1[1]

Firefox aumenta i livelli di sicurezza contro i siti in HTTP.

 Firefox aumenta i livelli di sicurezza contro i siti in HTTP

- MERCOLEDÌ 20 DICEMBRE 2017

Vi abbiamo consigliato, più e più volte, di non immettere dati sensibili in siti web il cui indirizzo inizia con "HTTP" invece che con "HTTPS". Ora alcuni browser, Firefox in primis, stanno aumentando le difese contro i siti in Http. Ma cosa sono i protocolli HTTP e HTTPS? 

 
Il protocollo HTTP 
HTTPS è l'acronimo di HyperText Transfer Protocol: detto in parole semplici è un protocollo usato come sistema per le trasmissioni delle informazioni sul web. Lavora con una architettura di tipo client/server: il client (il vostro browser) esegue una richiesta, il server (la macchina dove "risiede" il sito web) restituisce una risposta. 
 
Il protocollo HTPPS
E' una evoluzione del protocollo HTTP. HTTPS è l'acronimo di HTTP Secure: nasce nel 1994 e si diffonde piano piano in tutto il mondo come protocollo più sicuro e affidabile per lo scambio di informazioni tra due nodi del web. In parole semplici è l'applicazione del protocollo HTTP in congiunzione coi protocolli SSL/TSL, che altro non sono che due protocolli crittografici che permettono uno scambio sicuro di informazioni dalla sorgente al destinatario poiché trasmette i dati in forma criptata. 
 
Che differenza c'è tra i due?
Facciamo un esempio: supponiamo che un pirata informatico stia intercettando le nostre comunicazioni (il tipico esempio è l'attacco "Man in the Middle" dove un terzo - il pirata appunto- intercetta le comunicazioni tra il nostro browser e il server che ospita il sito). 
 
Se il sito usa il protocollo HTTP il pirata legge, in chiaro, tutti i dati comunicati, compresi i dati sensibili come password, credenziali ecc...Inoltre questo protocollo non può garantire l'autenticità del sito. 
 
Se il sito invece usa il protocollo HTTPS quello che il pirata "legge" altro non è che una trasmissione di dati incomprensibili perchè criptati. Dovrebbe, per poter ricavarne i dati sensibili che gli interessano, procedere alla decriptazione della comunicazione in corso. Non solo: il protocollo HTTPS garantisce l'identificazione del sito web che si sta visitando e del server web che lo ospita, garantendo così l'autenticità del sito stesso (meccanismo che ha messo a dura prova quei cyber-criminali che "truccano" i propri siti fake cercando di farli essere più simili possibile ai siti autentici, per trarre in inganno le vittime). 
 
La scelta di Firefox

Il protocollo HTTPS si sta diffondendo sempre di più, proprio perché più sicuro. Fino ad oggi però la scelta è lasciata alla sensibilità degli operatori, dato che non esiste nessun obbligo legale (almeno per adesso) di applicare il protocollo HTTPS. Firefox però ha deciso di dare "una piccola spinta" alla faccenda: contrassegnerà di default le pagine HTTP come "Non sicure". 

 

Firefox Nightly 59 include adesso una preferenza (per ora non abilitata di default) denominata "security.insecure_connection_icon.enabled" la quale, quando attivata, mostrerà l'icona del blocco barrata su tutte le pagine in HTTP. La funzione può essere attivata navigando nella sezione impostazioni about:config: il doppio click la renderà attiva. La decisione di Mozilla è di estendere questa funzione a tutte le versioni del browser.

Attualmente infatti sia Chrome che Mozilla usano gli avvisi sui siti HTTP solo quanto un utente cerca di fare login sulla pagina o paga tramite carta di credito/debito. 

 

 

ed-1[1]

Tre malware hanno bersagliato i server MSSQL e MySQL per tutto l’anno.

 Tre malware hanno bersagliato i server MSSQL e MySQL per tutto l'anno.

 
Un attaccante cinese ( ma più probabilmente un gruppo) ha bersagliato i database MSSQL e MySQL su sistemi Windows e Linux per tutto l'anno, distribuendo tre diversi malware, uno per server, secondo diverse finalità. 
 
Il gruppo (o il singolo attaccante, non è un dato noto) ha iniziato la propria attività all'inizio dell'anno e detiene una infrastruttura "tentacolare" apposita per scansionare host vulnerabili, lanciare attacchi e gestire i malware. Questa vasta infrastruttura e l'uso di malware diversi hanno aiutato il gruppo a rimanere nascosto per tutto questo tempo: i vari incidenti causati dai loro attacchi infatti sono rimasti non collegati tra loro per la maggior parte dell'anno. 
 
I tre (nuovi) malware
 

Il report pubblicato ieri dai ricercatori di GuardiCore mette insieme tutta una serie di attacchi ritenuti appunto, come detto prima, scollegati tra loro, ma in realtà conseguenze di 3 precise campagne di distribuzione di 3 diversi malware mai visti fino ad ora.

 
La prima ondata di attacchi ha attaccato server Windows che eseguono database MSSQL, sui quali gli attaccanti "distribuivano" un malware chiamato Hex che funziona come un RAT (Remote Acess Trojan) e come un miner di criptovaluta.  
 
