a(2)[1]

MS Word: protocollo DDE sfruttato per l’esecuzione di un malware

 

MS Word: protocollo DDE sfruttato per l'esecuzione di un malware


Gli autori di malware non hanno necessariamente bisogno di ingannare gli utenti affinchè abilitino le macro per avviare del codice dannoso. Esiste infatti una tecnica alternativa, che sfrutta un'altra funzione legittima di Office. 
 
Recentemente è stata infatti scoperta una campagna che diffonde documenti di Microsoft Word contenenti malware in grado di eseguire il codice sul dispositivo che gli hacker intendono colpire senza però bisogno di richiedere l’abilitazione delle macro o di compromettere la memoria.
 
La funzione legittima che permette questo si chiama Dynamic Data Exchange (DDE).
 
 
Cosa è il Dynamic Data Exchange (DDE)?
Il protocollo Dynamic Data Exchange (DDE) è uno dei metodi con i quali Microsoft Office consente a due applicazioni, in esecuzione contemporaneamente, di condividere gli stessi dati. Il protocollo può essere utilizzato dalle applicazioni per trasferimenti di dati unici e per effettuare scambi continui, nel corso dei quali le applicazioni inviano aggiornamenti reciprocamente. Migliaia di applicazioni, tra cui Microsoft Excel, MS Word e Virtual Basic, utilizzano il protocollo DDE. E' una vecchia caratteristica di Microsoft (che è stata rimpiazzata dal più nuovo Object Linking and Embedding - OLE), ma è ancora supportata dalle applicazioni Office. 

Come funziona l'attacco DDE?
Ridotto all'osso, DDE non è altro che un campo personalizzabile che un utente può inserire in un documento: questo campo consente all'utente di inserire alcune semplici istruzioni, ad esempio la location dove prelevare i dati e quali dati inserire nel nuovo documento. I documenti Word diffusi con questa campagna sono dannosi perchè il loro campo DDE, invece di aprire un'altra app Office, apre un prompt dei comandi e esegue codice dannoso.

In cricostanze normali, le app Office mostrerebbero ben due avvisi di sicurezza. Il primo è un avviso riguardo al fatto che il documento contiene collegamenti verso altri file, mentre il secondo riguarda un errore riguardo l'apertura di un prompt dei comandi da remoto.

 

Il secondo popup può essere soppresso, limitando gli avvisi soltanto al primo. Questo ovviamente incentiva molto le potenzialità dell'attacco DDE. Gli utenti abituati infatti a lavorare regolarmente con file DDE-linked sono portati a chiudere il primo popup.

MS Word DDE viene attivamente sfruttata in the wild
Questa tecnica è stata individuata mentre veniva attivamente utilizzata dagli hacker in the wild, allo scopo di colpire varie organizzazioni utilizzando email di spear phishing. Le email sono state composte in modo tale da farle apparire come se fossero inviate dalla Security and Exchange Commission (SEC), cercando così di convincer gli utenti ad aprirli. Le email contengono un allegato dannoso (MS Word) che, con l'apertura, dà inizio ad un sofisticato processo di infezione capace di determinare un’infezione multipla del malware DNSMessenger.
 
Nel marzo scorso gli attaccanti avevano già distribuito DNSMessenger un complesso remote access trojan (RAT) fileless che usa DNS per eseguire comandi dannosi in PowerShell. Una volta aperta l’email, le vittime vengono informate del fatto che il messaggio contiene il collegamento a file esterni e che è necessario consentire o negare il recupero e la successiva visualizzazione di tali contenuti. Il documento dannoso, una volta ricevuto il consenso dell’utente, comunica direttamente con l’attaccante in modo da recuperare il codice che verrà eseguito per dare inizio all’infezione del malware DNSMessenger.

AGGIORNAMENTO!
Lo stesso meccanismo di attacco è stato migliorato e affinato e funziona anche con le email di Outlook: attualmente i cyber-criminali stanno sfruttando lo stesso meccanismo in semplici email in formato RTF.
In questo modo la potenziale vittima non deve neppure aprire l'allegato, ma, una volta visualizzata la mail in Outlook, si trova direttamente di fronte al messaggio che chiede il permesso di "aggiornare" i dati da  un file collegato.  Questo meccanismo rischia di abbassare ancora di più le difese di chi riceve questi messaggi, dato che non scatta un messaggio di sistema inaspettato.
 
Secondo il ricercatore Brad Duncan in queste ore la tecnica è in uso per diffondere il ransomware Locky. 
 
