Malware

Cos’è il malware?

Il malware, o software dannoso, è qualsiasi programma o file intenzionalmente dannoso per un computer, una rete o un server.

I tipi di malware includono virus informatici, worm, trojan horse, ransomware e spyware. Questi programmi dannosi rubano, crittografano ed eliminano dati sensibili; alterano o dirottano le funzioni di elaborazione di base; e monitorano l’attività del computer degli utenti finali.

Cosa fa il malware?

Il malware può infettare reti e dispositivi ed è progettato per danneggiare in qualche modo tali dispositivi, reti e i loro utenti. A seconda del tipo di malware e del suo obiettivo, questo danno potrebbe presentarsi in modo diverso all’utente o all’endpoint. In alcuni casi, l’effetto del malware è relativamente lieve e benigno, mentre in altri può essere disastroso.

Il malware può in genere eseguire le seguenti azioni dannose:

  • Esfiltrazione di dati. L’esfiltrazione di dati è un obiettivo comune del malware. Durante l’esfiltrazione di dati, una volta che un sistema è infettato dal malware, gli autori della minaccia possono rubare informazioni sensibili archiviate nel sistema, come e-mail, password, proprietà intellettuale, informazioni finanziarie e credenziali di accesso. L’esfiltrazione di dati può causare danni monetari o reputazionali a individui e organizzazioni.
  • Interruzione di servizio. Il malware può interrompere i servizi in diversi modi. Ad esempio, può bloccare i computer e renderli inutilizzabili o tenerli in ostaggio per ottenere un guadagno finanziario eseguendo un attacco ransomware. Il malware può anche prendere di mira infrastrutture critiche, come reti elettriche, strutture sanitarie o sistemi di trasporto, per causare interruzioni del servizio.
  • Spionaggio dei dati. Un tipo di malware noto come spyware esegue lo spionaggio dei dati spiando gli utenti. In genere, gli hacker utilizzano i keylogger per registrare le sequenze di tasti, accedere a webcam e microfoni e acquisire schermate.
  • Furto di identità. Il malware può essere utilizzato per rubare dati personali che possono essere utilizzati per impersonare vittime, commettere frodi o ottenere l’accesso a risorse aggiuntive. Secondo l’IBM X-Force Threat Intelligence Index 2024, nel 2023 si è registrato un aumento del 71% degli attacchi informatici che utilizzano identità rubate rispetto all’anno precedente.
  • Furto di risorse. Il malware può utilizzare risorse di sistema rubate per inviare e-mail di spam, gestire botnet ed eseguire software di cryptomining, noto anche come cryptojacking.
  • Danni al sistema. Alcuni tipi di malware, come i worm informatici, possono danneggiare i dispositivi corrompendo i file di sistema, eliminando dati o modificando le impostazioni di sistema. Questo danno può portare a un sistema instabile o inutilizzabile.

Indipendentemente dal metodo, tutti i tipi di malware sono progettati per sfruttare i dispositivi a spese dell’utente e per avvantaggiare l’hacker, ovvero la persona che ha progettato o distribuito il malware.

Come si verificano le infezioni da malware?

Gli autori di malware utilizzano una varietà di mezzi fisici e virtuali per diffondere malware che infettano dispositivi e reti, tra cui:

  • Unità rimovibili. I programmi dannosi possono essere inviati a un sistema tramite un’unità USB o un disco rigido esterno. Ad esempio, il malware può essere installato automaticamente quando un’unità rimovibile infetta si collega a un PC.
  • Siti Web infetti. Il malware può trovare la sua strada in un dispositivo tramite strumenti di collaborazione popolari e download drive-by, che scaricano automaticamente programmi da siti Web dannosi nei sistemi senza l’approvazione o la conoscenza dell’utente.
  • Attacchi di phishing. Gli attacchi di phishing utilizzano e-mail di phishing camuffate da messaggi legittimi contenenti collegamenti o allegati dannosi per inviare il file eseguibile del malware a utenti ignari. Gli attacchi malware sofisticati utilizzano spesso un server di comando e controllo che consente agli autori della minaccia di comunicare con i sistemi infetti, esfiltrare dati sensibili e persino controllare da remoto il dispositivo o il server compromesso.
  • Tecniche di offuscamento. I ceppi emergenti di malware includono nuove tecniche di evasione e offuscamento progettate per ingannare utenti, amministratori della sicurezza e prodotti antimalware. Alcune di queste tecniche di evasione si basano su tattiche semplici, come l’utilizzo di proxy Web per nascondere traffico dannoso o indirizzi IP (Internet Protocol) di origine. Le minacce informatiche più sofisticate includono malware polimorfici che possono modificare ripetutamente il codice sottostante per evitare il rilevamento da parte di strumenti di rilevamento basati su firme; tecniche anti-sandbox che consentono al malware di rilevare quando viene analizzato e di ritardare l’esecuzione fino a quando non esce dalla sandbox; e malware senza file che risiede solo nella RAM del sistema per evitare di essere scoperto.
  • Software da siti Web di terze parti. Ci sono casi in cui il malware può essere scaricato e installato su un sistema contemporaneamente ad altri programmi o app. In genere, il software da siti Web di terze parti o i file condivisi su reti peer-to-peer rientrano in questa categoria. Ad esempio, un computer che esegue un sistema operativo (SO) Microsoft potrebbe finire per installare inconsapevolmente software che Microsoft considererebbe un programma potenzialmente indesiderato (PUP). Tuttavia, selezionando una casella durante l’installazione, gli utenti possono evitare di installare software indesiderato.

Tipi di malware

Diversi tipi di malware hanno le seguenti caratteristiche e tratti unici:

  • Virus. Un virus è il tipo più comune di malware che può auto-eseguirsi e diffondersi infettando altri programmi o file.
  • Worm. Un worm può autoreplicarsi senza un programma host e in genere si diffonde senza alcuna interazione da parte degli autori del malware.
  • Trojan horse. Un Trojan horse è progettato per apparire come un programma software legittimo per ottenere l’accesso a un sistema. Una volta attivato dopo l’installazione, i trojan possono eseguire le loro funzioni dannose.
  • Spyware. Lo spyware raccoglie informazioni e dati sul dispositivo e sull’utente, oltre a osservare l’attività dell’utente a sua insaputa.
  • Ransomware. Il ransomware infetta il sistema di un utente e ne crittografa i dati. I criminali informatici chiedono quindi un riscatto alla vittima in cambio della decifrazione dei dati del sistema.
  • Rootkit. Un rootkit ottiene l’accesso a livello di amministratore al sistema della vittima. Una volta installato, il programma fornisce agli autori della minaccia l’accesso root o privilegiato al sistema.
  • Virus backdoor. Un virus backdoor o un Trojan di accesso remoto (RAT) crea segretamente una backdoor in un sistema informatico infetto che consente agli autori della minaccia di accedervi da remoto senza avvisare l’utente o i programmi di sicurezza del sistema.
  • Adware. L’adware tiene traccia del browser e della cronologia dei download di un utente con l’intento di visualizzare annunci pop-up o banner pubblicitari che inducono l’utente a effettuare un acquisto. Ad esempio, un inserzionista potrebbe utilizzare i cookie per tracciare le pagine Web visitate da un utente per indirizzare meglio la pubblicità.
  • Keylogger. I keylogger, chiamati anche monitor di sistema, tengono traccia di quasi tutto ciò che un utente fa sul proprio computer. Ciò include scrivere e-mail, aprire pagine Web, accedere a programmi per computer e digitare sequenze di tasti.
  • Logic Bomb. Questo tipo di malware dannoso è progettato per causare danni e in genere viene inserito in un sistema una volta soddisfatte determinate condizioni. Le bombe logiche rimangono dormienti e vengono attivate quando viene soddisfatto un determinato evento o condizione, ad esempio quando un utente esegue un’azione specifica in una determinata data o ora.
  • Exploit. Gli exploit informatici sfruttano vulnerabilità, difetti o debolezze esistenti nell’hardware o nel software di un sistema. Invece di affidarsi alle tattiche di ingegneria sociale per agire, sfruttano le vulnerabilità tecniche per ottenere un accesso non autorizzato e compiere altre attività dannose, come l’esecuzione di codice arbitrario all’interno di un sistema.