La seconda ondata ha colpito server Windows che eseguono database MSSQL, ma in questo caso distribuivano un malware chiamato Taylor, che funziona come un keylogger e backdoor. 
 
La terza ondata invece attacca databsae MySql e MSSQL sia su server Linux che su server Windows. In questo caso gli attaccanti installano un nuovo malware chiamato Hanako, un trojan usato per lanciare attacchi DDoS. 
 
 
 
Gli attaccanti sono stati ben attenti a restare nascosti
Gli attaccanti "hanno fatto irruzione" in server vulnerabili, configurando ogni server infettato precedentemente per eseguire la scansione di un certo numero di indirizzi IP e trovare altri database con credenziali di accesso deboli. Hanno però prestato molta attenzione a limitare le azioni di scansione a un numero ridotto di IP: ogni host infetto scansisce così un piccolo numero di altri server e ciò garantisce che l'infrastruttura centrale di comando e controllo non sia troppo esposta. 
 
Inoltre il gruppo passa da un malware all'altro, intrecciando le 3 campagne e generando circa 300 codici binari specifici per attacco. Infine la copertura è garantita dalla rotazione di domini e server C&C: una tecnica che non si vede regolarmente, eccezion fatta per attacchi a livello di Stato.   
 
GuardiCore ha fatto sapere anche che gli attccanti hanno scansionato gli intervalli IP pubblici di Azure e AWS, pubblicamente noti. Hanno cercato cioè server aziendali in cloud con credenziali deboli contenenti informazioni sensibili. 
 
Le vittimeIl fatto che gli attaccanti siano stati attenti a non essere scoperti, non ha impedito loro di infettare centinaia di migliaia di server. Si sono contati 80.000 server colpiti dal solo Taylor nel Marzo di quest'anno.
 
 
Gli attaccanti
Ampie prove suggeriscono che gli attaccanti avrebbero sede in Cina. "Abbiamo trovato ricorrentemente commenti in cinese nel codice, la maggior parte delle vittime si trova in Cina, il Trojan Rat cerca di spacciarsi per un celebre programma cinese e i file di configurazione elencano gli indirizzi email dei provider cinesi più noti" affermano da 
GuardiCore. 
 
Come individuare eventuali infezioni?
Per il momento chi possiede server MSSQL e MySQL deve assicurarsi di usare password molto solide per gli account sui datavase, usare firewall in grado di impedire attacchi di brute-force e verificare nei sistemi la presenza dei seguenti account amministratore nei database (sono account creati dagli attaccanti sui sistemi compromessi per creare una backdoor).
 
hanako
kisadminnew1
401hk$
guest

Huazhongdiguo110

Fonte originaria: https://www.guardicore.com/2017/12/beware-the-hex-men/

GDPR[1]

GDPR: regolamento europeo per la Privacy.

 GDPR: regolamento europeo per la Privacy.

 

 

Il 25  Maggio 2018 è il termine ultimo per l'adeguamento al Codice Europeo per la Privacy.Questo regolamento sulla privacy comporta diverse e importanti novità in ambito di sicurezza dei dati, distaccandosi non poco dalla regolamentazione attuale. Sarà necessario quindi dotarsi di strumenti e protocolli in grado di poter intervenire dinamicamente sul trattamento dei dati in tempo reale. 
 
Ci occupiamo da oltre 20 anni di privacy, abbiamo studiato il GDPR e vogliamo mettere a vostra disposizione non solo la nostra conoscenza (in forma di consulenza e formazione), ma anche strumenti software adatti a tutti gli adempimenti legali che diverranno obbligatori nei prossimi mesi.

Stiamo preparando una piattaforma apposita, nuovi servizi, consulenze, formazione e molto altro, sui quali vi informeremo costantemente nelle prossime settimane. Intanto mettiamo a disposizione una piccola brochure esplicativa, dove troverete i punti salienti del regolamento e alcune indicazioni di massima. 
 
Click sull'immagine per vedere la brochure
satori[1]

La Botnet Satori-Mirai si risveglia improvvisamente con oltre 280.00 bot attivi.

La Botnet Satori-Mirai si risveglia improvvisamente con oltre 280.00 bot attivi.

 
 
I ricercatori di sicurezza di Qihoo 360 Netlab  hanno lanciato l'allarme in merito a una nuova botnet, denominata Satori, che è stata vista attiva su oltre 280.000 IP diversi nelle ultime 12 ore. Satori, parola giapponese che sta per ''risveglio'', in realtà non è nuova, ma è una variante del già noto malware DDoS di Mirai IoT. Uno dei ricercatori di Qihoo 360 Netlab, Li Fengpei ha descritto Satori in un report e ha affermato che questo si è diffuso velocemente a partire da 4 giorni fa. 

Un passo avanti e uno indietro, nella lotta alle botnet quindi: giusto qualche giorno fa una task force tra Polizie di vari stati e esperti di sicurezza informatica hanno abbattuto la botnet Andromeda, composta da computer infettati con l'omonimo malware.

Le differenze tra la variante Satori e le precedenti versioni di Mirai:
Stando al report di Li, la variante Satori Mirai presenta svariate differenze rispetto alla precedente versione di Mirai.  Le precedenti versioni di Mirai colpivano dispositivi IoT, quindi scaricavano una componente scanner Telnet nel tentativo di tovare altre vittime, infettarle e rendere bot della botnet. 
 