Come proteggersi ed individuare gli attacchi DDE di MS Word
L’aspetto più preoccupante dell’intera vicenda è il fatto che Microsoft non consideri tutto ciò come una vulnerabilità di sicurezza: ritiene infatti che non sia possibile considerare l'attacco DDE come una problematica di sicurezza dato che Office mostra un avviso prima dell'apertura del file. Spiegano cioè che è solo un utilizzo distorto di una funzione legittima. Tuttavia, anche se non esiste un modo diretto per disabilitare l’esecuzione del codice DDE, gli utenti possono monitorare i registri relativi agli eventi di sistema e verificarne quindi il possibile sfruttamento.

In ogni caso la soluzione migliorare, al fine di proteggersi di fronte ad eventuali attacchi malware, è sempre quella di guardarsi bene dall’aprire i link o scaricare gli allegati contenuti in messaggi di posta elettronica sconosciuti, inattesi o indesiderati.
 
mac[1]

Trojan Proton: attacco ai Mac in corso per rubare le informazioni

 

Trojan Proton: attacco ai Mac in corso per rubare le informazioni

 
II server di Eltima, sviluppatore di un software multimediale molto apprezzato dagli utenti MAC come Elmedia Player, sono stati violati. Gli attaccanti sono riusciti a sostituire l'installer originale con una versione che include il trojan Proton.
 
Trojan Proton: che cosa è?
Il trojan Proton è un malware appositamente pensato per i computer che eseguono sistemi operativi MAC: una volta installato consente agli attaccanti di rubare un gran numero di informazioni dal dispositivo bersaglio. Nel dettaglio Proton punta alle informazioni di sistema:

 
  • numeri di serie;
  • utente;
  • informazioni sul gateway;
  • informazioni sulle applicazioni installate.

Trasmette inoltre al proprio server di Command e Control eventuali informazioni su wallet Bitcoin come Bitcoin COe, Electrum, Armony, i dati della keychain del sistema, quelli di una eventuale configurazione VPN di Tunnelblick ecc..
 
 
Come rimuovere il trojan?
Pare che sia assolutamente difficile farlo, stando alle parole di vari ricercatori di sicurezza che ne hanno studiato il codice. Alcuni consigliano la reinstallazione del sistema da zero. 
 
Quanti utenti sono a rischio?
Eltima ha ricevuto comunicazione in data 19 Ottobre ed ha reagito prontamente: nel giro di una manciata di ore ha rimesso in sicurezza i propri server e sostituito l'installer compromesso con quello originale e sicuro. Non è però possibile sapere, almeno per ora, per quanto tempo sia sia rimasta in distribuzione la versione compromessa né quando sia avvenuta la violazione dei server, quindi è difficile dare una stima del numero di possibili vittime di Proton. Giova ribadire che il trojan era in distribuzione solo tramite l'installer compromesso, mentre gli aggiornamenti disponibili sul sito di Elmedia Player sono sempre stati sicuri. A rischio quindi sono solo gli utenti che hanno scaricato il programma, non coloro che hanno eseguito gli aggiornamenti. Lo scarso utilizzo di antivirus da parte di Utenti Mac però fa temere un numero di vittime piuttosto alto.
 
Come verificare la presenza di Proton sul sistema? 
Vi sono alcuni file che, se riscontrati sul sistema (anche uno solo), indicano la presenza del trojan Proton. Eccone un elenco:
 
  • /tmp/Updater.app/
  • /Library/LaunchAgents/com.Eltima.UpdaterAgent.plist
  • /Library/.rand/
  • /Library/.rand/updateragent.app/

Consigliamo a chi ha scaricato il programma nei giorni immediatamente precedenti al 19 Ottobre di avviare una scansione dell'antivirus e verificare la presenza dei file sopra indicati. 
 
magniber[1]

Morto un ransomware se ne fa un altro: arriva Magniber, il successore di Cerber.

Morto un ransomware se ne fa un altro: arriva Magniber, il successore di Cerber.

 
Magniber è un nuovo ransomware che viene distribuito attraverso l'exploit kit Magnitude: secondo Bleeping Computer Magniber è il successore di Cerber. Se, infatti, alcuni aspetti di Magniber sono differenti da Cerber, il sistema di pagamento e la modalità di criptazione sono molto simili. 
 
Il malware è stato individuato da Michael Gillespie su segnalazione di un utente colpito: pochi giorni dopo altri ricercatori scoprivano che l'exploit kit Magnitude, che è stato fino ad ora il distributore di Cerber, aveva cominciato a distribuire un nuovo ransomware (al tempo colpiva specificatamente utenti Sud Coreani).

Leggi anche: Exploit kit as a Service: perchè Ransomware e Exploit kit sono ormai coppia fissa
 
E' dalla fusione di Magnitude con Cerber che nasce Magniber. Secondo Bleeping Computer vi sono buone possibilità perché il ransomware sia risolvibile: ad oggi, ovviamente, non lo è ancora.
 
