Nel corso degli ultimi anni sono gli attacchi “blended” ad essere divenuti sempre più frequenti e, purtroppo, più efficaci. Si tratta di metodologie per la diffusione di virus e malware che combinano aspetti anche molto differenti tra loro. Gli aggressori che sviluppano questo tipo di minacce adottano un insieme di tecniche per facilitare le infezioni che spazia dall’impiego di codice maligno in grado di sfruttare vulnerabilità software conosciute alla messa in atto di espedienti basati sull’uso di concetti di ingegneria sociale.
Microsoft, attraverso una nota ufficiale, starebbe indagando su alcune segnalazioni che riferiscono l’installazione del browser Apple Safari, su sistemi Windows XP e Windows Vista, come possibile vettore per l’esecuzione di codice nocivo in modalità remota.
Apple Safari, installabile separatamente dall’utente oppure attraverso l’applicazione “Apple Software Update”, è stato spesso al centro di polemiche: ricordiamo, ad esempio, le accuse mosse nei confronti del prodotto da parte di StopBadware e di Mozilla (ved., in proposito, queste risorse).
L’allerta di Microsoft sembra confermare quanto riportato nelle scorse settimane proprio da “StopBadware”, organizzazione nata con l’obiettivo di frenare la diffusione di componenti software pericolosi (lanciata da Google con il supporto di Sun e Lenovo in qualità di sponsor). Anche secondo il colosso di Redmond, gli aggressori potrebbero trarre vantaggio dal fatto che Safari non dispone di un’opzione che permetta di richiedere all’utente conferma all’atto del prelevamento di un file. I malintenzionati potrebbero quindi far leva sulla “lacuna” popolando una pagina web “maligna” con software dannosi che verrebbero così automaticamente memorizzati sul sistema dell’utente.
Nel bollettino di Microsoft si suggerisce di ridurre al minimo l’uso del browser Safari fintanto che Microsoft e/o Apple non avranno reso disponibile una patch.
Un attacco “blended” ha come obiettivo primario quello di massimizzare il danno creato ad una struttura e la rapidità di contagio adottando una combinazione di metodologie facenti parti delle classi dei virus e dei worm facendo poi leva, ove possibile, sulle vulnerabilità dei sistemi hardware e software e su quelle relative alla configurazione della rete locale.
Tipicamente le minacce “blended” integrano:
– possibilità di sfruttare vulnerabilità di sicurezza lasciate irrisolte ovvero non sanate mediante l’applicazione delle apposite patch rilasciate dai vari produttori software.
– metodologie in grado di causare danni elevati quali la modifica di parametri chiave legati al funzionamento del sistema operativo od alla comunicazione con altri host, sia nella rete locale, sia verso la rete Internet; installazione di componenti trojan successivamente attivabili da remoto; messa in atto di attacchi DoS (“Denial of Service”).
– procedure automatizzare per incrementare il numero di infezioni senza richiedere alcuna interazione da parte dell’utente.
– più tecniche per la diffusione del codice maligno (ad esempio metodologie ibride che sfruttano la diffusione via e-mail ma sono in grado di infettare anche server vulnerabili).