intel[1]

Gravi Falle nelle CPU Intel : 900 modelli di PC di diversi produtturi a rischio

Gravi Falle nelle CPU Intel : 900 modelli di PC di diversi produttori a rischio

 

 
L'azienda Intel in questi giorni si è trovata a far fronte ad un grave problema legato alla sicurezza di funzioni e componenti dei suoi processori e che coinvolge e mette a rischio attacco informatico una gran quantità di computer e milioni di utenti. Le vulnerabilità sono state individuate all'interno di alcuni componenti firmware come Intel Management Engine, Server Platform Services e Trusted Execution Engine sebbene la più grave riguardi Intel ME. Il primo allarme lo ha dato Intel stessa, pubblicando un alert riguardante alcune vulnerabilità che potete leggere qui.

I rischi alla sicurezza del computer:
Queste vulnerabilità potrebbero consentire ad un pirata informatico
  • l’installazione sul computer della vittima di rootkit  
  • buffer overflow a livello del kernel, 
  • malfunzionamenti e crash e tutta una serie di altri processi  che potrebbero favorire l'attività criminale di qualsiasi attaccante.
L'annuncio di Intel
Quando Intel ha pubblicato l'avviso di sicurezza, non si aveva nessuna idea del reale impatto sull'intero parco macchine a livello mondiale. Intel ha infatti indicato solo le versioni dei firmware e i modelli di processori risultati vulnerabili. I produttori qualche giorno dopo hanno fatto sapere che stiamo parlando di circa 900 modelli di diversi produttori riguardati da questi bug.

I modelli di computer a rischio:
 
Produttore Modelli vulnerabili Patch
Acer 242 No
Dell 214 No
Dell Server 16 No
Fujitsu (PDF) 165 No
HPE Server Numero incerto Per alcuni
Intel 34 No
Lenovo 222 Per alcuni
Panasonic 12 No
 
 
Segnaliamo fin da subito che solo alcuni produttori hanno sviluppato e reso disponibili le patch. Consigliamo di verificare direttamente dal sito del produttore eventuali news sulla questione. Intel, da parte sua, ha messo a disposizione uno strumento per Windows e Linux attraverso il quale è possibile verificare se un computer sia vulnerabile o meno.

Come verificare la vulnerabilità di un computer :
Lo strumento di verifica di Intel è disponibile al download a questo indirizzo. Sotto un esempio della schermata che il tool rende dopo aver messo a verifica il sistema: in questo caso il computer potrebbe essere vulnerabile. 
 
 
L'azienda  ha classificato il problema come "Importante" e non "Cruciale", che è quello più grave in assoluto, forse perché le vulnerabilità affliggono processi specifici e complessi che richiedono competenze molto elevate per essere attaccati e modificati. Nelle mani di cyber-criminali più esperti può diventare però possibilità di pericolosissimi attacchi.

Risulta quindi evidente come molti utenti siano ad oggi esposti a possibili attacchi. Il consiglio, dunque è, una volta eseguita la verifica delle vulnerabilità. di consultare il sito Internet del produttore per verificare se sia già disponibile (o quando sarà disponibile) l’aggiornamento che permette di tappare le falle. Intel ME aveva  già suscitato forti critiche da parte degli esperti di sicurezza, proprio a causa di una sua peculiarità: si tratta infatti di un sistema completamente slegato sul quale va in esecuzione un sistema operativo indipendente che gli utenti non hanno modo di controllare.
1a[1]

Massiva campagna distribuisce miner di Monero attraverso siti web compromessi: un’analisi dal Lab di Sicurezza Quick Heal

Massiva campagna distribuisce miner di Monero attraverso siti web compromessi: un'analisi dal Lab di Sicurezza Quick Heal


- VENERDÌ 24 NOVEMBRE 2017


La crescita continua degli attacchi ransomware ci ha accompagnato per almeno gli ultimi 3 anni, ma oggi stiamo notando un repentino cambiamento. Sembra infatti che la continua rivalutazione della criptovaluta, in particolare i Bitcoin, stia portando i cyber-criminali a fare del mining di criptovaluta l'attività principale (abbiamo già parlato del problema del mining qui
 
I miner di criptovaluta stanno diventando cioè uno dei principali vettori di attacco per i cyber-criminali. Osservando il livello attuale di complessità raggiunto dal mining, occorre avere a disposizione un vero e proprio pool di computer per una estrazione efficace di criptovaluta. Per costruirsi una fattoria (un gruppo) di macchine per il mining i cyber-criminali infettano i pc con un miner malware: un attacco di questo tipo può essere indicato come "mining diffuso". 
 