La variante Satori non utilizza uno scanner ma usa due exploit collegati che provano a connettersi ai dispositivi remoti sulle porte 37215 e 52869. Ciò rende valida, per  Satori, la classificazione di worm per ioT,dato che è in grado di diffondersi da solo, senza la necessità di componenti aggiuntivi. 

Una crescita alimentata dal misterioso exploit Huawey (zero-day?)
Dalla telemetrie raccolta ottenuta dall'infrastruttura di Netlab, Li ha osservato 263.250 differenti IP in scansione sulla porta 37215 e altre 19403 indirizzi IP sulla porta 52869. Sono oltre 280.000 bot nella sola  giornata di Martedì. 
 
 
 
Una botnet che riesce a diffondersi in queste dimensioni è di enorme rilievo. Il successo di Satori  in larga parte è avvenuto grazie all'exploit con il quale "viola" la porta 37215. Stando alla descrizione di Li, questo vulnerabilità sembra essere una ''zero day''.

"Quella sulla porta 37215 non è ancora stato reso nota, il nostro team ha monitorato questo aspetto negli ultimi giorni e ha ottenuto alcune informazioni, ma non ne discuteremo", ha detto Li. 

Dale Drew, lo stratega-capo della sicurezza del  provider di Internet a banda larga CenturyLink, ha detto ad ArsTechnica in un'intervista che questa botnet  sfrutta una vulnerabilità ''zero day''  nei router Huawei Home Gateway: si tratterebbe di un bug di esecuzione di codice remoto rilevato alla fine di Novembre e del quale sono disponibili pochissimi dettagli. 
 
 
Per quanto riguarda l'altro exploit sulla porta 52869,  si tratta di una vecchia e nota vulnerabilità nei  dispositivi Realtek  (CVE-2014-8361), risolta nella maggior parte dei dispositivi: questo il motivo per il quale il secondo exploit sta avendo molto meno successo. 

Satori ha collegamenti con una precedente botnet Mirai:
Li, nel suo report, ha sottolineato inoltre l'esistenza di alcuni collegamenti tra la botnet creata con Satori Mirai e un altra botnet, basata sempre su Mirai, che Netlab ha osservato lo scorso mese: comprende circa 100.000 nodi, la maggior parte situati in Argentina.

Non è chiaro se sia la stessa persona ad eseguire  entrambe le botnet, ma il fatto che l'attuale variante di Mirai Satori e la precedente variante di Mirai condividono nomi dei file,  caratteristiche statiche e alcuni dei protocolli C2, è un forte indizio. Altri ricercatori di sicurezza hanno confermato il sospetto  che le due botnet siano correlate e come  Satori sia una  continua evoluzione rispetto alla variante Mirai individuata mese scorso
europe-2021308_640-640x360[1]

Vi state preparando per il GDPR? Ecco qui alcuni consigli di sicurezza.

Vi state preparando per il GDPR? Ecco qui alcuni consigli di sicurezza


MERCOLEDÌ 13 DICEMBRE 2017 - 15:30

La deadline per l'applicazione del "General Data Protection Regulation" si sta avvicinando e tutte le aziende europee devono organizzarsi prima possibile. Se un'impresa è direttamente o indirettamente associata all'Unione Europea, deve tenere di conto e implementare una serie di standard di sicurezza, garantendo così la conformità al nuovo regolamento sulla privacy. Il GDPR, in breve, è un regolamento dell'UE che ha come obbiettivo specifico la privacy e la riservatezza dei dati personali degli utenti. Attenersi alle line guida del GDPR è di primaria importanza per le imprese che raccolgono e gestiscono dati sensibili e personali dei cittadini europei. Una volta che il GDPR verrà accolto a livello globale, le aspettative sulla sicurezza focalizzate sulla salvaguardia dei dati del consumatore, si moltiplicheranno esponenzialmente e quindi sarà irrinunciabile per tutte le aziende la risoluzione delle vulnerabilità in campo di sicurezza per stare al passo coi competitor.
 
Consigli sulla conformità: strategie di sicurezza 
La sicurezza è l'aspetto essenziale dell'applicazione del GDPR: qualsiasi violazione da parte delle aziende può comportare pesanti penalità e multe. Con l'avvicinarsi della data ultima per l'adeguamento, fissata per il 25 Maggio 2018, diventa obbligo legale il miglioramento della sicurezza. Nonostante il GDPR si focalizzi su linee guida e policy sulle violazioni e sugli attacchi, ci si aspetta anche che le aziende siano in grado di agire proattivamente per la gestione dei rischi e per la sicurezza dei dati. 
 
1. Rafforzare la sicurezza adattandola al contesto.
Recentemente, gli utenti della telefonia mobile che accedono a servizi e applicazioni in cloud sono aumentati ad un ritmo incontrollabile. Questa tendenza però comporta l'esposizione dei database da più dispositivi e posizioni, compromettendo gli standard di sicurezza esistenti. E' fondamentale quindi implementare controlli e misure di sicurezza che tengano conto del contesto reale. Questi controlli devono essere assegnati tenendo di conto dell'area di lavoro e delle presumibili minacce alla sicurezza che riguardano l'ambiente esistente. Gli standard di sicurezza e i controlli devono cioè tenere di conto la natura dei dispositivi, la tipologia della rete aziendale e l'ampiezza dell'uso dei dispositivi perché possano realmente aiutare le aziende ad ottenere la conformità al GDPR. Un approccio di questo tipo aiuta anche i reparti IT a tracciare la posizione dell'utente e approntare efficaci metodi di controllo.  

