11[1]

Individuato un nuovo trojan bancario: IcedID

 
Individuato un nuovo trojan bancario: IcedID
- MARTEDÌ 14 NOVEMBRE 2017
E' stato individuato un nuovo trojan bancario, chiamato IcedID e che è, attualmente, alla prima fase di distribuzione. Nonostante sia un nuovo trojan, possiede funzioni avanzate rispetto ad altri trojan bancari  più vecchi e più complessi. Usa due tipi di attacco: redirection e web injections.
 
IcedID è finalizzato, ovviamente, al furto dei dati finanziari della vittima tramite due diversi attacchi:
  • redirection attack: installa un proxy locale per reindirizzare gli utenti verso siti web falsi, cloni di siti ufficiali.
  • web injection attack: inietta codice nei processi del browser per mostrare contenuti falsi e truffaldini sulla pagina originale. 
Nel passato solo Dridex (ne abbiamo già parlato qui) - uno dei trojan bancari più avanzati- aveva fatto ricorso ad entrambi i tipi di attacco: generalmente infatti i gruppi di cyber-criminali dietro questi trojan scelgono uno solo dei due attacchi e procedono al loro perfezionamento. 


Uno dei falsi portali di login visualizzati da IcedID

Analisi più approfondite hanno svelato che IcedId usa la botnet costruita con il trojan Emotet per la distribuzione su computer già infetti: il sospetto è che la botnet di Emotet abbia cambiato obiettivi, passando dall'obiettivo di rubare informazioni finanziarie degli utenti ad essere una piattaforma di distribuzione di malware. IcedID pare essere l'ultimo acquisto della botnet. 
 
Qualche info tecnica su IcedId:
  • reindirizza il traffico web incanalandolo verso proxy locale che funziona sulla porta 49157.
  • ha una funzione specifica per la criptazione delle comunicazioni col proprio server C&C
  • ha un sistema di boot basato su chiavi di registro per rendersi persistente sul sistema. 
  • mira alle informazioni legate al conto corrente online, al numero della carta di credito, ai portali di pagamento online, ai siti di e-commerce. 

La funzione di propagazione nella rete di IcedID

L'unica debolezza di questo trojan è l'assenza di un avanzato sistema per l'individuazione delleVirtual Machine e delle sandbox: presenta meccanismi anti VM e anti-sandobx piuttosto rudimentali. L'unica eccezione riguarda, in parte, la funzione anti sandbox: IcedID esegue il riavvio del Pc per completare la distribuzione del trojan, forse per eludere quelle sandobox che non emulano il riavvio del sistema. 
 
Le vittime, per ora...
Sicuramente IcedId è in fase di test: difficile dire già da ora se è destinato a restare o a scomparire. Attualmente sta colpendo sopratutto negli Stati Uniti, in Canada e nel Regno Unito. 
 
1a[1]

App False nel Google Play: un trend in crescita. L'analisi dei Lab Quick Heal di due false app

 
App False nel Google Play: un trend in crescita. L'analisi dei Lab Quick Heal di altre due false app 

Recentemente abbiamo parlato delle false app di WhatsApp su Google Play(vedi qui).
Poco dopo abbiamo iniziato ad osservare che ci sono sempre più false app nel Google Play.  Stranamente, queste false app hanno buone valutazioni e un alto numero di download. Questo fenomeno  indica chiaramente  la crescente tendenza delle false app nel mondo Android. Queste false app somigliano alle loro controparti originali ma hanno ovviamente finalità truffaldine e/o illegali: potrebbero infatti rubare i dati dell'utente, mostrare pubblicità non richieste, spingere in basso le valutazioni e i download della app più popolari. Sostanzialmente queste si appoggiano sulla popolarità delle app autentiche per ingannare gli utenti. 

Questo post esamina due false app osservate dai laboratori di sicurezza Quick Heal.
 
Pandora Plus:
Nome del pacchetto: net.pandoplus.android
MD5: 7da97bf129b0f241cf59aaa29ce762fb
Dimensione: 3.3 MB
 
Pandora è una famosa app per ascoltare canzoni online ed è disponibile per i dispositivi Android ed iPhone.  Qui sotto  uno screenshot di una falsa app Pandora che recentemente è comparsa su Google Play. 
 
