso worm che è stato protagonista all’inizio di questo anno, e che doveva essere la minaccia più pericolosa mai vista negli ultimi anni

Non è una minaccia nuova: si tratta sempre di social engineering, ovvero tecniche che fanno leva sulle paure e/o curiosità degli utenti, al fine di indurri a scaricare o consentire l’esecuzione di file di vario genere.

Nell’email si fa riferimento ad una ventelata nuova ondata di diffusione di questo malware: cosi l’email si propone di mettere a disposizione un tool per verificare la presenza di questa nuova variante del Conficker.

La verità è che appena avviamo l’allegato (install.exe), automaticamente partirà una finta scansione per poi concludere con una schermata che riepiloga decine di inesistenti virus trovati nel sistema

Sfrutto l’occasione di questo nuovo caso si spam per parlare del c.d. ScareWare: con questo termine si fa riferimento alla tecnica di spaventare l’utente con finti allarmi di sicurezza.

Questo finto anti-Conficker rappresenta un esempio di ScareWare, ovvero nel caso concreto si tratta del fantomatico Power-Antivirus-2009, ovvero un Fake o Rogue Antimalware/Antivirus:  cioè falsi programmi di sicurezza.

Vorrei che memorizzaste bene le immagini sopra riportate: infatti i vari Fake Antivirus, seppur cambiano nome, le schermate sono tutte molto simili tra di loro.

Molti fake utilizzano nomi, loghi e interfacce molto simili a quelli dei più noti prodotti per la sicurezza commerciali: Vista Antivirus 2008 clona ad esempio lo stile grafico del Centro di sicurezza PC di Windows Vista, inclusa la nota icona fatta a scudo.

Ecco un elenco di alcuni nomi di questi Falsi programmi:

• MS Antivirus
  
• Spyware Preventer
• Vista Antivirus 2008/2009
• Power Antivirus 2009
• Doctor Antivirus 2008
• Spyware Preventer 2009
• Power Antivirus
  
• Total Virus Protection
  
• Malware Destructor 2009
  
• Cleaner 2009
  
• Smart Antivirus 2009
  
• Cyber Security
  
• Antivirus VIP
  
• Advanced Antivirus 2009

Voglio sottolineare che i Fake Antivirus sono diventati una delle minaccie più diffuse e pericolose al momento in circolazione:  la tecnica Scareware (spaventare l’utente con la falsa individuazione nel computer di decine o centinaia di fantomatici inesistenti “virus”) rappresenta l’ultima frontiera in questo campo, il miglior modo per diffondere malware di qualunque tipo, per creare botnet e non solo.

Secondo quanto riportato da PC World, il business dei falsi antivirus genera infatti all’incirca 5 milioni di dollari all’anno: facendo due rapidi calcoli, ciò significa che ogni anno almeno 100mila utenti cadono nella trappola e sborsano quattrini per prodotti antivirus inesistenti.

Inoltre vi sono stati anche casi in cui lo scareware, con elementi di ransomware, attuava la crittografia di files sul pc infetto, chiedendo un pagamento al fine di decriptare i contenuti crittografati

Il tutto sfrutta la grande ignoranza e sopratutto la poca voglia di interessarsi ai problemi di sicurezza che riguarda la maggior parte degli utenti domestici.

Voglio infine ricordare che questi scareware si diffondono anche e sopratutto attraverso siti web: sono migliaia i siti web malevoli che diffondono questi fake.

Faccio riferimento sia ai casi di siti web che apertamente pubblicizzano questi prodotti (raramente), ma sopratutto faccio riferimento alla stragande maggioranza dei casi in cui un determinato sito (di qualsiasi contenuto)  viene “bucato” (compromesso), cosi inserendo codice malevolo, al fine di far apparire nel momento in cui l’utente visita il sito  finti messaggi di scansione e di allerta di rilevazione virus.

Si veda  questo esempio, che ai più puo risultare palese, ma che comunque ha mietuto vittime:

In questo caso la pagina web tenta di riprodutte Risorse del Computer, anche in maniera abbastanza grossolana: ciò per dire che bisogna aprire sempre gli occhi!

State attenti ai particolari 

Vuoi tutti gli aggiornamenti di IbA's Blog in tempo reale? Abbonati ai nostri Feed RSS.