Come si diffonde?
Magniber viene distribuito attraverso insistenti malvertisement via exploit kit Magnitude: anzi una versione per ora limitata (forse di test) destinata ad utenti sud coreani. Gli annunci sono visualizzati in siti web caduti sotto il controllo degli attaccanti: chi li visualizza subirà l'attacco dell'exploit kit che sfrutta, per ora, le vulnerabilità di Internet Explorer per installare il ransomware Magniber.

L'exploit kit Magnitude installa Magniber
Il successore di Cerber?
Cerber pare essere scomparso da almeno metà Settembre: sono state individuate solo campagne ridotte e secondarie di distribuzione. Oltre a ciò, Magnitude era il mezzo di distribuzione di Cerber: all'improvviso però questo exploit kit ha sostituito Cerber, mettendo in distribuzione Magniber. Ancora: il sito per il pagamento del riscatto di Magniber è lo stesso di Cerber, il che fa pensare che, semplicemente, il sistema di pagamento sia stato spostato da Cerber a Magniber.

Confronto tra i due siti di pagamento: fonte Bleeping Computer
Una caratteristica peculiare di Magniber è la modalità con la quale l'utente accede al sito di pagamento su Tor. Di solito un ransomware crea un ID unico che identifica la vittima. Questo ID viene aggiunto alla nota di riscatto e la vittima deve usarlo per accedere alla propria pagina di pagamento e quindi per ottenere il decryptor. 
 
Magniber funziona in maniera leggermente differente: invece di prevedere un login per la vittima in base all'ID, usa l'ID come sottodominio del sito TOR. 
 
AD esempio, una nota di riscatto può contenere il sito di pagamento oc77jrv0xm9o7fw55ea.ofotqrmsrdc6c3rz.onion, dove oc77jrv0xm9o7fw55ea 
è l'ID della vittima.
 
Sito di pagamento: fonte Bleeping Computer
Come cripta i file?
Al primo avvio, Magniber verifica la lingua in usata quando Windows è stato installato. Per adesso, se non è coreano, il processo termina e file non verranno criptati. Se invece la lingua individuata è il coreano, il ransomware genera l'ID della vittima che verrà usato nella nota di riscatto e quando si accede al sito TOR di pagamento. 
 
Il ransomware inizia quindi il processo di criptazione dei file: cerca e cripta solo alcuni tipi di estensioni, in ogni caso oltre un centinaio di diverse tipologie di file. Cripta i file senza modificarne il nome, ma aggiungendovi due diverse estensioni:  .ihsdj oppure .kgpvwnr.

 

Quando il ransomware esegue la scansione in cerca di file bersaglio da criptare, salta i file il cui percorso contiene le seguenti stringhe:

 
La nota di riscatto
Al termine del processo di criptazione, Magniber crea una nota di riscatto rinominata READ_ME_FOR_DECRYPT_[id].txt in ogni cartella nella quale sono stati criptati dei file. 
 
 
La nota contiene spiegazioni riguardo a ciò che è accaduto ai file e le istruzioni di pagamento: mostra anche, come detto prima, il sottodominio TOR contenente l'ID unico della vittima. 

 

 
badrabbit[1]

Bad Rabbit: un nuovo ransomware pericoloso come WannaCry

Bad Rabbit: un nuovo ransomware pericoloso come WannaCry

 
Un nuovo ransomware, chiamato Bad Rabbit, sta proprio in queste ore colpendo duramente alcune regioni dell'est Europa, bersagliando principalmente agenzie governative e aziende private. Attualmente gli stati più colpiti sono Russia, Ucraina, Bulgaria, Turchia. Tra le "vittime eccellenti" l'aeroporto di Odessa e la metropolitana di Kiev in Ucraina, il Ministero delle infrastrutture ucraino e 3 agenzie di stampa russe. Nonostante non colpisca l'Italia riteniamo utile parlarne per l'inquietante numero di funzionalità che dimostra di avere e la capacità davvero impressionante di diffusione. La velocità con la quale Bad Rabbit si è diffuso infatti è simile a quella con la quale WannaCry e NotPetya si sono diffusi risultando tra i peggiori attacchi ransomware della storia. 
 
Come si diffonde?
Secondo vari ricercatori Bad Rabbit è stato diffuso inizialmente come pacchetto di aggiornamento di Flash Player, ma il ransomware sembra dotato anche di strumenti che lo aiutano nella diffusione
laterale entro una rete: questo può spiegare come sia stata possibile una diffusione così capillare in così poco tempo.
 