Come rilevare malware

Gli utenti potrebbero essere in grado di rilevare malware se osservano attività insolite. I sintomi comuni del malware includono quanto segue:

  • Un’improvvisa perdita di spazio su disco.
  • Velocità insolitamente lente del computer o del dispositivo.
  • Una schermata blu della morte.
  • Ripetuti crash o blocchi del sistema.
  • Impostazioni del browser modificate e reindirizzamenti.
  • Aumento dell’attività Internet indesiderata.
  • Funzionalità di sicurezza disattivate nei firewall e nel software antivirus.
  • Modifiche nei nomi e nelle dimensioni dei file.
  • Annunci pop-up.
  • Programmi che si aprono e si chiudono da soli.

Il software antivirus e antimalware può essere installato su un dispositivo per rilevare e rimuovere malware. Questi strumenti possono fornire protezione in tempo reale tramite scansione costante o rilevare e rimuovere malware eseguendo scansioni di sistema di routine.

Windows Defender, ad esempio, è il software antimalware di Microsoft incluso in vari sistemi operativi Windows nel Centro sicurezza di Windows Defender. Windows Defender protegge da minacce come spyware, adware e virus.

Gli utenti possono impostare scansioni automatiche rapide e complete, nonché impostare avvisi di priorità bassa, media, alta e grave.

Come rimuovere il malware e quali strumenti utilizzare

Molti prodotti software di sicurezza sono progettati per rilevare e prevenire il malware, nonché rimuoverlo dai sistemi infetti. L’esecuzione di strumenti antimalware è l’opzione migliore per rimuovere il malware.

Secondo l’esperto di reti Andrew Froehlich, Westgate Networks, di seguito è riportato un campione di strumenti antimalware di livello aziendale che includono la protezione da ransomware. Questi strumenti, elencati in ordine alfabetico, sono progettati per organizzazioni di tutte le dimensioni:

  • Bitdefender GravityZone. Questo strumento offre un motore di analisi dei rischi intuitivo che protegge dagli attacchi malware e garantisce inoltre l’aderenza ai protocolli aziendali, tra cui la gestione delle patch, la crittografia del disco e il controllo dei dispositivi.
  • Cisco Secure Endpoint. Precedentemente noto come Cisco AMP for Endpoints, utilizza tecniche avanzate di rilevamento delle minacce, tra cui apprendimento automatico e analisi comportamentale, per identificare e bloccare malware, ransomware e altre attività dannose in tempo reale.
  • ESET Protect. ESET Protect fornisce protezione degli endpoint contro varie minacce, come malware, ransomware e virus.
  • F-Secure Total. F-Secure Total è una suite completa di sicurezza Internet che fornisce sicurezza Internet, rete privata virtuale (VPN) e gestione delle password in un unico abbonamento.
  • Kaspersky Premium. Questo strumento fornisce protezione degli endpoint, rimozione automatica delle minacce e servizi VPN.
  • Sophos Intercept X. Sophos X utilizza una combinazione di rilevamento basato su firme, apprendimento automatico e analisi comportamentale per identificare e bloccare in modo proattivo malware, ransomware e altre minacce informatiche prima che possano danneggiare gli endpoint.
  • Symantec Enterprise Cloud. Questo strumento fornisce sicurezza ibrida incentrata sui dati per organizzazioni grandi e complesse.
  • ThreatDown Endpoint Protection. Precedentemente Malwarebytes Endpoint Protection, questo strumento offre un approccio di protezione a più livelli con gestione della sicurezza semplificata e opzioni di scalabilità per le organizzazioni IT.