2.Riduzione degli Accessi Privilegiati
Le organizzazioni dovrebbero ridurre la frequenza con la quale vengono concessi agli utenti i diritti di amministrazione. 
Sicuramente per alcuni utenti è necessario garantire alti privilegi, sopratutto laddove lo richieda il ruolo ricoperto in azienda da quello specifico utente: garantire però accessi speciali ad un ampio numero di utenti però non fa altro che aumentare i rischi alla sicurezza. I malintenzionati sono sempre a caccia di sistemi, reti aziendali e app dove sono garantiti i privilegi di amministrazione. L'approccio più adatto per contrastare la crescita di potenziali rischi è quello di organizzare un sistema di accessi dinamici che adatti le permissioni e le capacità di accesso alla rete in base ai requisiti di ogni specifico utente. Un approccio di questo tipo riduce il numero di utenti con privilegi di amministrazione, salvaguarda i dati personali e aiuta nell'attuazione della GDPR.

3. Limitare il tasso di successo dei Ransomware 
Questa misura include anche una serie di strategie proattive per tenere a bada malware e ransomware. Dato che i cyber-criminali fanno molto affidamento sugli attacchi di phishing e sulla trasmissione di codici dannosi per accedere ai dati degli utenti, diviene fondamentale per le aziende non solo implementare e migliorare le tecnologie a disposizione, ma anche prestare attenzione alla formazione dei dipendenti. Implementare controlli granulari a livello di hash, ad esempio basati sulla firma digitale, è un modo per evitare attacchi. Controlli dinamici possono essere usati per bloccare l'accesso a file e siti web specifici. Bloccare automaticamente i dispositivi esterni e impedire il salvataggio di file sui dispositivi aziendali sono due strategie proattive utili a rafforzare la sicurezza del sistema IT. 

4. Assicurare un accurato "On boarding"* e un completo "Off Boarding"**. 
Le aziende devono fare affidamento su processi automatizzati per garantire l'accesso ai lavoratori.Tuttavia anche il processo di Off-boarding e la chiusura dei diritti di accesso devono essere svolti correttamente quando un dipendente lascia l'azienda. L'applicazione automatica di policy di accesso in base al legame con l'azienda aiuta le imprese a mantenere la conformità col GDPR. 

* Il processo di inserimento e formazione di un nuovo dipendente
** Il processo di rimozione dall'organizzazione aziendale di un dipendente che lascia l'azienda. 

5. Registrare l'accesso ai dai personali
La conformità al GDPR richiede che le aziende mantengano registrazioni e report relativi all'accesso degli utenti, alla distribuzione delle aree di lavoro, alle configurazioni esistenti e a tutto ciò, anche in remoto, è associato con i dati. La capacità di tracciare, registrare, organizzare report in maniera automatica è un punto essenziale del GDPR.. 

Seqrite può aiutare le aziende ad essere conformi al GDPR?
Seqrite offre una serie di strategie di sicurezza che possono aiutare le aziende ad organizzare la conformità al GDPR. Seqrite offre avanzati servizi di Protezione degli Endpoint, già impostati tenendo conto dei consigli sopra indicati. Che si parli della funzione anti-ransomware  o dei servizi di DLP (Data Loss Prevention) Seqrite può aiutare le aziende a garantire i requisiti di conformità previsti.
1a(1)[1]

Ransomware per Android richiedono come riscatto una Gift Card iTunes: una analisi dei Lab di Sicurezza Quick Heal

Ransomware per Android richiedono come riscatto una Gift Card iTunes: una analisi dei Lab di Sicurezza Quick Heal.
- MERCOLEDÌ 13 DICEMBRE 2017

Solitamente un ransomware richiede soldi o criptovalute dopo aver bloccato un computer, un telefono o dopo aver criptato i dati di un dispositivo. I nostri laboratori di sicurezza però hanno individuato un ransomware per Android nascosto in due app fake, che richiede, dopo aver bloccato il dispositivo infetto, non soldi o criptovaluta, ma una Gift Card di iTunes. Queste carte possono essere vendute sui siti di aste, sui social o nel Dark Web.
 
Vettore d'infezione
Il tuo smartphone Android può essere infettato da questo ransomware scaricando un app dannosa (che va sotto il nome di "Porn Hub") su store di terze parti, oppure ricevuto via email, bluetooth o siti di condivisione dei file.
 
Analisi dell'app dannosa Porn Hub
Nome dell'App: Porn Hub
Nome del pacchetto: com.pornhub_tools
MD5: 9fadc90562ce6e275eb6db8e6ca6ddad
Dimensione: 39 KB
 
Dopo che il ransomware ha bloccato il dispositivo, mostra una nota di riscatto nella quale si chiede appunto una carta regalo iTunes del valore di 200 dollari come penalità per aver guardato materiale pedopornografico. Nella nota viene mostrato un URL: ciò accade se il tuo dispositivo è connesso a Internet.
 