I dati telemetrici rivelano che il ransomware è stato diffuso tramite un attacco drive-by (compromissione di un PC mediante il download automatico di un malware). Nel dettaglio le vittime vengono reindirizzate verso un falso pacchetto di aggiornamento per Flash Player da siti web legittimi. Bad Rabbit usa anche Mimikatz per estrarre le credenziali dalla memoria locale del computer, insieme ad un elenco di credenziali codificate e cerca di accedere ai server e alle workstation nella stessa rete tramite SMB e WebDAV. 
 
Che cosa fa?
Come ransomware è molto simile a Petya e NotPetya: prima di tutto cripta i file sul computer dell'utente, quindi sostituisce l'MBR (Master Boot Record). Una volta finito il processo di criptazione Bad Rabbit riavvia il PC della vittima: questo resta quindi bloccato visualizzando solo la nota di riscatto.

Il file compromesso che avvia l'infezione si chiama install_flash_player.exe: quando viene eseguito copia un file chiamato C:\Windows\infpub.dat, quindi lo esegue usando il comando C:\Windows\system32\rundll32.exe C:\Windows\infpub.dat, #1 15.
 
Fonte: Bleeping Computer
Una volta eseguito il file Infpub.dat questo crea il file
C:\Windows\cscc.dat and C:\Windows\dispci.exe, quindi crea un servizio Windows chiamato Windows Client Side Caching DDriver  usato per lanciare il driver cscc.dat. Inoltre Infpub.dat crea una operazione pianificata che lancia il file dispci.exe quando l'utente esegue il login nel computer. Questo task è chiamato Rhaegal e esegue il comando C:\Windows\dispci.exe" -id [id] && exit. Il driver cscc.dat e il file dispci.exe sono usati per criptare il disco e modificare il master boot record al fine di mostrare la nota di riscatto sullo schermo del PC colpito.

Fonte: Bleeping Computer
Con questo meccanismo il ransomware installa e attiva i componenti DiskCryptor, ma, come detto, esegue anche al criptazione dei file. I file verranno criptati con la criptazione AES: la chiave di criptazione AES usata per criptare i file viene a sua volta criptata con una chiave pubblica RSA-2048 integrata. Non sappiamo ancora dove venga salvata la chiave di criptazione finale.

La particolarità di Bad Rabbit è che non aggiunge nessuna estensione ai file criptati. Aggiunge solo la stringa "encrypted" ad ogni file criptato, come mostrato sotto:
 
Fonte: Bleeping Computer
Come WannaCry: il protocollo SMB usato per la diffusione nella rete
Infpub.dat contiene anche la capacità di diffondersi via SMB ad altri computer. Tenta di accedere alle condivisioni di rete via SMB sfruttando le credenziali rubate dal computer della vittima o usando una lista di user name e password per trovare l'accesso. Se ottiene l'accesso alla rete, copia se stesso e esegue il ransomware su altri computer. Infine crea altri due processi pianificati che sono usati per riavviare il computer: così esegue altri programmi quando si fa il login e mostra il lock screen prima che Windows si avvii. 
 
La nota di riscatto:è quasi identica a quella usata da NotPetya nell'ondata di attacchi di Giugno. La nota di riscatto richiede alla vittima di accedere ad una rete Tpr e eseguire il pagamento di 0,05 bitcoin (circa 280 dollari). Le vittime hanno circa 40 ore per pagare prima che l'ammontare del riscatto aumenti.

Blocco schermo in avvio. 
Il portale di pagamento 
 
Da dove viene? 
A dispetto delle somiglianze, Bad Rabbit e NotPetya condividono solo il 13% di codice.Bad Rabbit pare basato sul ransomware DiskCryptor che a sua volta prende spunto da HDDCryptor, un ransomware che ha paralizzato il sistema di trasporti di San Francisco lo scorso anno.  
 
necurs[1]

Il Malware Necurs si potenzia: ruba schermate dai PC e invia report sui propri malfunzionamenti

 Il Malware Necurs si potenzia: ruba schermate dai PC infetti e invia report sui propri malfunzionamenti

 
Le famiglie di malware evolvono ormai su basi quotidiane, ma alcuni update catturano l'attenzione più di altri. Necurs ha appena subito uno di questi aggiornamenti "interessanti". Una precisazione: col nome Necurs si indicano sia una variante di malware che la botnet di computer infetti che il malware ha generato. 
 