Trend Micro Cloud One. Trend Micro Cloud One è progettato per offrire protezione per vari carichi di lavoro, tra cui server fisici, virtuali, cloud e container.
Webroot Managed Detection and Response. Webroot MDR è progettato per fornire una difesa proattiva contro le minacce in evoluzione. Ciò avviene tramite un monitoraggio continuo e utilizzando analisi di esperti e flussi di lavoro attuabili.
Potrebbero esserci casi in cui uno strumento antimalware potrebbe non rimuovere completamente l’infezione da malware. In tali casi è meglio ispezionare manualmente i file di sistema, le cartelle, le voci di registro e gli elementi di avvio. Tuttavia, la rimozione manuale dei file infetti dovrebbe essere tentata con cautela per evitare l’eliminazione accidentale di file critici. Per i dispositivi gravemente infetti, gli utenti possono anche prendere in considerazione il ripristino del sistema tramite software di recupero dati per recuperare i file persi o danneggiati da una copia di backup creata prima che si verificasse l’infezione.

Come prevenire le infezioni da malware

Esistono diversi modi in cui gli utenti possono prevenire il malware, tra cui i seguenti:

Utilizzare software antimalware

Come accennato in precedenza, installare un software antimalware è fondamentale per proteggere PC e dispositivi di rete dalle infezioni da malware.

Prestare attenzione alla posta elettronica

Gli utenti possono prevenire il malware adottando un comportamento sicuro sui propri computer o altri dispositivi personali. Ciò include non aprire allegati di posta elettronica da indirizzi strani che potrebbero contenere malware camuffati da allegato legittimo, tali e-mail potrebbero persino affermare di provenire da aziende legittime ma avere domini di posta elettronica non ufficiali.

Utilizzare un firewall

Gli utenti dovrebbero abilitare o configurare un firewall sul proprio router di rete per monitorare e controllare il traffico di rete in entrata e in uscita. I firewall possono aiutare a bloccare l’accesso non autorizzato e proteggere dalla diffusione di malware.

Aggiornare regolarmente l’antimalware

Gli utenti dovrebbero aggiornare regolarmente il proprio software antimalware, poiché gli hacker si adattano e sviluppano continuamente nuove tecniche per violare il software di sicurezza. I fornitori di software di sicurezza rispondono rilasciando aggiornamenti che correggono tali vulnerabilità. Se gli utenti trascurano di aggiornare il proprio software, potrebbero perdere una patch che li rende vulnerabili a un exploit prevenibile.

Evita i pop-up

Gli utenti dovrebbero sempre evitare di cliccare sui pop-up, anche se sembrano legittimi. Cliccare su una pubblicità pop-up può portare a download involontari di malware o reindirizzare gli utenti a siti Web dannosi in cui il malware potrebbe essere scaricato o installato automaticamente senza il loro consenso. Inoltre, le impostazioni del browser Web dovrebbero essere impostate per bloccare sia i pop-up che gli adware.

Usa password complesse

Per tutti gli account e i dispositivi, dovrebbero essere create password complesse e univoche che non siano facilmente indovinabili. Inoltre, l’autenticazione a più fattori dovrebbe essere abilitata ove possibile, poiché richiede più livelli di autenticazione da parte di un utente prima che possa effettuare l’accesso o accedere a un sistema.

Evita siti Web dubbi

Gli utenti dovrebbero essere selettivi quando navigano online ed evitare siti Web che sembrano rischiosi, come quelli che offrono screensaver da scaricare.

Esegui backup regolari

Gli utenti dovrebbero eseguire regolarmente backup fuori sede o offline per garantire che la versione più recente dei dati non possa essere violata ma sia disponibile per essere recuperata dopo un attacco malware.

Come prevenire il malware in azienda

In ambito aziendale, le reti sono più grandi delle reti domestiche e la posta in gioco è maggiore a livello finanziario. Esistono misure proattive che le aziende dovrebbero adottare per rafforzare la protezione dal malware e fornire sicurezza degli endpoint.