 
La falsa app Pandora è denominata ''Pandora Plus''. Dopo l'installazione richiede all'utente di registrarsi e di fornisce una serie di opzioni personalizzabili secondo il genere musicale che l'utente vorrebbe ascoltare. Se l'utente preme sul tasto ''Next'' sarà reindirizzato su una pagina web dove l'utente deve votare con 5 stelle per ottenere un codice pin, che è richiesto per iniziare ad ascoltare la musica. 
 
 
Ma, anche se l'utente indica 5 stelle come valutazione, l'intero processo viene ripetuto in un ciclo senza fine e l'utente non riceve mai il codice pin. Quindi lo scopo  dello sviluppatore di questa app  è di ottenere un' alta valutazione  e un alto numero di download. La valutazione della falsa app Pandora è di 4.8, un punteggio più alto di quello raggiunto dalla app legittima. 
 
 
La falsa app Pandora Plus è stata riportata dai laboratori di sicurezza di  Quick Heal  a Google Play per esser rimossa: Google ha provveduto alla rimozione. 
 
Rilevamento  da parte di Quick Heal
-Android.Fakeapp.AE
 
Avast Internet Security 
Nome del pacchetto: com.app.avast.anti.spiapp.geektop
MD5: 3b05b4910bdd8a3cd6f42c460bc6341c
Dimensione: 4.3 MB
 
La seconda fake-app che abbiamo individuato emula l'app legittima di antivirus per mobile "Avast Internet Security".
 
 
Questa app falsa è stata presentata   come ''l'ultima versione di Avast Security per un numero limitato di utenti" su Google Play. Tale dicitura è finalizzata ovviamente ad ingannare gli utenti, per indurli a scaricare la app prima possibile. Anche questa app è stata rimossa dal Google Play. 

Rilevamento da parte di Quick Heal 
-Android.Agent.A2322
 
Misure di sicurezza:
  • Non valutare mai un'app prima di usarla. Ricorda, una app autentica potrebbe richiederti una valutazione ma non ti obbligherà mai a farlo. Fai attenzione alle app che chiedono insistentemente la tua valutazione, anche prima che tu possa accedere all'app. App che mostrano tali comportamenti sono quasi sicuramente false e dannose. 
  • Prima di scaricare qualsiasi app, verifica le sue recensioni degli altri utenti. Potrebbe infatti aver acquisito valutazioni false come abbiamo visto nel caso della falsa app Pandora.
  • Installa sul tuo smartphone una soluzione di sicurezza affidabile che possa bloccare l'installazione di app false e dannose.
XZZX[1]

In diffusione nuova variante della famiglia CryptoMix: cambia l'estensione in .XZZX

 

In diffusione nuova variante della famiglia CryptoMix: cambia l'estensione in .XZZX

 
 
In questi giorni,  è stata scoperta la diffusione di una ulteriore variante della famiglia di  ransomware CryptoMix:  questa nuova variante va ad aggiungere l'estensione .XZZX ai nomi del file criptati. La famiglia CryptoMix  si dimostra ancora una volta tra le più attive con l'ennesima variante distribuita nell'arco di poche settimane. Le principali differenze di questa nuova versione del ransomware rispetto alle precedenti riguardano nuovamente le email di contatto per ricevere le istruzioni di pagamento e l'estensione di criptazione aggiunta. Il  metodo di criptazione è rimasto  invece sostanzialmente invariato.
 
1. La nota di riscatto
La nota di riscatto ha nuovamente il nome  _HELP_INSTRUCTION.TXT  ma adesso,  per contattare le vittime per le istruzioni di pagamento, utilizza le seguenti email :

  •  xzzx@tuta.io;
  •  xzzx1@protonmail.com;
  •  xzzx10@yandex.com;
  •  xzzx101@yandex.com




2 l'estensione di criptazione.
La seconda principale differenza di questa nuova variante è  l'estensione aggiunta ai file criptati.  Con questa versione quando un file è criptatato da un ransomware, modificherà il nome del file e aggiungerà l'estensione  .XZZX al nome del file criptato. Ad esempio, un file test criptato da questa variante può cambiare nome in  0D0A516824060636C21EC8BC280FEA12.XZZX.