 
 
Se il tuo dispositivo non è connesso, il ransomware mostra una diversa nota di riscatto: in questa versione viene detto che tutti i file sono stati criptati è che si deve pagare un ammontare di circa 100 dollari in Bitcoin per sbloccare il dispositivo e decriptare i dati.
 
 
Nella nostra analisi, tuttavia, non abbiamo trovato nessuna traccia di meccanismi di criptazione dei file da parte di questo ransomware. E' quindi possibile recuperare i propri file semplicemente connettendo il dispositivo al PC.
 
Analisi Tecnica
Quando abbiamo provato ad aprire l'app dannosa, ci è stato subito chiesta la concessione delle  permissioni di amministrazione sul dispositivo. Abbiamo selezionato "cancel", ma l'app ha continuato insistentemente a richiedere le permissioni fino a quando non abbiamo selezionato "activate".
 
Una volta attivata, l'app verifica per prima cosa se il dispositivo sia connesso o meno ad Internet. Quando il dispositivo è online, l'app raccoglie i dati sul dispositivo (ID dello smartphone, operatore della Sim ecc...).

Questi dati vengono inviati ad URL (HTTP://*******.w*n//private/tuk_tuk.php, il quale carica la webpage dove viene richiesta la Gift Card di iTunes.
 
Il codice responsabile della connessione  all'URL o del download della pagina HTML. 

Se il dispositivo non è online, l'app carica la pagina HTML che richiede il riscatto in Bitcoin. 
 
Analisi della falsa app Dropbox
Nome dell'App: Dropbox
Nome del pacchetto: com.example.testlock
MD5: 17bc088027d2f3f71a74beed3a9c715
Dimensione: 415 KB
 
Abbiamo individuato una seconda app che nasconde un ransomware che richiede una Card di iTunes come riscatto. Questa app usa l'icona di Dropbox (il famoso servizio di file hosting). Quando abbiamo aperto questa app, ci ha chiesto subito la concessione dei permessi di Amministrazione del dispositivo, esattamente come successo per l'app precedente.
 
 
Una volta attivata, il ransomware mostra la nota di riscatto nella quale si avvisa che il dispositivo è stato bloccato dall'FBI come pena per aver visualizzato materiale pedo-pornografico. Per sbloccare il dispositivo si richiede una Gift Card di circa 25 Dollari, da pagare entro 72 ore. 
 
 

La nota chiede all'utente di inserire il codice di una Gift Card del valore richiesto. Se l'utente immette un codice errato, viene mostrato un messaggio per avvisare l'utente che ha a disposizione solo 2 altri tentativi, dopo i quali il dispositivo verrà bloccato permanentemente.
 
Dalla nostra analisi è emerso, tuttavia, che questo avviso è falso e viene mostrato solo per spaventare l'utente e indurlo con l'inganno a pagare il riscatto.
 
 
Individuazione da parte di Quick Heal
Quick Heal individua con successo questi ransomware come Android.Locker.Aa54f e Android.Locker.Aa550. Raccomandiamo fortemente di non pagare il riscatto, perchè non c'è alcuna garanzia di poter ottenere di nuovo l'acceso ai file o di vedere il proprio dispositivo sbloccato dopo il pagamento. 
 
Consigli per stare al sicuro dai Ransomware
  1. Prima di scaricare qualsiasi app (anche dal Google Play) verifica la fonte. Controlla il sito web dello sviluppatore e leggi le recensioni.
  2. Se ti è possibile, non scaricare app da app store di terze parti. La maggior parte delle app infette provengono infatti da app store di terze parti. 
  3. Mantieni sempre disabilitata l'opzione "Unknow Sources". Abilitare questa opzione consente infatti l'installazione di app da fonti sconosciute. Vai sulle impostazioni del tuo dispositivo, cerca la sezione "Sicurezza", cerca "Fonti Sconosciute" e disabilita l'opzione. 
  4. Installa un antivirus solido e affidabile, che possa bloccare le app sospette e/o dannose.
1a[1]

In diffusione software spia per gli utenti TRE in Italia.

In diffusione software spia per gli utenti TRE in Italia. 
- LUNEDÌ 11 DICEMBRE 2017

E’ stata rilasciata sugli app store Android un'app fake pensata appositamente per utenti italiani della società di telecomunicazioni TRE Italia.  "3Mobile Updater", questo il nome della app che a prima vista sembra un comune update, in realtà non è altro che un malware. L'app infatti appare molto molto simile all'app ufficiale usata da TRE per l'update del sistema operativo mobile. 
 
Come si diffonde:
Quando un utente fa click sull'icona del 3 Mobile Updater, l'app mostra una schermata (vedi sotto)
 
L'alert reca il seguente testo (in inglese)
“Caro cliente stiamo aggiornando la tua configurazione, sarà pronta il prima possibile”. 

In realtà in questa fase, l'app non sta aggiornando il dispositivo, ma raccogliendone le informazioni generali.Il messaggio serve a convincere l'utente a non interrompere l'infezione del dispositivo, convincendolo che l'update di sistema richieda un certo lasso di tempo. In realtà l'app esegue comunicazioni periodiche e riceve comandi dal server di C&C (Command and Control).
 