Le precauzioni rivolte all’esterno per le aziende includono quanto segue:

  • Impostazione della doppia approvazione per le transazioni business-to-business.
  • Impostazione della verifica del secondo canale per le transazioni business-to-consumer.

Le precauzioni interne rivolte all’azienda per le aziende includono quanto segue:

  • Utilizzo di malware offline e rilevamento delle minacce per intercettare software dannosi prima che si diffondano.
  • Configurazione di policy di sicurezza per la lista consentita quando possibile.
  • Impostazione di una solida sicurezza a livello di browser Web.

Inoltre, le aziende dovrebbero fornire una formazione sulla consapevolezza della sicurezza a tutti i dipendenti. Le infezioni da malware sono spesso innescate da utenti che scaricano inconsapevolmente software contraffatti o cadono vittime di truffe di phishing.

La formazione sulla consapevolezza della sicurezza fornisce agli utenti gli strumenti per riconoscere le tattiche di ingegneria sociale, identificare siti Web dannosi ed evitare di scaricare app false.

In che modo il malware colpisce i Mac?

Il malware può colpire sia i Mac che i dispositivi Windows. Storicamente, i dispositivi Windows sono considerati un bersaglio più grande per i malware rispetto ai Mac, in parte perché gli utenti possono scaricare applicazioni per macOS tramite l’App Store.

Nel suo “Malwarebytes Lab 2020 State of Malware Report”, Malwarebytes ha segnalato che per la prima volta in assoluto, il malware sui Mac ha superato il malware sui PC. Ciò è dovuto in parte alla popolarità dei dispositivi Apple, che attirano più attenzione da parte degli hacker.

Il malware per Mac può assumere varie forme, tra cui virus, trojan, adware, spyware e ransomware. Ecco alcuni esempi reali di malware per Mac:

  • XLoader, 2024. XLoader è un malware-as-a-service disponibile sul darknet per circa $ 49, in grado di raccogliere accessi dai browser, raccogliere screenshot, registrare le sequenze di tasti e scaricare ed eseguire file dannosi.
  • Exploit HVNC, agosto 2023. Gli hacker possono utilizzare questo malware per ottenere il controllo remoto di un Mac non sicuro. Questo malware viene venduto su un forum russo di criminalità informatica sul dark web noto come Exploit.
  • Malware Alchimist e Insekt, 2022. Alchimist è stato scoperto insieme al malware dropper per Mac progettato per sfruttare una vulnerabilità del 2021. Inoltre, nell’ottobre 2022 si è registrato un aumento del numero di utenti che hanno segnalato falsi pop-up di avviso nel browser.
  • Mac Auto Fixer, agosto 2018. Questo PUP è stato creato per infiltrarsi nei sistemi tramite pacchetti software in bundle.
  • KeRanger, marzo 2016. KeRanger è stato il primo attacco ransomware a colpire gli utenti Mac, crittografando le informazioni riservate degli utenti e chiedendo il pagamento per il recupero.

In che modo il malware colpisce i dispositivi mobili?

Il malware può essere trovato sui telefoni cellulari e può fornire accesso ai componenti di un dispositivo, come la fotocamera, il microfono, il GPS o l’accelerometro. Con l’aumento dell’utilizzo dei dispositivi mobili e le aziende che consentono ai dipendenti di accedere alle reti aziendali tramite dispositivi personali, il malware mobile si sta diffondendo rapidamente.

Ad esempio, il malware può essere contratto su un dispositivo mobile se un utente scarica un’applicazione non ufficiale o fa clic su un collegamento dannoso da un’e-mail o un messaggio di testo. Un dispositivo mobile può anche essere infettato tramite una connessione Bluetooth o Wi-Fi.