 
3. Le chiavi pubbliche di criptazione
Questa variante contiene inoltre 11 chiavi di criptazione pubbliche RSA-2014, che saranno usate per criptare la chiave AES usata a sua volta per criptare i file della vittima. Ciò consente al ransomware di poter lavorare completamente offline senza necessità di comunicazione di rete. Queste 11 chiavi pubbliche sono le stesse della precedente versione.

Come difendersi?
Per proteggersi efficacemente da Locky (e da qualsiasi ransomware) è importante avere sempre a disposizione un backup affidabile e testato dei proprio dati da poter ripristinare in caso di emergenza, per esempio di fronte ad un attacco ransomware. 
 
Ultimo, ma non certo per importanza, è necessario assicurarsi di seguire delle corrette abitudini per quanto riguarda la sicurezza online che, il più delle volte, costituiscono il passaggio più importante.
  • Non aprire gli allegati se non si conosce chi li ha inviati.
  • Non aprire gli allegati finché non si hanno conferme sull’identità della persona che li ha effettivamente inviati.
  • Scansionare gli allegati con strumenti come VirusTotal.
  • Assicurarsi di installare tutti gli aggiornamenti di Windows non appena vengono resi disponibili. Assicurarsi inoltre di aggiornare tutti i programmi, in particolare Java, Flash ed Adobe Reader. I programmi non aggiornati presentano maggiori vulnerabilità di sicurezza, che vengono comunemente sfruttate dai distributori di malware. Per queste ragione è importante tenersi sempre aggiornati.
  • Assicurarsi di aver installato un adeguato software di sicurezza, possibilmente con un modulo anti ransomware e con una protezione multilivello. 
  • Utilizzare password complesse e soprattutto non utilizzare mai la stessa su più siti diversi.
Indicatori di compromissione
1. Mail di contatto
  •  xzzx@tuta.io;
  •  xzzx1@protonmail.com;
  •  xzzx10@yandex.com;
  •  xzzx101@yandex.com
2. Nota di riscatto
  • _HELP_INSTRUCTION.TXT
3. File eseguibile
  • C:ProgramData[random].exe
 
xtbl[1]

RANSOMWARE NEWS: risolvibili le criptazioni in .xtbl e .crysis

 

RANSOMWARE NEWS: risolvibili le criptazioni in .xtbl e .crysis

 
Finalmente, ogni tanto, una buona notizia. Siamo in grado di risolvere due diverse tipologie di ransomware, ai quali, per ora, non c'era soluzione: la versione .crysis del ransomware Crysis e la versione XTBL del ransomware Troldesh.

Chiunque sia rimasto vittima di questi ransomware può scrivere all'email alessandro@nwkcloud.com inviandoci due file criptati assieme alla richiesta di riscatto. Ulteriori informazioni qui
Alcune informazioni base per riconoscerli:

1. RANSOMWARE TROLDESH .XTBL
A. Email di contatto collegate:
  • Gerkaman_@_aol.com
  • drugvokrug727_@_india.com
  • Ramachandra7_@_india.com
  • Redshitline_@_india.com
  • Gerkaman_@_aol.com
  • Makdonalds_@_india.com
  • Dakinibless_@_india.com
  • Ecovector_@_aol.com
  • Vegclass_@_aol.com
  • JohnyCryptor_@_aol.com
  • cryptopay_@_aol.com
  • Bitcoinrush_@_aol.com
  • freetibet_@_india.com
  • obamausa7_@_aol.com
  • Seven_Legion2_@_aol.com
  • mailrepa.lotos@aol.com
  • goldman0@india.com
B. La nota di riscatto:


C. I file criptati:
 
2. RANSOMWARE CRYSIS
A. Mail di contatto

  • Mailrepa.lotos@aol.com
  • dalailama2015@protonmail.ch

B. Richiesta di riscatto
 


C. File criptati

 
phish[1]

Il gruppo cyber-criminale Silence attacca le banche con attacchi di spear-phishing

 

Case study: il gruppo cyber-criminale Silence attacca le banche con attacchi di spear-phishing

 
 
Sono un gruppo di professionisti: sicuramente lo sono, data la conoscenza del settore e le capacità dimostrate. Sono in grado di organizzare attacchi così efficaci contro banche e istituti di credito al punto da aver racimolato circa 1 miliardo di dollari e indubbiamente un posto sul podio della criminalità informatica. I ricercatori hanno chiamato questo gruppo di cyber-criminali Silence: usano lo spear-phishing per diffondere malware molto pericolosi. 
 
