Nell’aprile 2012, 700mila computer Mac OS X in tutto il mondo sono stati infettati dal Trojan Flashback. Questi computer sono stati riuniti in un’unica botnet, denominata “Flashfake,” che ha consentito ai criminali informatici di installare moduli nocivi all’interno di questi. Uno di questi moduli generava risultati derivanti dai motori di ricerca falsi. Lo rivela un’analisi condotta da Kaspersky Lab secondo cui la principale fonte dell’infezione Flashfake era rappresentata dai blog WordPress: circa l’85% di questi blog erano situati nel territorio degli Stati Uniti.
“Il fattore chiave di questa campagna nociva è stato il metodo di attacco utilizzato dai cyber criminali – spiegano gli esperti di Kaspersky – Questi, infatti, piuttosto che utilizzare semplicemente le tecniche di social engineering per infettare i computer, hanno iniziato a usare gli exploit che sfruttavano le vulnerabilità Java. Questo ha accelerato l’infezione, portandola al livello di un attacco di massa a computer Mac OS X”.
Kaspersky Lab ha rilevato anche due campagne di spam che utilizzavano l’exploit kit Blackhole per installare il malware. Nella prima, oltre 500 account Twitter sono stati compromessi. La campagna di spam inviava infatti link agli utenti che li reindirizzavano verso siti nocivi che contenevano l’exploit kit Blackhole. I siti web installavano sui computer delle vittime delle false notifiche anti-virus, che portavano inevitabilmente gli utenti ad effettuare una scansione del sistema.
Nella seconda invece, era una campagna email iniziata alla fine di marzo, attraverso la quale venivano inviate email false da parte della US Airways. In questo caso, i cyber criminali inviavano email di phishing con l’intento di portare gli utenti a cliccare su alcuni link che dovevano rimandare a fantomatici ‘dettagli della prenotazione online’. Una volta che l’utente cliccava il link in questione, veniva reindirizzato verso siti web falsi che contenevano exploit kit Blackhole con malware bancari che si installavano sul computer degli utenti e sottraevano le coordinate di accesso bancario.
Sul versante del malware mobile, all’inizio di aprile, un nuovo tipo di malware Android è stato scoperto in Giappone. Sfortunatamente, circa 30 applicazioni nocive erano disponibili attraverso Google Play e almeno 70.000 utenti le hanno scaricate. Questo particolare malware era in grado di connettersi ad un server remoto, scaricare file video in formato MP4 e sottrarre informazioni personali da un dispositivo infetto compresi nomi, indirizzi email e numeri di cellulare che venivano poi caricati sul server remoto. Kaspersky Mobile Security ha individuato questo attacco con il nome di Trojan.AndroidOS.FakeTimer.
I malware mobile gestiti attraverso sms stanno diventando sempre più popolari. Ad aprile, è stata scoperta un’altra backdoor denominata TigerBot. Questo malware si camuffava e non generava nessun segnale di infezione all’interno del dispositivo. Il telefono infettato consentiva quindi ai cyber criminali di registrare le telefonate, sottrarre le coordinate Gps, inviare sms e cambiare le impostazioni di rete. Tutte queste funzionalità portavano una serie di danni evidenti ai dispositivi degli utenti. Non esiste nessuna prova della disponibilità di TigerBot su Google Play, ma gli utenti devono comunque prestare la massima attenzione durante l’installazione di qualsiasi applicazione.
Kaspersky Mobile Security ha individuate questo attacco con il nome di Backdoor.AndroidOS.TigerBot.