Il malware Necurs è un downloader ed ha solo 3 funzioni principali:
  • ottenere la persistenza in avvio sul PC infetto;
  • raccogliere la telemetria sugli host infetti;
  • scaricare e installare, in un secondo momento, payload.
Viene distribuito tramite mail di spam inviate dalla botnet Necurs stessa oppure da web server hackerati. E' il malware Necurs che poi, in un secondo momento, distribuisce altri malware (Locky, Cerber ecc..)

Il downloader Necurs ha due nuove funzioni
Il downloader di Necurs non ha mai, realmente, prodotto gravi danni. Ora però si diffonde in maniera potenziata, con due nuove, interessanti, funzioni. La prima aggiunta è uno script Powershell che fa screenshot dello schermo dell'utente infetto e, dopo pochi secondi, carica l'immagine sul server remoto. La seconda aggiunta è una funzione incorporata di "error reporting" che analizza il downloader Necurs per errori, registra i problemi e invia agli operatori di Necurs le info raccolte. 
 
In realtà alcune famiglie di malware hanno già presentato queste funzioni: è però la prima volta che le vediamo in un downloader. Lo scopo dello screenshot potrebbe essere, assieme alla telemetria, quello di riuscire a individuare più in dettaglio che tipo di macchina è stata infettata: dai software e dai file può essere possibile capire se sia stato infettato un home user, oppure il PC di un ufficio (il che significa che si è dentro una rete aziendale). 
 
La funzione invece di report degli errori è presto spiegata: è un sistema per raccogliere tutte le informazioni sui malfunzionamenti di Necurs e consentire così agli sviluppatori di migliorare la loro applicazione. 
 
Grazie al vendor Symatec abbiamo a disposizione un grafico che indica le ondate di spam tramite Necurs di quest'anno: si conferma l'incremento dell'attività negli ultimi mesi. Attualmente la botnet Necurs sta diffondendo il ransomware Locky e il trojan bancario Trickbot (ne abbiamo parlato qui) .
 

 

 
KRACK[1]

Attacco KRACK: un ricercatore dimostra che tutte le Wi-FI sono vulnerabili

 Mathy Vanhoef, un ricercatore dell'università di Leuven ha individuato una serie di gravissime vulnerabilità nel protocollo WPA2 (Wi-Fi Protected Access II): WPA2 è il protocollo di protezione più usato per rendere sicure le reti Wi-Fi moderne. 

 
Le vulnerabilità individuate affliggono il protocollo WPA2 stesso e non uno specifico hardware o software: insomma, queste falle sono un pericolo per chiunque abbia una rete Wi-Fi. 
 
Vanhoef ha chiamato questo attacco KRACK, che sta per Key Reinstallation Attack. 
 
Come funziona l'attacco Krack?

L'attacco sfrutta il processo di handshake, che è quel momento nel quale l'access point e il dispositivo (smartphone, pc ecc...) instaurano la connessione. Questo processo si compone di ben 4 passaggi: tra questi quello più delicato è il terzo passaggio, durante il quale viene condivisa una chiave crittografica che, almeno teoricamente, dovrebbe essere usata per una sola connessione. 

La chiave però viene inviata più volte per ovviare all'eventualità che il client non riesca a ricevere la chiave stessa. Ed è qui che sta il fulcro del problema: l'attacco può ingannare il dispositivo e indurlo a reinstallare una chiave crittografica già usata (l'attacco prevede anche la tecnica cosiddetta Man in The Middle- MitM, ovvero quando un attaccante si interpone segretamente tra due poli in comunicazione  modificando/alterando/osservando la comunicazione in corso). 
 
Questo tipo di attacco risulta essere molto efficace contro dispositivi Linux (e qui dobbiamo ricordarci che la maggior parte dei dispositivi IoT girano su Linux) o Android. In questi due casi infatti, il client usato da Linux e quello di Google non installano una chiave già usata, ma addirittura una che in pratica non cifra i dati. In questo caso l'attacco quindi si può portare a termine anche senza ricavare la chiave crittografica. 
 
Nel video sotto, Vanhoef descrive passo dopo passo l'attacco portato contro un dispositivo Android.


L'efficacia dell'attacco varia a seconda delle impostazioni WPA
L'attacco non ha sempre lo stesso impatto: se ad esempio WPA viene usata con AES-CCMP (un metodo di cifratura usato da IEEE 802.11i per gestire le chiavi), il rischio si limita alla possibilità che i pacchetti inviativengano decriptati, consentendo ad esempio il furto di credenziali.
 
Nel caso invece si utilizzi WPA-TKIP oppure GCMP le cose sono ben peggiori: in questo caso l'attaccante potrebbe addirittura modificare i pacchetti, iniettare codice dannoso e quindi malware. 
 