Un passo indietro: il gruppo Carbanak
Il gruppo Silence agisce in modo molto simile a quello del gruppo Carbanak, altro gruppo cyber criminale. Carbanak prese di mira una lunga serie di ristoranti negli States e moltissime banche
(anche italiane) con un malware molto particolare perché fileless (non copiava cioè nessun file sul disco rigido) assieme ad una tecnica di attacco che sfruttava PowerShell per eludere i controlli dei software di sicurezza. Il vettore di attacco era, in questo caso, un documento Word diffuso tramite email di phishing confezionate in maniera molto molto credibile. All'interno recava un oggetto OLE che avviava l'esecuzione di codice in Javascript. L'unico avviso che la vittima riceveva era la richiesta di disattivare la visualizzazione protetta di Office: il documento però arrivava assieme ad una credibilissima proposta di lavoro, quindi è assai probabile che la maggior parte dei riceventi l'abbiano aperta.
Una delle email usate da Carbanak
Disabilitata la visualizzazione protetta, iniziava l'attacco vero e proprio con la scrittura (ritardata dalla pianificazione un Windows Task) di altro codice JavaScript nascosto entro un file TXT. Il resto dell'attacco veniva quindi condotto esclusivamente da remoto utilizzano la query DNS per generare script PowerShell offuscati. Il tutto finalizzato, ovviamente, a rubare quante più informazioni possibili. 
 
Il gruppo Silence:
anche il gruppo Silence usa email di spear phishing come primo vettore di attacco. L'obiettivo è, di solito, un semplice impiegato al quale viene recapitata dai cyber-criminali una mail mirata molto ingannevole e con un (apparente) mittente degno di fiducia: il gruppo Silence infatti invia le proprie email dagli account legittimi di altri impiegati del settore finanziario già infettati in precedenza. 
Lo scopo è, ovviamente, penetrare nella macchina dell'impiegato bersaglio per poi accedere all'intera rete locale aziendale.

Usano per attaccare, un file in formato CHM (Microsoft Compressed HTML Help), un formato proprietario di Microsoft usato per l'aiuto online per Windows. Il perchè è che questo formato consente di integrare file HTM ai quali viene aggiunto un JavaScript che scarica ed esegue il malware. 
 
Il JavaScript oscurato che serve ad aprire la backdoor. 
Una volta entro la rete lo scopo è sottrarre tutte le informazioni utili a estorcere, dirottare, sottrarre denaro. Usano inoltre (ma anche il gruppo Carbanak ne faceva uso) CreateCompatibleBitmap e GdipCreateBitmapFromHBITMAP per rubare a cadenza regolare schermate dei PC infetti.
 
Cosa è quindi lo Spear Phishing?
Arriviamo al dunque: l'elenco di questi due diversi episodi serve a far comprendere che il rischio di essere truffati da email ingannevoli può esporre a gravissime conseguenze. In questi due casi però non il pericolo non originava da attacchi di phishing, ma di spear phishing. Lo Spear Phishing è una variante dei messaggi di phishing: un cyber-criminale invia una e-mail mirata ad un individuo camuffandola come se fosse proveniente da una fonte attendibile. La finalità di questi messaggi è, come qualsiasi altra frode informatica, quella di accedere al sistema dell'utente o estorcere informazioni sensibili. C'è una piccola differenza tra il Phishing e lo Spear Phishing: una mail di phishing generalmente appare come proveniente da grandi organizzazioni come banche, provider, siti di social network, compagnie di assicurazione ecc..
 

