SINTESI
Drive-by download. Il web sotto assedio
Lo scritto parla del download di malware a partire dai siti web su cui si trova
l’utente, senza che questo sia consapevole di ciò che sta avvenendo: i cosiddetti
attacchi “drive-by download”. L’autore si sofferma a descrivere come gli utenti
vengano indotti a visitare siti infetti, quali tecnologie vengano adottate per
organizzare gli attacchi, come con l’aiuto del download drive-by i cybercriminali
rubino i dati personali e si impadroniscano dei computer degli utenti.
I criminali informatici impiegano ampiamente Internet per diffondere virus, rootkit,
spyware, Trojan e adware, software fasulli per la protezione dei dati e utility per la
creazione di botnet. La consegna del malware dai siti web tramite download drive-by
permette di infettare i computer in maniera invisibile e, di conseguenza, di condurre con
più successo gli attacchi. Proprio per questo tale metodo risulta molto popolare tra i
Cybercriminali: stando ai dati riportati da ScanSafe, il 74% di tutto il malware individuato
nel terzo trimestre del 2008 era collocato su siti web infetti.
L’attacco drive-by download si realizza in due fasi. Inizialmente l’utente viene ingannato
da un annuncio di spam diffuso via e-mail o affisso su una bacheca di qualche sito,
successivamente il codice maligno ivi contenuto inoltra la richiesta del browser verso un
server estraneo dove si trova l’exploit.
Durante gli attacchi drive-by i malintenzionati usano pacchetti di exploit acquistati su siti
illegali gestiti da hacker. Gli exploit colpiscono le vulnerabilità del web browser, o un suo
plug-in sprovvisto di patch, o un controllo ActiveX vulnerabile, oppure ogni altra falla
presente all’interno di software di terze parti.
Il server sul quale sono collocati i kit degli exploit può utilizzare le request header HTTP
provenienti dall’apertura di un browser per determinare il tipo di browser, la sua
versione e il sistema operativo adoperato.
Page 1
Non appena è stato definito il sistema operativo della vittima, dal kit si attiva il relativo
exploit. In alcuni casi possono essere attivati contemporaneamente diversi exploit, che
cercano di infettare il computer utilizzando le vulnerabilità nelle applicazioni di terze
parti.
Nel caso di successo, sul computer si installa, senza che ce ne si accorga, un Trojan
che consente ai malintenzionati di ottenere il controllo totale del PC ormai infetto.
Ne consegue che i criminali informatici ottengono l’accesso ai dati confidenziali
contenuti nel computer colpito e la possibilità di realizzare, partendo da esso, attacchi
DDoS.
Prima i criminali informatici creavano siti contenenti malware, ma ultimamente pare
preferiscano infettare risorse web legittime collocando in esse exploit o codici che
eseguano il redirect delle richieste, cosa che rende gli attacchi via browser ancora più
pericolosi.
Gli esperti di sicurezza IT parlano di epidemia su larga scala creata proprio dai
download di tipo drive-by. Negli ultimi 10 mesi il Google Anti-Malware Team ha
analizzato miliardi di pagine alla ricerca di “attività maligna”, ed ha riscontrato oltre 3
milioni di URL contenenti exploit che utilizzano drive-by download.
Tale epidemia è essenzialmente dovuta al fatto che su molti computer non sono
installati gli aggiornamenti di Windows, perciò la maggior parte degli exploit utilizza
vulnerabilità note per le quali sono già disponibili le patch, che però sono state ignorate
dagli utenti.
L’autore conclude l’articolo con alcune raccomandazioni e consigli che possono aiutare
gli utenti a realizzare un’efficace difesa contro gli attacchi che utilizzano download driveby.
Un approccio decisamente efficace per proteggersi da questa minaccia consiste
nell’installazione di tutti gli aggiornamenti rilasciati dai produttori di software.
Page 2
È indispensabile, inoltre, usare web-browser che eseguano il blocco di siti di phishing e
malware (Internet Explorer, Mozilla Firefox e Opera). Va attivato un firewall, installati
tutti gli aggiornamenti del sistema operativo Microsoft, usato un software anti-virus e
mantenerlo aggiornato. È anche molto importante che il prodotto anti-virus analizzi il
traffico Internet, in modo da identificare in tempo eventuali tentativi di attacco tramite
drive-by download.
La
versione
integrale
dell’articolo
è
disponibile
nella
sala
di
lettura
www.kaspersky.com/it/reading_room?chapter=207716733<.
Kaspersky Lab acconsente alla ristampa dei propri materiali previa indicazione
completa della fonte (autore e società).
Informazioni su Kaspersky Lab
Kaspersky Lab è tra le aziende leader nello sviluppo di software per la sicurezza dei
dati, con sedi a Mosca (Russia), Cambridge (Regno Unito), Pleasanton (California, Stati
Uniti). L’azienda conta oltre 1000 impiegati, distribuiti in 13 Paesi: Russia, Germania,
Inghilterra, Francia, Italia, Spagna, Olanda, Giappone, Polonia, Romania, Cina, Corea
del Sud e Stati Uniti. Fondata nel 1997, Kaspersky Lab focalizza la sua attività nello
sviluppo di tecnologie e software per la sicurezza informatica. Il prodotto principale di
Kaspersky Lab, conosciuto come Kaspersky Anti-Virus, è in costante sviluppo dal 1989
per offrire il massimo livello di sicurezza agli utenti privati e corporate. Kaspersky ha
siglato in questi anni importanti partnership con SUSE e Red Hat e, dal 2003, è Gold
Certified Partner Microsoft.
Per ulteriori informazioni su Kaspersky Lab, visitate il sito www.kaspersky.it
©
2009 Kaspersky Lab. The information contained herein is subject to change without notice. The only warranties for
Kaspersky Lab products and services are set forth in the express warranty statements accompanying such products and
services. Nothing herein should be construed as constituting an additional warranty. Kaspersky Lab shall not be liable for
technical or editorial errors or omissions contained herein.
Page 3