L'attacco ha due limiti positivi: prima di tutto infatti l'attacco non può essere portato via Internet, ma deve essere eseguito da un punto entro il raggio d'azione della rete Wi-Fi bersaglio. In secondo luogo l'attacco prende di mira i dispositivi stessi e non gli access point.
 
Che cosa fare per difendersi?
Le vulnerabilità che consentono questo tipo di attacco sono queste: 

Queste vulnerabilità, sulle quali l'attacco si basa, sono critiche, ma per adesso non è assolutamente facile e immediato estrarre le chiavi dall'handshake e a tutt'ora non esiste un exploit kit che svolga tutto il lavoro in automatico. Questa è una buona notizia. Ce n'è un'altra: i vendor stanno già lavorando per approntare gli aggiornamenti utili a risolvere le vulnerabilità. 
In sunto, tra qualche giorno, sarà necessario aggiornare il router, il punto di accesso, gli adattatori di rete wireless e i dispositivi con i firmware o i driver nuovi che verranno rilasciati. 
 
Consigliamo questa pagina di Bleeping Computer, dove è possibile trovare la lista dei vendor che hanno rilasciato avvisi o update dei driver o del firmware ed è costantemente in aggiornamento.
 
payday[1]

Famiglia ransomware BTCware: individuata una nuova versione, Payday.

 Famiglia ransomware BTCware: individuata una nuova versione, Payday.

E' stata individuata una nuova variante del ransomware BTCware. Dopo una settimana di calma piatta nel mondo dei ransomware, siamo oggi alla seconda nuova tipologia di ransomware individuata in pochi giorni (è di pochi giorni fa l'individuazione di Asasin, nuova versione della famiglia Locky). 
 
La nuova variante si chiama Payday, dalla maniera in cui modifica l'estensione dei file criptati. Ricordiamo che chi dovesse trovare i file criptati con estensione .padyday non è stato colpito dal ransomware PayDay, ma da una versione del ransomware BTCware. Infatti la versione scoperta ieri presenta lo stesso identico impianto di BTCware, con alcune piccole differenze.
 
Ecco alcune differenze:
 

1. Secondo Michel Gillespie, creatore di ID-Ransomware, questa variante usa un nuovo metodo di generazione della chiave quando cripta i file: un meccanismo che per ora pare invalicabile: così non c'è, per adesso, un modo di decriptare i file. 

 
2. E'cambiata la nota di riscatto: il ransomware ne lascia due diverse versioni, payday.hta e !! RETURN FILES !!.txt. La principale differenza nel testo delle note sono però le mail di contatto ovvero Checkzip@india.com payday@cryptmaster.info.
 
Fonte: Bleepingcomputer

In realtà nessuna delle due email pare attualmente funzionante: i ricercatori di bleepingcomputer.com fanno sapere che un utente, payday_lock, ha scritto sul thread di assistenza relativo a questo ransomware, una nuova mail di contatto: payday.cock.lu. 

 
Fonte: BleepingComputer

3. Il principale cambiamento è comunque l'estensione dei file criptati, .payday appunto. Quando questo ransomware cripta i file, ne modifica il nome secondo la sequenza
 
.[email]-id-id.payday.Sotto è possibile vedere un esempio di file criptati. 
 

 

 
retefe[3]

Retefe: il terzo trojan bancario a supportare l’exploit EternalBlue

 Retefe: il terzo trojan bancario a supportare l'exploit EternalBlueEternalBlue è un exploit kit del protocollo SMB v.1 balzato agli onori delle cronache in quanto mezzo di diffusione delle infezioni di massa dei Ransomware WannaCry e Petya

 
Data l'efficacia dimostrata, come era da aspettarsi, EternalBlue è  stato scelto come strumento di diffusione di altri malware, ad esempio alcuni trojan bancari: Emotet e Trickbot sono stati primi della lista. EternalBlue consente infatti a questi trojan la diffusione anche verso altri PC di una stessa rete interna, proprio secondo la tecnica di diffusione tipica dei worm (per approfondire, vedi qui). 
 
La lista dei trojan bancari che implementano EternaBlue si è allungata proprio in questi giorni, con l'individuazione del trojan bancario Retefe. 
 
Retefe e EternaBlue
Secondo i ricercatori di ProofPoint, che hanno individuato questo trojan, Retefe ha iniziato ad usare
EternalBlue come componente della propria routine di infezione a partire dal 5 Settembre. La finalità è sempre la stessa: consentire all'attaccante di allargare l'infezione da una prima macchina target fino a tutte le altre, nella stessa rete, che presentano i servizi SMB v.1 non aggiornati: nonostante infatti la patch per risolvere la vulnerabilità sfruttata da EternalBlue sia in diffusione ormai da mesi (e ben prima della diffusione di WannaCry), ancora sono moltissime le macchine che presentano questa vulnerabilità. Una analisi più approfondita ha mostrato come Retefe presenti una versione modificata del prof-of-concept di EternalBlue pubblicato su GitHub.
 
