Il worm Koobface raddoppia il numero dei suoi server di comando e controllo

Kaspersky Lab ha reso noto un aumento delle infezioni dovute a Koobface, un worm estremamente prolifico capace di infettare i siti di social networking. Questo programma nocivo colpisce siti internet come Facebook o Twitter e riesce a usarli come proxy per i suoi server di comando e controllo.

Durante le ultime 2 settimane, il team di ricerca di Kaspersky Lab ha osservato che i server di Comando & Controllo di Koobface sono stati chiusi o ripuliti, con una media di tre volte al giorno. Il numero è costantemente diminuito da 107 (25 febbraio) al livello più basso 71 (8 marzo).

In seguito, in sole 48 ore, il numero è cresciuto da 71 a 142, raddoppiando precisamente il numero totale dei server che tutti i computer infettati da Koobface utilizzano per ottenere comandi remoti e aggiornamenti.

Le infrastrutture di comando e controllo Koobface possono essere studiate osservando l’evoluzione della posizione geografica degli indirizzi IP utilizzati per comunicare con i computer infetti.

L’utilizzo di server di Comando & Controllo è in aumento soprattutto nel Stati Uniti, con una crescita dal 48% al 52%. Attualmente, più della metà dei server C & C Koobface sono ospitati negli Stati Uniti, percentuali che superano quelle di qualsiasi altro paese nel mondo.

"Questi ultimi avvenimenti ci danno alcune indicazioni del modo in cui il Koobface gestisce la sua infrastruttura", ha spiegato Stefan Tanase, Senior Regional Researcher di Kaspersky Lab EEMEA. "Sulla base di queste considerazioni, possiamo concludere che i criminali informatici hanno un costante controllo sullo stato delle loro infrastrutture.

Essi non vogliono che il numero di Comando & Controllo server diminuisca drasticamente, in quanto ciò significherebbe perdere il controllo sulla botnet. Quando il numero di server di Comando & Controllo attivi scende ad un livello critico, sembrano essere sempre pronti ad aggiungerne dozzine di nuovi.

Leggi anche:  Cybertech, la sicurezza gestita come asset

Il numero totale di server di Comando & Controllo Koobface è sempre fluttuante, e passa da oltre un centinaio a meno di un centinaio nel giro di poche settimane. Sembra che quando i 100 server di Comando & Controllo sono attivi, il gruppo Koobface sia tranquillo.

Preferiscono inoltre avere i loro server di Comando & Controllo distribuiti in tutto il mondo e con diversi ISP, al fine di rendere il processo di take-down più difficile. Tuttavia, la maggior parte dei server di Comando & Controllo di Koobface rimane negli Stati Uniti ".

Kaspersky Lab vuole fornire alcuni suggerimenti agli utenti per difendersi da questo tipo di minacce:

• State attenti ai link nei messaggi sospetti, anche se il mittente è uno dei vostri fidati amici su Facebook.

• Utilizzate un browser aggiornato: Firefox 3.x, Internet Explorer 8, Google Chrome, Opera 10, ecc

• Divulgate il meno possibile informazioni personali. Non date il vostro indirizzo di casa, numero di telefono o altre informazioni private.

• Mantenete il vostro software antivirus aggiornato per evitare che le nuove versioni di malware possano attaccare il computer.

• Gli utenti di Kaspersky Lab che utilizzano qualunque nostro prodotto anti-malware sono completamente protetti da tutte le varianti conosciute di Koobface. Il team globale di analisti di Kaspersky Lab stanno monitorando tutte le minacce provenienti da siti di social networking, tenendo sotto controllo le attività dannose e aggiornando costantemente gli strumenti per la protezione dei propri clienti.