Negli ultimi anni, i virus drive-by-download trasportati via email come allegati sono stati la rovina della sicurezza informatica dei professionisti.
Questi ultimi Trojan malware si nascondono all'interno di pagine Web apparentemente innocue, tentando di infettare tutti i browser che li visitano. Se un utente non ha un robusto ed aggiornato software antivirus installato sul proprio PC, sarà immediatamente infettato solo guardando la pagina web.Ora questa minaccia "ad infezione instantanea" si è trasferita in una forma ancora più pericolosa: e-mail.
Una nuova classe di malware drive-by e-mail è stato scoperta, infetta gli utenti che semplicemente visualizzano un messaggio, o forse si attivano già da quando si apre la finestra di anteprima.
"La nuova generazione di e-mail-malware è costituita da e-mail HTML, che contiene un JavaScript che scarica automaticamente il malware quando l'e-mail viene aperta", recita un comunicato stampa di una azienda del settore security di posta aziendale, la Eleven di Berlino. Fino ad ora, le infezioni da malware via e-mail dipendevano dall'azione da parte dell'utente che lo attivava senza saperlo aprendo l'allegato maligno o cliccando su un link maligno. Questo nuovo exploit basato su HTML e JavaScript è ancora più pericoloso perchè si nasconde nel codice JavaScript usato per i messaggi pubblicitari, soprattutto quelli inviati dai rivenditori online, che sono pieni di HTML , la codifica basata sul Web che consente di incorporare immagini, testo formattato e persino film da visualizzare nel corpo dei messaggi.
Poiche' questi messaggi sono diventati così ricchi di contenuti, sembrano simili a mini pagine web, diventando di fatto vulnerabili allo stesso tipo di exploit che vengono usati sui siti web.
La società Eleven riferisce che questa nuova minaccia è stata avvistata nelle email che fingono di provenire dal Federal Deposit Insurance Corporation, un fondo di assicurazione del governo statunitense per depositi bancari per i consumatori.
L'intestazione del messaggio è: "Banking security update", ma è probabile che ci siano altre varianti su questo tema.
Il sender della email ha come dominio fdic.com, una compagnia di assicurazioni americana.
Il gigante della sicurezza degli Stati Uniti, la Symantec, ha individuato un simile falso messaggio di posta elettronica FDIC con oggetto "Update for your banking account."
Anche questo conteneva il file maligno HTML come allegato. Non è chiaro se quel messaggio fosse una versione precedente di quella rilevata dalla Eleven, o lo stesso, visto attraverso un client di posta che aveva il rendering HTML disabilitato.
Disabilitare il rendering HTML nei messaggi di posta elettronica in arrivo è davvero la difesa migliore e la più semplice contro questa nuova minaccia, se si sta utilizzando una applicazione stand-alone di posta elettronica come Microsoft Outlook o un servizio Web-based come Gmail.
Purtroppo, mentre di solito è possibile inviare messaggi in testo normale, non è sempre facile o possibile leggere i messaggi in arrivo da visualizzare in questo modo.
Abbiamo scoperto che si può fare in Outlook 2007 tramite Strumenti - Centro protezione - E-mail Security - Leggi tutti i messaggi standard in testo normale.
Gmail visualizza automaticamente tutte le email in formato Rich Text intermedio, consentendo la formattazione del testo e link, disabilitando le immagini e il codice.
Come sempre, la migliore linea di difesa contro i download drive-by, se da una pagina Web o da un messaggio e-mail, è sempre quello di installare un robusto anti-virus e assicurarsi che sia sempre attivo e aggiornato.
Fonti:
Eleven-Security
msnbc.msn.com
Nessun commento:
Posta un commento