Retefe esiste ormai da tempo e del gruppo che lo gestisce si sa molto poco, a parte che preferisce attacchi su piccola scala alle massive campagne di spam a cui ci hanno abituati TrickBot o Dridex, altro storico banking trojan. Il gruppo preferisce colpire  clienti di banche in nazioni come Austria, Svezia, Svizzera e Giappone: sono attivi dal 2013 e sono tra i pochissimi ad avere a disposizione anche la corrispondente versione per i MAC, chiamata Dok
 
Qualche caratteristica...
Retefe è uno dei pochissimi trojan bancari ancora in circolazione che non usa l'hook del browser per iniettare false pagine di login nelle pagine dei siti legittimi. Al contrario è uno dei pochi trojan bancari ancora attivi che modifica le impostazioni del proxy sui computer attaccati, al fine di reindirizzare il traffico verso siti web ospitati sui server sotto controllo degli attaccanti e che simulano siti originali. La maggior parte di questi server sono archiviati nel Dark Web, cosa che rende quasi impossibile individuare i reali autori del trojan.
 
Retefe "ama" la Svizzera
Visto che Retefe attacca utenti mirati, cerca vittime potenzialmente molto remunerative e lo fa sopratutto mirando ai clienti delle banche svizzere. Il CERT svizzero segue quindi da molto tempo e con grande attenzione questo banking trojan: qui è consultabile (in inglese) il loro report su Retefe, sicuramente il più approfondito per ora in diffusione. 
 
Come difendersi da EternaBlue?
Come difendersi da Retefe, Emotet, TrickBot e così via passa dalla risoluzione della vulnerabilità nel protocollo SMB v.1 sfruttata da EternaBlue. Segnaliamo che esiste un tool utile a verificare la presenza della vulnerabilità. Il tool può essere usato per la scansione della propria rete locale, ma non solo: può essere usato per scansire ogni rete in Internet. Per ora è un tool usabile solo da tecnici, ma l'autore stesso lo sta semplificando sperando di poterne approntare una versione accessibile anche ai non professionisti. 
 
Potete trovarne qui una presentazione e il link per il download gratuito
4

Come proteggere le proprie informazioni impedendo alle app di accedere alle foto

 Come proteggere le proprie informazioni impedendo alle app di accedere alle foto

È cosa nota che gli smartphone contengano una quantità enorme di dati sensibili sui quali i cyber criminali vorrebbero poter mettere le mani. Il compito di impedire che le informazioni circa i gusti, le abitudini e le passioni dei legittimi proprietari finiscano nelle mani sbagliate è affidato al sistema operativo dei dispositivi, attraverso il quale è possibile limitare il raggio d’azione della applicazioni installate su di essi. 
 
Il problema riguarda tanto i dispositivi Android quanto quelli iOS. Tuttavia il rischio è assai maggiore sui secondi rispetto ai primi, in quanto pare che i limiti posti da iOS non rappresentino una garanzia sufficiente al fine di evitare violazioni che potenzialmente potrebbero mettere a repentaglio la nostra privacy. Gli elementi al centro del dibattito sono, nello specifico, i dati EXIF (che contengono informazioni dettagliate relative alle foto digitali) memorizzati all’interno delle fotografie scattate con i dispositivi mobili. Questi dati consentirebbero infatti a tutte le app alle quali abbiamo concesso la possibilità di accedere alle fotografie di rubare preziose informazioni personali ad esse connesse. 
 
Da dove proviene la minaccia?
Analizzando le foto scattate è possibile accedere ad un gran numero di informazioni ed in particolare a quelle relative alla localizzazione tramite GPS. Il problema risulta amplificato quando si fa riferimento ad iOS, poiché non c’è distinzione tra l’accesso per la lettura e l’accesso per la modifica. Pertanto tutte le app che godono dell’accesso alle immagini (anche semplicemente per recuperare l’immagine del profilo) possono leggere anche i metadati che ad esse fanno riferimento. 
 
Quali sono i dati a rischio...
I cyber criminali potrebbero potenzialmente accedere a tutta una serie di informazioni personali come ad esempio le città ed i paesi recentemente visitati, il luogo di lavoro (attraverso la semplice analisi delle foto scattate in orario lavorativo), l’elenco dei dispositivi solitamente utilizzati per scattare le foto (smartphone, tablet, fotocamera ecc.), le persone con le quali si intrattengono rapporti con maggiore frequenza (tramite il riconoscimento facciale) e tante altre informazioni legate alla vita privata (quali il percorso di studi, il tipo di occupazione, la vita familiare ed il tempo libero) che nessuno vorrebbe rendere visibili ad occhi indiscreti.
 