Nel caso dello Spear Phishing, l'utente riceve una mail meticolosamente personalizzata da una fonte affidabile o ancora da una compagnia con la quale ha familiarità: spesso è addirittura prevista una certa interazione con la vittima. Queste email sono così attentamente pensate che sono perfettamente confondibili con email inviate da amici, colleghi o del tuo capo che richiede l'accesso a informazioni sensibili. I cyber-criminali che usano questa tecnica vivono grazie al fatto che hanno una certa conoscenza sulla vittima, cosa che permette loro di capire che tipo di messaggio può farti abbassare la guardia. Così ad esempio, possono includere nel messaggio la mail personale, dettagli sulla posizione professionale o altri tipi di informazione sottratti da altre fonti, quasi sempre dalle attività sui social network. 
 
phish[1]

La crescita del malware super-invisibili grazie alla firma digitale

 

La crescita del malware super-invisibili grazie alla firma digitale

 
Indovinate che cosa è più costoso, nel dark web, di passaporti statunitensi contraffatti, carte di credito rubate e perfino armi? I certificati di firma digitale. Uno studio recente condotto dal Cyber Security Reasearch Institute (CSRI), pubblicato la scorsa settimana, ha rivelato che i certificati di firma digitale rubati sono facilmente disponibili all'acquisto, nel dark web, con un prezzo fino a 1.200 dollari. 
 
Come saprete, i certificati digitali rilasciati da autorità di certificazione (CA) riconosciute, sono utilizzati per firmare crittograficamente applicazioni e software: in presenza di tale firma i computer considerano immediatamente attendibili questi programmi e li mettono in esecuzione senza ulteriori messaggi di avviso. Tuttavia, gli autori di malware sono costantemente alla ricerca di
nuove tecniche per per bypassare le soluzioni di sicurezza e, negli ultimi anni, sono ricorsi anche all'uso di certificati digitali attendibili.
 
Bypassare i software di sicurezza
I cyber-criminali utilizzano certificati di firma digitale compromessi per "autenticare" il proprio codice dannoso: riducono così drasticamente la possibilità che il proprio malware venga individuato su reti aziendali e su personal computer. L'infame Stuxnet che colpì le strutture nucleari iraniane nel 2003 usò certificati digitali legittimi. Anche la recente versione compromessa di CCleaner ha colpito moltissimi utenti grazie alla messa in distribuzione di un update compromesso, ma digitalmente firmato con un certificato legittimo.

Il certificato digitale valido dell'update compromesso di CClneare

L'incremento di malware digitally-signed
Tuttavia, più ricerche sullo stesso argomento, certificano ormai che il fenomeno non è più ad appannaggio di un ridotto numero di cyber-criminali, ma un fenomeno in crescita che vede, ovviamente, collegarsi il relativomercato nero di certificati digitali legittimi. 
 
Ad esempio 3 ricercatori della University of Maryland- College Park hanno confermato di aver individuato ben 325 diversi tipi di malware "firmati", 189 (58,2%) dei quali recanti firme digitali valide, mentre 136 recavano firme digitali manomesse. 
 
"Tali firme manomesse sono utili per il nostro avversario: scopriamo che la semplice copia di una firma Authenticode da un campione legittimo verso un malware non firmato può aiutare il malware stesso a bypassare l'individuazione da parte degli antivirus"- hanno affermato. 
 
Questi 189 malware che recano firme digitali valide sono stati generati usando 111 certificati univoci compromessi emessi da CA riconosciute e usati per firmare software legittimi. 
 
Al sito http://signedmalware.org/ è possibile vedere la lista di alcuni certificati abusivi. 
 
L'esperimento: 
I ricercatori hanno condotto un esperimento per determinare se firme compromesse possano limitare le individuazioni da parte degli antivirus: per dimostrare questo hanno scaricato 5 diversi ransomware non firmatiche la maggior parte degli antivirus individua come dannosi. Vi hanno quindi "aggiunto" due certificati non più validi (usati per firmare software legittimi e poi usati "in the wild" per firmare malware): ben 34 antivirus tra i più diffusi hanno fallito nell'individuare la validità del certificato, in alcuni casi concedendo l'esecuzione di codice dannoso nel sistema bersaglio. In sunto la revoca di un certificato rubato non ferma immediatamente il malware. 
 