Che cosa fa? Un'analisi comportamentale
L'app principalmente ha lo scopo di sottrarre informazioni. Lo fa cercando di ottenere un lunghissimo numero di permissioni, per accedere a svariati tipi di fonti informative.  La quasi totalità delle funzioni dannose del malware avviene in background: l'utente ha una sola interazione col malware, ricevendo l'avviso sopra mostrato. L'utente quindi non riceverà nessun avviso sull'attività del malware: un meccanismo pensato appositamente per non insospettire la vittima. 
 
La lista delle fonti  dalle quale è in grado di attingere informazioni è lunga, non solo rubrica, SMS e registro chiamate, ma anche tutti i più vari social networks: Whatsapp, Instagram, Snapchat, Telegram, Line, Viber, Skype; è in grado di accedere a microfono e fotocamera, scattare foto e registrare audio.
 
Questo è l'elenco delle permissioni che il malware richiede:
  • android.permission.READ_CALENDAR
  • android.permission.ACCESS_COARSE_LOCATION
  • com.android.browser.permission.READ_HISTORY_BOOKMARKS
  • android.permission.WRITE_EXTERNAL_STORAGE
  • android.permission.CAMERA
  • android.permission.RECORD_AUDIO
  • android.permission.CHANGE_WIFI_STATE
  • android.permission.RECEIVE_SMS
  • android.permission.GET_TASKS
  • android.permission.READ_SMS
  • android.permission.INTERNET
  • android.permission.PROCESS_OUTGOING_CALLS
  • android.permission.ACCESS_FINE_LOCATION
  • android.permission.READ_CALL_LOG
  • android.permission.READ_CONTACTS
  • android.permission.READ_PHONE_STATE
  • android.permission.INSTALL_PACKAGES
  • com.sysmanager.permission.C2D_MESSAGE
  • android.permission.RECEIVE_BOOT_COMPLETED
  • android.permission.GET_ACCOUNTS
  • android.permission.CHANGE_NETWORK_STATE
  • android.permission.WAKE_LOCK
  • android.permission.ACCESS_WIFI_STATE
  • android.permission.ACCESS_NETWORK_STATE
  • com.google.android.c2dm.permission.RECEIVE
Le informazioni, prima salvate sul dispositivo stesso vengono poi caricate sul server Command and Control.
 
Che cosa fa? Un'analisi tecnica
Il codice è scritto in italiano: il malware quindi sembra pensato da cyber-attaccanti italiani per utenti italiani. E' difficile però comprendere a tutto tondo le funzionalità del malware, per il fatto che alcune parti di codice sembrano essere comprensibili solo allo sviluppatore del malware, non avendo significato e valore tecnico universale: ad esempio è impossibile capire a che funzioni rimandino certi messaggi come "Licenza non attiva", "Server Abilitata", "verifica PEM: inzio verifica". 

 
La presenza ricorrente, nel codice, della parola "TEST" fa presupporre che l'app sia un test, un prototipo in fase di sviluppo: l'app dimostra già, tuttavia, un'alta capacità di rubare le informazioni rispetto a moltissimi altri stealer già in diffusione.  La cosa più allarmante è che solitamente questo tipo di malware viene diffusa tramite email o SMS, in questo caso invece è stata caricata su uno store ufficiale. 
 
 
1[1]

Ransomware Shadow: la nuova versione della famiglia BTCWare

Ransomware Shadow: la nuova versione della famiglia BTCWare

 
E' stata individuata qualche giorno fa da Michael Gillespie, una nuova variante della pericolosa famiglia di ransomware BTCWare: la famiglia non è assolutamente nuova, è stata scoperta  per la prima volta lo scorso Marzo e da allora si è diffusa con più versioni (ne abbiamo parlato qui).
Questa versione, chiamata Shadow proprio dall'estensione che il ransomware aggiunge ai file che cripta, segue l'ultima, chiamata Payday (ne abbiamo parlato qui).

La nuova variante, Shadow appunto, cripta i file modificandone l'estensione in .[email]-id-id.shadow ai file criptati. Come ogni altro membro della famiglia BTCWare, anche Shadow attacca i servizi di remote desktop poco protetti ottenendo così l'accesso al sistema necessario per installare manualmente il ransomware.  

Le differenze con le altre versioni:

Nell'ultima versione diffusa non è cambiato molto, a parte agli indirizzi email di contatto (per ottenere le informazioni necessarie al pagamento del riscatto) e l'estensione aggiunta ai file criptati. Nello specifico, l'indirizzo email di contatto di questa variante è paydayz@cock.li, come si può vedere nell'immagine della nota di riscatto sottostante: 
L'altro cambiamento di rilievo riguarda invece l'estensione aggiunta ai file criptati: il ransomware andrà stavolta a modificare il nome del file aggiungendo l'estensione .[email]-id-[id].shadow al nome del file criptato

Ad esempio, il file test.jpg sarà criptato e rinominato "test.jpg.[paydayz@cock.li]-id-C0C.shadow". Sotto alcuni esempi di file criptati:


Fonte: bleepingcomputer.com

Attualmente non ha soluzione.

Come difendersi?
Per proteggersi efficacemente da Shadow (e da qualsiasi ransomware) è importante avere sempre a disposizione un backup affidabile e testato dei proprio dati da poter ripristinare in caso di emergenza, per esempio di fronte ad un attacco ransomware. 

