L’obiettivo di molti autori di virus informatici e cybercriminali è quello di distribuire virus, worm o programmi trojan sul maggior numero possibile di computer o telefoni cellulari, in maniera tale da massimizzare la penetrazione del malware. Questo obiettivo può essere sostanzialmente raggiunto in vari modi, i quali possono essere tuttavia raggruppati in due categorie principali:
- tecniche di social engineering;
- utilizzo di apposite tecnologie malevole per l’introduzione di codice dannoso nel sistema, all’insaputa dell’utente.
Tali metodi vengono di frequente utilizzati in combinazione tra di loro. Inoltre, i creatori di programmi malware prendono spesso delle precauzioni per impedire che l’infezione venga rilevata dai programmi antivirus.
Social Engineering
I malintenzionati utilizzano le tecniche di ingegneria sociale per cercare di indurre gli utenti più sprovveduti a lanciare l’esecuzione di un file infetto, oppure ad aprire un collegamento malevolo destinato a condurre verso un sito web compromesso dal malware. Si servono dei metodi di social engineering non solo numerosi e-mail worm, ma anche altri tipi di programmi maligni.
Nella circostanza, hacker e virus writer tentano di attirare l’attenzione dell’utente nei confronti di un determinato file infetto (oppure di un particolare link HTTP in grado di condurre verso tale file infetto), per poi spingere la vittima a cliccare sul file maligno (o sul collegamento nocivo che porta ad esso). Un classico esempio di tale genere di attacco è rappresentato dal worm di posta elettronica LoveLetter, il quale, nel mese di maggio dell’anno 2000, ha creato una vera e propria devastazione in termini finanziari. Secondo i dati resi noti da Computer Economics, il worm LoveLetter detiene tuttora il primato riguardo all’entità complessiva dei danni economici arrecati. Come si può vedere qui sotto, le vittime ricevevano un’e-mail che invitava ad aprire la “lettera d’amore” allegata:
All’inattesa dichiarazione “I LOVE YOU”, riportata nell’oggetto dell’e-mail, avevano reagito in tantissimi, per cui i server di posta elettronica di un gran numero di aziende, anche di primaria importanza, sono risultati letteralmente sovraccarichi; in effetti, ad ogni apertura del file VBS allegato, il worm si duplicava in maniera incontrollata, attraverso tutti gli indirizzi custoditi nell’elenco dei contatti dell’utente-vittima.
L’e-mail worm Mydoom, apparso su Internet nel mese di gennaio 2004, utilizzava invece, da parte sua, testi che imitavano i messaggi “di servizio” generati dai server di posta.
Vale la pena menzionare anche il worm Swen, il quale si spacciava per un messaggio inviato da Microsoft, mascherandosi in forma di patch in grado di eliminare una serie di nuove vulnerabilità individuate in Windows. Non sorprende il fatto che molte persone abbiano creduto a tale affermazione e abbiano quindi tentato di installare la finta “patch”, anche se in realtà si trattava di un temibile worm.
Talvolta accadono cose incredibili; in tal senso, uno dei casi più eclatanti risale al mese di novembre 2005. Una versione del worm Sober informava gli utenti-vittima che la polizia criminale tedesca stava investigando riguardo a certe persone colte a visitare siti web illegali. Nella circostanza, il messaggio di posta è giunto anche nell’e-mail box di un uomo che aveva la malsana abitudine di frequentare siti con contenuti pedopornografici. Questa persona ha ritenuto che il messaggio ricevuto fosse del tutto autentico e si è pertanto docilmente costituita alla polizia, in maniera volontaria.
Negli ultimi tempi hanno acquisito particolare popolarità, presso i cybercriminali, non tanto i file nocivi in veste di allegato al messaggio, bensì i link malevoli preposti a condurre gli utenti verso il download di file dannosi custoditi all’interno di siti web infetti. Nella fattispecie, alla potenziale vittima viene recapitato un messaggio di posta elettronica, oppure un messaggio tramite ICQ o altri sistemi di instant messaging; i malintenzionati ricorrono inoltre, anche se più di rado, alle chat room IRC (Internet Relay Chat). Per quel che riguarda il malware mobile, invece, l’abituale metodo di distribuzione è rappresentato dai messaggi SMS. Indipendentemente dalle modalità di distribuzione adottate, in genere il messaggio contiene parole che catturano l’interesse dell’ignaro utente e inducono quest’ultimo a cliccare sul link malevolo. Questo metodo di penetrazione del malware all’interno dei computer-vittima è attualmente il più diffuso ed efficace, in quanto consente di bypassare agevolmente i filtri antivirus del server di posta.