La ricerca ha permesso quindi di sollevare il problema presso i più grandi vendor, la maggior parte dei quali ha già annunciato studi per risolvere il rpoblema.
 
L'intera ricerca è disponibile qui (in inglese).  
whatsapp[1]

Falsi WhatsApp su Google Play fanno più di 1 milione di download.

 

Falsi WhatsApp su Google Play fanno più di 1 milione di download.

 

Google Play sta facendo enormi sforzi per migliorare tutti i meccanismi di sicurezza e vigilanza per la verifica della genuinità delle app che ospita. Il problema è che Google Play è l'app store online più visitato e usato al mondo e questo spiega come mai sia costantentemente nei pensieri dei cyber-criminali, che studiano ogni maniera per aggirare i controlli e mettere in download app dannose/compromesse/manomesse. 
 
La maggior parte delle volte si tratta di app assolutamente secondarie, che sfruttano la loro posizione "di minor interesse" sperando di passare inosservate (e ci riescono solo per un breve periodo di tempo): in questo caso però il colpaccio è di quelli che fa notizia. 
 
I falsi Whatsapp
Il 3 Novembre, su Reddit, viene denunciata la presenza, nel Google Play, di una app clone di
WhatsApp. Una app clone, a primo sguardo praticamente identica all'originale, denominata Update WhatsApp Messenger. Quick Heal ne individua una seconda il giorno dopo: in questo caso stesso nome dell'originale, WhatsApp Messenger, ma un piccolo indizio la differenzia dall'originale, cioè l'essere nella categoria "Social" anziché in quella "Communication" (come è invece categorizzata l'app ufficiale).  Entrambe le false app mostravano WhatsApp Inc come sviluppatore.


Le due app fake

L'app originale
 
Come è stato possibile? E' un trucchetto semplice: un abuso di Unicode faceva visualizzare WhtasApp Inc come sviluppatore delle false app. 
 
1. Update WhatsApp Messenger
Questa app è stata individuata dai  Quick Heal Security Labs e segnalata a Google. Il nome del pacchetto è com.kkhkhk.gbkhdamch.
 
Una volta installata, l'app chiede all'utente di registrare il proprio numero di telefono e la nazionalità per ricevere il codice di attivazione. Ovviamente l'utente non riceve nessun codice di attivazione: al contrario, durante il "processo di attivazione" la vittima viene bombardata di annunci e advertisement. Scopo della app pare quindi essere quello di garantire introiti agli sviluppatori tramite la visualizzazione di annunci. L'individuazione era stata complicata tramite l'utilizzo di una icona vuota che la aiutasse a passare inosservata nell'elenco delle app.

Le schermate di registrazione e gli annunci

L'app senza icona nell'elenco delle app. Fonte: securityinfo.it

 Attualmente è stata rimossa da Google Play. 
 
2. WhatsApp Messenger
Il nome del pacchetto di questa seconda fake app è com.sosso.aoso. Una volta installata chiede all'utente di registrarsi con un codice di attivazione valido per 12 o per 24 mesi. Indipendentemente da quale opzione sceglie, l'utente visualizzerà un messaggio annunciate la validità del codice di attivazione: 24 ore. Non succede comunque nulla.


Alcuni consigli per stare al sicuro da app dannose
 
  • Se vuoi aggiornare una app, vai sempre su "Le mie app e i miei giochi" e premi "Aggiorna". In questo modo sarai sicuro di ricevere gli update legittimi.
  • Se stai cercando una app sul Google Play, ma i risultati sono molteplici e simili app, visita il sito web ufficiale dell'app e compara le informazioni per individuare quella legittima.
  • Proteggi il tuo dispositivi con un buon antivirus che possa impedire preventivamente l'installazione di app dannose. 
  • Scorri, prima di installare una app, le recensioni lasciate dagli altri utenti. 
logHD1

YOTTA WEB - Via Don F. Cabrio 14/D - 13900 Biella (BI)

P.IVA 02552590024 - C.F. SNTSVR77S27A859C - REA BI 194613

Copyright 2017 © YOTTA WEB All Rights Reserved

Privacy Policy