Ultimo, ma non certo per importanza, è necessario assicurarsi di seguire delle corrette abitudini per quanto riguarda la sicurezza online che, il più delle volte, costituiscono il passaggio più importante.
  • Non aprire gli allegati se non si conosce chi li ha inviati.
  • Non aprire gli allegati finché non si hanno conferme sull’ identità della persona che li ha effettivamente inviati.
  • Scansionare gli allegati con strumenti come VirusTotal.
  • Assicurarsi di installare tutti gli aggiornamenti di Windows non appena vengono resi disponibili. Assicurarsi inoltre di aggiornare tutti i programmi, in particolare Java, Flash ed Adobe Reader. I programmi non aggiornati presentano maggiori vulnerabilità di sicurezza, che vengono comunemente sfruttate dai distributori di malware. Per queste ragione è importante tenersi sempre aggiornati.
  •  Assicurarsi di aver installato un adeguato software di sicurezza, possibilmente con un modulo anti ransomware e con una protezione multilivello. 
  • Utilizzare password complesse e soprattutto non utilizzare mai la stessa su più siti diversi.
 
1[1]

Un trend in crescita: i nuovi malware basati su DDE di Office | Quick Heal Security Lab

Un trend in crescita: i nuovi malware basati su DDE di Office | Quick Heal Security Lab
- MERCOLEDÌ 6 DICEMBRE 2017

Negli ultimi anni abbiamo visto moltissimi attacchi basati sulle macro attraverso l' Object Linking Embedding (OLE)/ file Microsoft Office. Recentemente però, gli attaccanti stanno usando differenti tecniche per diffondere i malware attraverso i file Office: usano un nuovo vettore di attacco chiamato Dynamic Data Exchange (DDE). 

 
DDE è una funzione autorizzata di Microsoft Office che fornisce molteplici metodi di trasferimento dei dati tra una applicazione e l'altra. Una volta che il protocollo di comunicazione è stabilito, non c'è necessità di interazione dell'utente per lo scambio dei dati tra applicazioni diverse. La funzione DDE non è limitata a Word ed Excel, ma è inclusa anche in RTF e in Outlook. 
 
Dettagli tecnici
Questo attacco inizia con una email di spam contenente un documento dannoso come allegato (vedi fig.1)
 
 
L'applicazione Microsoft Word (winword.exe) ad esempio, apre questo allegato ed esegue il codice DDE. L'utente visualizza quindi un prompt che lo avvisa del fatto che il documento contiene alcuni link che potrebbero riferire al recupero di dati da altri file (vedi fig.2)
 
 
Se l'utente clicca su "Yes", visualizzerà un secondo prompt che mostra le informazioni di esecuzione dei dati remoti: se di nuovo l'utente fa clic su "Yes" l'attacco avrà successo (vedi fig.3)
 
 
Se al contrario l'utente clicca su"no" nel primo o nel secondo promt, l'attacco fallirà. 
 
Il malware con il codice DDE esegue "cmd.exe" con PowerShell e altri codici come parametro. PowerShell scarica quindi il payload in background e lo esegue di nascosto. Il payload può contenere qualsiasi tipo di malware. La figura 4 mostra uno dei vari tipi di codice DDE. 
 
 
Per evitare l'individuazione in base alla firma, gli autori del malware usano differenti tecniche di offuscamento, tra le quali:
 
Tecnica di offuscamento 1
Scindere il codice DDE e il codice PowerShell in tag differenti. 
 
 
Tecnica di offuscamento 2 
Codificare il codice PowerSghell con base64
 
 
Tecnica di offuscamento 3
Codificare il codice PowerShell con un valore intero del rispettivo carattere. 
 
 
Ecco la versione decodificata del codice sopra:
 
 
La tecnica di attacco basata sul DDE è molto semplice per gli attaccanti: riteniamo verosimile la possibilità che questo tipo di attacco divverrà in futuro sempre più gettonato.
 
Misure di Prevenzione
  • valuta la disabilitazione di DDE quando non è in uso: per farlo vai sul pulsante di Office, seleziona Opzioni di Excel (la procedura vale anche per le altre applicazioni Office), vai su Centro Protezione, clicca su "Impostazioni Centro Protezione", vai su "Contenuto Esterno" e seleziona "Disattiva aggiornamento automatico dei collegamenti della cartella di lavoro"
  • Non scaricare/aprire allegati che arrivano da fonti sospette o indesiderate
  • Applica tutti gli aggiornamenti di sicurezza consigliati e le patch per il tuo Sistema Operativo
Indicatori di compromissione
53c1d68242de77940a0011d7d108c098
106776A1A0F1F15E17C06C23CBFE550E
31362967C1BFE285DDC5C3AB27CDC62D
 
1a[2]

Report 3° trimestre sulle minacce informatiche: i ransomware

Report 3° trimestre sulle minacce informatiche: i ransomware 
- LUNEDÌ 4 DICEMBRE 2017.
Nel terzo trimestre del 2017 abbiamo individuato oltre 199 milioni di malware sui sistemi degli utenti Quick Heal: la maggior parte di queste individuazioni risalgono al mese di Luglio. Rispetto al trimestre scorso il numero delle rilevazioni è sceso dell'11%. Purtroppo però non sarebbe corretto pensare ad una tregua: i ransomware hanno continuato incessantemente a colpire gli utenti in tutto il mondo. I Lab di sicurezza Quick Heal hanno individuato 9 nuove famiglie di ransomware in questo trimestre. Il "Top Malware" è rimasto lo stesso dello scorso trimestre, un trojan capace di modificare il browser. Tra i modi di propagazione più diffusioni troviamo i software free, i dispositivi di rete e removibili, le email di spam, i siti web compromessi. 
 