In questo post parleremo della campagna, attualmente in corso, di mining diffuso per la criptovaluta chiamata Monero. Monero (XMR) è una criptovaluta open source che è stata lanciata nell'Aprile del 2014: il mining di Monero richiede già, ovviamente un massivo potenziale di calcolo. Scopo dell'attacco è sfruttare la potenza di calcolo del dispositivo dell'utente per minare appunto la criptovaluta target (lo stesso meccanismo vale infatti per tutte le criptovalute, compresi i famosi Bitcoin, ma anche Ethereum ecc...). Per raggiungere l'obiettivo, gli attaccanti hanno compromesso svariati siti web, la maggior parte ospitati da WordPress, per distribuire il miner di Monero. Secondo i dati telemetrici in nostro possesso, i siti web compromessi includono però anche siti governativi, di big della farmaceutica e istituti educativi di vario livello. 
 
La catena di attacco.
L'infografica sotto mostra la catena di attacco di questa campagna: 

 
In questa campagna vengono attaccati siti web con vulnerabilità. Una volta eseguito l'exploit delle stesse, un JavaScript dannoso offuscato viene iniettato nelle pagine web. Quando un utente visita il sito web compromesso, il JavaScript iniettato induce l'utente a scaricare un update dei font falso. Una volta eseguito il falso update, questo scarica il miner di Monero e lo esegue sul sistema dell'utente. Questo attacco bersaglia attualmente solo gli untenti dei browser Google Chrome e Firefox. 
 
Ora vi accompagniamo in un piccolo viaggio attraverso le fasi di attacco: le sessioni catturate sotto mostrano la sequenza di attacco al sito web di una azienda farmaceutica. 
 
 
Il Javascript iniettato mostra il pop up per l'update del font. L'analisi è stata condotta sul browser Google Chrome. 
 
 
Il click su tasto Update mostra un pop up con le istruzioni per l'update. Scarica anche un file .zip dannoso nella cartella "Download" di Chrome. Le istruzioni mostrate nel pop up chiedono all'itente di eseguire il file. 
 
 
Il file .zip scaricato, solitamente "ttf.zip" reca un file "ttf.js" dannoso. Quando l'user fa click sul file "ttf.js", questo esegue il file cscript.exe e scarica l'eseguibile dannoso, il miner di Monero. 
 
L'analisi del JavaScript
Il JavaScript iniettato è offuscato. Consiste in una routine di de-offuscamento e in una lunga stringa che è codificata con Base64. 

 
 
Il de offuscamento del codice sopra, rivela questo:
 
 
Si nota come sia previsto il redirect dell'utente verso l'URL dannoso sotto: 
“hxxp://bmooc[.]net/wp-content/service/cat[.]php?m=f”
 
L'URL sopra riportato preleva un altro codice JavaScript dannoso simile al seguente:
 
Questo JavaScript carica il pop-up solo sui browser Google Chrome e Firefox. Questo induce appunto l'utente a scaricare l'update fake e indica come installarlo. 

L'attività di mining post infezione
Se l'attacco va a buon fine, il miner di Monero genera il traffico post infezione mostrato sotto:

 
Quando abbiamo eseguito questa analisi, il server C&C non ha risposto come ci saremmo aspettati. 
 
Usando il vecchio trucco dei siti con vulnerabilità conosciute che vengono compromessi, il rischio è che questa tecnica abbia un potenziale infettivo di massa. Nei fatti la dimensione ottimale per l'attaccante che necessita di grande potere di calcolo per il mining. Consigliamo ai nostri utenti di rimanere protetti mantenendo gli antivirus aggiornati agli ultimi update di sicurezza.

 

 

a[1]

Il ransomware Scarab distribuito con una massiva campagna di spam.

l ransomware Scarab (ne abbiamo parlato qui, ricordiamo che la versione 1.0 è risolvibile ), è stato individuato per la prima volta a Giugno: ora è in diffusione attraverso milioni di email di spam lanciate dalla botnet Necurs, la più grossa botnet per l'email spamming. La campagna è cominciata alle prime ore del mattino di ieri.

 
Necurs sta diffondendo milioni di email di spam
Secondo ForcePoint Necurs ha già inviato oltre 20 milioni di email, che diffondono la nuova versione del Ransomware Scarab. 


Fonte: Forcepoint
Scarab è il quarto tipo di ransomware messo in diffusione da Necurs quest'anno, dopo Locky, Jaff e GlobeImposter (leggi qui e qui. La botnet ha diffuso anche il trojan bancario Dridex, uil trojan bancario TrickBot e altri malware secondari. 
 
Le email di Scarab allegano archivi con immagini scannerizzate
Le email che diffondono il ransomware Scarab seguono uno schema già visto in passato con lo spam di Necurs: l'oggetto dell'email dà l'impressione che la mail rechi con se importanti documenti/immagini scannerizzati. Gli oggetti mail più comuni sono:
 
Scanned from Lexmark
Scanned from HP
Scanned from Canon
Scanned from Epson
 
Queste email hanno, come allegato, un archivio ZIP che contiene uno script Visual Basic. Lo script serve a scaricare ed eseguire il file .exe del ransomware. Lo script Visual Basic contiene gli stessi riferimenti al Trono di Spade già visti in Settembre, durante la campagna di diffusione, sempre da parte di Necurs, del ransomware Locky. 
 