Il malware mobile si trova più comunemente su dispositivi che eseguono il sistema operativo Android piuttosto che iOS. Il malware sui dispositivi Android viene solitamente scaricato tramite applicazioni. I segnali che un dispositivo Android è infetto da malware includono aumenti insoliti nell’utilizzo dei dati, una carica della batteria che si dissipa rapidamente o chiamate, messaggi di testo ed e-mail inviati ai contatti del dispositivo senza che l’utente ne sia a conoscenza. Allo stesso modo, se un utente riceve un messaggio da un contatto riconosciuto che sembra sospetto, potrebbe essere un tipo di malware mobile che si diffonde tra i dispositivi.

I dispositivi Apple iOS sono raramente infettati da malware perché Apple esamina attentamente le applicazioni vendute nell’App Store. Tuttavia, è ancora possibile che un dispositivo iOS venga infettato da codice dannoso aprendo un collegamento sconosciuto trovato in un’e-mail o un messaggio di testo. I dispositivi iOS sono anche più vulnerabili se sottoposti a jailbreak.

Storia del malware
Il termine malware è stato utilizzato per la prima volta dall’informatico e ricercatore di sicurezza Yisrael Radai nel 1990. Tuttavia, il malware esisteva già da molto prima.

Uno dei primi esempi noti di malware è stato il virus Creeper nel 1971, creato come esperimento dall’ingegnere Robert Thomas della Raytheon BBN (ex BBN Technologies). Creeper è stato progettato per infettare i mainframe su ARPANET. Sebbene il programma non alterasse le funzioni o rubasse o eliminasse dati, si spostava da un mainframe all’altro senza autorizzazione, visualizzando un messaggio telescrivente che recitava “Sono il creeper: prendimi se ci riesci”. Creeper è stato in seguito modificato dall’informatico Ray Tomlinson, che ha aggiunto la capacità di autoreplicarsi al virus e ha creato il primo worm informatico noto.

Il concetto di malware ha preso piede nel settore tecnologico e virus e worm hanno iniziato ad apparire sui PC Apple e IBM nei primi anni ’80, prima di diventare popolari in seguito all’introduzione del World Wide Web e di Internet commerciale negli anni ’90. Da allora, il malware e le strategie di sicurezza per prevenirlo sono diventati sempre più complessi.

Programmi simili al malware

Esistono altri tipi di programmi che condividono tratti comuni con il malware, ma sono nettamente diversi.

Esempi comuni di virus simili al malware, ma che non sono tecnicamente classificati come malware, includono i seguenti:

Grayware

Grayware è una categoria di applicazioni PUP che ingannano gli utenti inducendoli a installarle sui loro sistemi, come le barre degli strumenti del browser, ma non eseguono alcuna funzione dannosa una volta installate. Tuttavia, ci sono casi in cui un PUP potrebbe contenere funzionalità simili a spyware o altre caratteristiche dannose nascoste, nel qual caso verrebbe classificato come malware.

Browser hijacker

I browser hijacker sono programmi in grado di eseguire varie azioni senza il consenso dell’utente. Ad esempio, possono modificare le impostazioni del browser Web, reindirizzare gli utenti a siti Web indesiderati e visualizzare annunci pubblicitari intrusivi. Sebbene non siano classificati come malware, possono certamente invadere la privacy di un utente e interromperne l’esperienza di navigazione.

Cookie di tracciamento

I siti Web spesso tracciano le abitudini e le preferenze di navigazione di un utente inserendo piccoli file di testo noti come cookie di tracciamento sui loro dispositivi. Possono causare problemi di privacy ed essere sfruttati per la raccolta di dati e la pubblicità mirata. Google inizierà a dismettere i cookie di tracciamento per il suo browser Chrome entro la fine del 2024, con una data di completamento prevista per il 2025.

RAT

I RAT sono strumenti legittimi che vengono spesso utilizzati per scopi di amministrazione remota e risoluzione dei problemi. Tuttavia, a volte gli autori delle minacce possono abusarne per ottenere un accesso non autorizzato al sistema e causare problemi di privacy per gli utenti.