Descrivere il malware

  • 4 minuti

Si è sentito parlare di termini quali malware, virus, worm e così via. Ma cosa significano questi termini? Un virus è un worm? Cosa fa esattamente il malware? Questi sono solo alcuni dei concetti di base illustrati in questa unità.

Che cos'è un malware?

Il termine malware proviene dalla combinazione delle parole "malicious" e software. Si tratta di un software usato da criminali informatici per infettare sistemi ed eseguire azioni che provocheranno danni, tra cui il furto di dati o l'interruzione dell'utilizzo e dei processi normali.

Il malware ha due componenti principali:

  • Meccanismo di propagazione
  • Payload

Che cos'è un meccanismo di propagazione?

La propagazione è il modo in cui il malware si diffonde in uno o più sistemi. Di seguito sono disponibili alcuni esempi di tecniche di propagazione comuni:

Figura che mostra le tre forme più comuni di propagazione del malware: virus, worm e trojan

Virus

Questo termine è già familiare per la maggior parte delle persone. Ma cosa significa effettivamente? Prima di tutto, pensiamo ai virus in termini non tecnici. In biologia, ad esempio, un virus entra nel corpo umano e può diffondersi e provocare danni dall'interno del corpo. I virus basati su tecnologia dipendono da alcuni mezzi di ingresso, in particolare l'azione di un utente, per entrare in un sistema. È ad esempio possibile che un utente scarichi un file o un plug-in un dispositivo USB che contiene il virus e contamina il sistema, provocando quindi una violazione della sicurezza.

Worm

A differenza di un virus, un worm non necessita di azioni utente per diffondersi nei sistemi. Un worm provoca invece danni individuando sistemi vulnerabili da sfruttare. Dopo l'inserimento in un sistema, il worm può diffondersi in altri sistemi connessi. È ad esempio possibile che un worm infetti un dispositivo sfruttando una vulnerabilità in un'applicazione eseguita nel dispositivo. Il worm può quindi diffondersi in altri dispositivi nella stessa rete e in altre reti connesse.

Trojan

Il nome dell'attacco trojan horse deriva dalla storia classica, in cui si narra che alcuni soldati si sono nascosti in un cavallo di legno donato ai troiani. Quando i troiani hanno portato il cavallo di legno entro le mura della città, i soldati sono emersi dal nascondiglio e hanno sferrato l'attacco. Nel contesto della cybersecurity, un trojan è un tipo di malware che finge di essere un vero e proprio software. Quando un utente installa il programma, può fingere di funzionare come annunciato, ma il programma esegue segretamente anche azioni dannose, ad esempio il furto di informazioni.

Che cos'è un payload?

Il payload è l'azione eseguita da un malware in un dispositivo o sistema infettato. Di seguito sono riportati alcuni tipi comuni di payload:

  • Ransomware è un payload che blocca sistemi o dati fino a quando la vittima non paga un riscatto. Si supponga che in una rete di dispositivi connessi sia presente una vulnerabilità non identificata. Un criminale informatico la può sfruttare per accedere e quindi crittografare tutti i file nella rete. L'utente malintenzionato richiede quindi un riscatto in cambio della decrittografia dei file. Potrebbe minacciare di rimuovere tutti i file se il riscatto non viene stato pagato entro una scadenza specifica.
  • Spyware è un tipo di payload che spia un dispositivo o un sistema. È ad esempio possibile che il malware installi software di analisi della tastiera nel dispositivo di un utente, raccolga i dettagli della password e li trasmetta all'utente malintenzionato, tutto all'insaputa dell'utente.
  • Backdoor: una backdoor è un payload che consente a un criminale informatico di sfruttare una vulnerabilità in un sistema o dispositivo per aggirare le misure di sicurezza esistenti e provocare danni. Si immagini che un criminale informatico si infiltri in una società di sviluppo di software e lasci un codice che consente di eseguire attacchi. Tale codice diventa una backdoor che il criminale informatico potrebbe usare per l'hacking dell'applicazione, del dispositivo in esecuzione e persino delle reti e dei sistemi dell'organizzazione.
  • Botnet è un tipo di payload che aggiunge un computer, un server o un altro dispositivo a una rete di dispositivi analogamente infetti che possono essere quindi controllati da remoto per eseguire azioni dannose. Un'applicazione comune di malware botnet è il crypto-mining. Questo paylod viene quindi spesso definito malware di crypto mining. In questo caso, il malware connette un dispositivo a una botnet che usa la potenza di calcolo del dispositivo per il mining o la generazione di criptovalute. È possibile che un utente noti prestazioni più lente del normale per il computer e un peggioramento continuo ogni giorno.