La famiglia dei trojan ottiene ancora una volta il gradino più alto del podio in quanto a numero di individuazioni, seguita da worm e adware. La catena di attacco che ha più colpito l'attenzione è stata quella che ha riguardato il popolarissimo tool di ottimizzazione per computer CCleaner (ne abbiamo parlato qui).
 
Per quanto riguarda Android invece lo scenario si fa difficile: il numero delle individuazioni è cresciuto del 40% rispetto allo scorso trimestre. Gli app-store di terze parti continuano ad essere la principale fonte di malware. Le Applicazioni potenzialmente non desiderate (PUA) sono cresciute del 238%. 
 
L'intero report è consultabile qui. Qui approfondiremo i ransomware per Windows e per Android.
 
I ransomware per Windows
  • Nel 3° trimestre assistiamo ad una crescita esponenziale della famiglia ransomware Cryptomix. Utilizzano vastissime campagne di email di spam e dannose e vari exploit kit. Negli ultimi 3 mesi c'è stata una crescita anhe del ransomware Globeimposter, che cripta i file apponendovi svariate e diverse estensioni. Questo ransomware si diffondeva tramite RDP (remote desktop), ma ora usa anche campagne di spam per la diffusione.
  • Abbiamo osservato una nuova variante del ransomware Petya: ha colpito in Europa e in alcuni stati asiatici. La nazione bersaglio è comunque risultata, in maniera evidente, l'Ucraina: vittime privilegiate i servizi energetici e i principali istituti bancari. La nuova versione di Petya non cripta solo i file, ma anche l'MTF (Master File Table) e sovrascrive l'MBR (Master Boot Record), così il sistema bersaglio non potrà più neppure avviarsi. Più che un ransomware potremmo definirlo un "disk wiper", dato che il recupero dei file è impossibile. 
  • Arena e Aleta sono due nuove varianti della famiglia BTCWare. Questi ransomware si diffondono con un attacco di brute-force contro la porta RDP: se l'attacco ha successo (ed è solo questione di tempo), l'attaccante ottiene l'accesso al sistema-
  • La famiglia Locky invece si arricchisce di molti nuovi membri: Lukitus, Diablo6, Ykcol ecc..
  •  
    Altri ransomware osservati nel 3° Trimestre 2017
    •   Karo
    •   NemucodAES
    •   Reyptson
    •   Viro
    •   Oops Locker
    •   Philadelphia
    •   Gryphon
    •   SyncCrypt
    •   Princess
     
    NemucodAES merita un piccolo approfondimento in più: è stato diffuso tramite alcune campagne, diverse, ma accomunate tutte dal fatto di usare mail apparentemente provenienti da UPS: queste email recano allegati .zip che contengono sia il ransomware NemucodAES sia il trojan file-less Kovter. L'allegato .zip contiene un JavaScript che scarica un file .DOC quindi la componente PHP e il file DLL del ransomware. Kovter invece, diffuso in coppia con NemucodAES, è un trojan che non necessita di file salvati in memoria locale per funzionare: si nasconde nel registro, così è molto difficile individuarlo. Ruba i dati della vittima e li invia al server C&C sotto il controllo degli attaccanti. 
     
    Ransomware per Android
    I ransomware per Android funzionano alla stessa maniera dei ransomware per Windows. Il malware può sia criptare i file per renderli illeggibili oppure bloccare lo schermo del dispositivo rendendolo inservibile: viene quindi richiesto un riscatto. Nella tabella sotto è possibile vedere le famiglie di ransomware per Android individuate, confrontate con lo stesso dato del 1° e 2° trimestre 2017. 
     
     
    Il più diffuso e pericolo tra questi è stato Android Locker, individuato dai nostri antivirus come Android.Locker.A. Lo abbiamo individuato in diffusione sul Google Play Store: all'inizio appare inoffensivo, ma, una volta avviato, esegue molteplici attività dannose sul telefono, infine blocca lo schermo sulla home. Impedisce così l'uso del telefono, mentre il ransomware rimane attivo e in esecuzione in background. Scarica quindi file dannosi da un server remoto e allo stesso invia in ritorno dati privati della vittima come email, la cronologia del browser, i contatti, il registro delle chiamate e i messaggi. I dati rubati vengono mostrati alle vittime, in ordine e scelta casuale, su una pagina web. Si chiede un riscatto per lo sblocco del telefono e la rimozione dei dati privati dal web. 
     
    logHD1

    YOTTA WEB - Via Don F. Cabrio 14/D - 13900 Biella (BI)

    P.IVA 02552590024 - C.F. SNTSVR77S27A859C - REA BI 194613

    Copyright 2017 © YOTTA WEB All Rights Reserved

    Privacy Policy