E come difendersi
Allo stato attuale non sembrano esserci strumenti efficaci al fine di limitare l’accesso a queste informazioni, Il consiglio per gli utenti è quindi quello di limitare il numero di app che possono accedere alle foto, concedendo questo privilegio esclusivamente alle app strettamente necessarie ed a quelle considerate particolarmente affidabili. Dopo aver concesso o meno ad un'app la possibilità di accedere alle proprie foto (attraverso la richiesta di autorizzazione immediatamente successiva all'installazione) è possibile modificare ulteriormente questi privilegi. E' infatti sufficiente, accedendo al menu dedicato alle impostazioni, modificare i privilegi di ogni singola app per stabilire quali possano accedere e quali no ai contenuti fotografici e (di conseguenza) ai dati EXIF relativi ad essi.
 

 

 
AAAAAAAAAAAAAAAAAAAAA[1]

RedBoot cripta i file e modifica anche la Partition Table. Ransomware o wiper?

RedBoot cripta i file e modifica anche la Partition Table. Ransomware o wiper?Un nuovo ransomware bootlocker è stato recentemente scoperto. Il suo nome è Red Boot e quando viene eseguito cripta i file presenti sul computer, sostituisce il Master Boot Record (MBR) dell’unità di sistema e quindi modifica la Partition Table: entrambi sono necessari per l'avvio del sistema, quindi chi è vittima di questo ransomware non potrà avviare più il sistema stesso.

Poiché il ransomware non fornisce una chiave per ripristinare la Partition Table o l'MBR, a meno che lo sviluppatore non disponga di un decriptatore "bootable",  questo malware finirebbe per essere non un ransomware, ma un wiper, ovvero un malware che impedisce in maniera irrecuperabile l'avvio del sistema. In questo quindi la richiesta di riscatto perderebbe di senso.
Come cripta i file
Quando viene eseguito, il ransomware RedBoot estrae 5 file in una cartella casuale nella directory in cui è avvenuto il lancio. Questi file sono boot.asmassembler.exe, main.exeoverwrite.exeprotect.exe. 

Una volta estratti i file, il launcher principale eseguirà il seguente comando per compilare il file boot.asm nel file boot.bin.

[Downloaded_Folder]70281251assembler.exe" -f bin "[Downloaded_Folder]70281251boot.asm" -o "[Downloaded_Folder]70281251boot.bin"

Una volta compilato il boot.bin, il launcher eliminerà i file boot.asm e assembly.exe dal computer. Utilizzerà quindi il programma overwrite.exe per sovrascrivere il record corrente di avvio del computer con il boot.bin compilato utilizzando questo comando.

"[Downloaded_Folder]70945836overwrite.exe" "[Downloaded_Folder]70945836boot.bin"

Il launcher avvierà poi il programma main.exe, che scansionerà il computer alla ricerca dei file da criptare. Il programma main.exe lancerà anche il programma protect.exe per bloccare i programmi che possono essere usati per analizzare o arrestare l'infezione.
Mentre main.exe sta criptando i file, esso cripterà i file eseguibili, i file dlls ed i normali file di dati, aggiungendo l'estensione .locked al nome file di ogni file criptato.

 

La richiesta di riscatto
Durante la criptazione dei file, il computer si riavvia e, invece di avviare Windows, visualizza una nota di riscatto generata dal nuovo record di avvio principale. Questa schermata di riscatto farà sapere alla vittima di dover inviare il proprio codice ID allo sviluppatore, tramite la mail di conttato  redboot@memeware.net, al fine di ottenere le istruzioni relative al pagamento.


È un ransomware o un wiper?
Mentre questo ransomware esegue la criptazione dei file in modalità utente standard, la modifica della Partition Table ed il fatto che non sia possibile immettere una chiave per il ripristino stanno ad indicare che potrebbe trattarsi di un wiper mascherato da ransomware. E inoltre, visto che lo sviluppatore ha usato un linguaggio di script come AutoIT per sviluppare questo ransomware, potrebbe anche solo trattarsi di un ransomware poco codificato. Le ipotesi dei ricercatori, al momento, sembrano convergere su questa seconda pista.

logHD1

YOTTA WEB - Via Don F. Cabrio 14/D - 13900 Biella (BI)

P.IVA 02552590024 - C.F. SNTSVR77S27A859C - REA BI 194613

Copyright 2017 © YOTTA WEB All Rights Reserved

Privacy Policy