Il ransomware Scarab
Scarab è un ransomware relativamente nuovo: è scritto in Delphi. La prima versione è facilmente riconoscibile: cripta i file modificandone l'estensione in .scarab. La seconda versione è stata individuata in Luglio e usava l'estensione .scorpio. L'ultima versione, ad oggi in diffusione, usa di nuovo l'estensione .scarab. La versione attuale cripta i file, ma non modifica anche il nome del file, diversamente dalla prima versione. Questa versione usa, nel dettaglio, come estensione la seguente: [suupport@protonmail.com].scarab

Cancella anche le copie shadow di volume e lascia sul computer infetto una nota di riscatto rinominata  "IF YOU WANT TO GET ALL YOUR FILES BACK, PLEASE READ THIS.TXT"
 
 
 

Una nota di riscatto particolare: non dà un entità del riscatto, avvisa semplicemente che prima si contatterà l'attaccante, tanto più ridotto sarà l'ammontare. 
 
 
La versione attuale non ha soluzioni attualmente. 
 
1[1]

Report 3° trimestre sulle minacce informatiche: i malware più pericolosi per Android

 

Report 3° trimestre sulle minacce informatiche: i malware più pericolosi per Windows

VENERDÌ 17 NOVEMBRE 2017 - 15:30
 
Nel terzo trimestre del 2017 abbiamo individuato oltre 199 milioni di malware sui sistemi degli utenti Quick Heal: la maggior parte di queste individuazioni risalgono al mese di Luglio. Rispetto al trimestre scorso il numero delle rilevazioni è sceso dell'11%. Purtroppo però non sarebbe corretto pensare ad una tregua: i ransomware hanno continuato incessantemente a colpire gli utenti in tutto il mondo. I Lab di sicurezza Quick Heal hanno individuato 9 nuove famiglie di ransomware in questo trimestre. Il "Top Malware" è rimasto lo stesso dello scorso trimestre, un trojan capace di modificare il browser. Tra i modi di propagazione più diffusioni troviamo i software free, i dispositivi di rete e removibili, le email di spam, i siti web compromessi. 
 
La famiglia dei trojan ottiene ancora una volta il gradino più alto del podio in quanto a numero di individuazioni, seguita da worm e adware. La catena di attacco che ha più colpito l'attenzione è stata quella che ha riguardato il popolarissimo tool di ottimizzazione per computer CCleaner (ne abbiamo parlato qui).
 
Per quanto riguarda Android invece lo scenario si fa difficile: il numero delle individuazioni è cresciuto del 40% rispetto allo scorso trimestre. Gli app-store di terze parti continuano ad essere la principale fonte di malware. Le Applicazioni potenzialmente non desiderate (PUA) sono cresciute del 238%. 
 
L'intero report è consultabile qui. Qui approfondiremo i malware più pericolosi per Windows.

Statistiche di individuazione dei malware per Windows
Nel 3° trimestre abbiamo individuato 199 milioni di malware sulle macchine dei nostri utenti. 
La Top 10 dei malware per Windows
 
Vediamo i dettagli dei primi 3:
 
1. LNK.Browser.Modifier
Livello di rischio: alto
Categoria: trojan
Metodo di propagazione: bundled software e freeware. 
Comportamento:
  • inietta codice dannoso nel browser al fine di reindirizzare l'utente su siti web compromessi,
  • modifica le impostazioni di default del browser senza che l'utente ne sia consapevole,
  • ruba le informazioni dell'utente (credenziali bancarie) durante la navigazione a scopo di truffa.
2. W32.Sality. U
Livello di rischio: medio
Categoria: file infector polimorfico
Metodo di propagazione: dispositivi di rete o removibili
Comportamento:
  • inietta il proprio codice entro tutti i processi di sistema in esecuzione. SI diffonde quindi ulteriormente infettando i file eseguibili in locale, nel dispositivi remoti condivisi e in quelli removibili,
  • tenta di bloccare i software di sicurezza e di cancellare tutti i file relativi agli stessi,
  • ruba informazioni confidenziali dal sistema infetto.
3. W32.Virut.G
Livello di rischio: medio
Categoria: file infector
Metodo di propagazione: bundled software e freeware
Comportamento: 
  • crea una botnet usata per attacchi DDoS, frodi via spam, furto di dati e attività di pay-per-install,
  • apre una backdoor che consente ad un attaccante remoto di svolgere operazioni dannose sul computer infetto,
  • la funzionalità della backdoor consente di scaricare e eseguire file addizionali sul sistema infetto. 
Statistiche di individuazione secondo il tipo di malware

 
logHD1

YOTTA WEB - Via Don F. Cabrio 14/D - 13900 Biella (BI)

P.IVA 02552590024 - C.F. SNTSVR77S27A859C - REA BI 194613

Copyright 2017 © YOTTA WEB All Rights Reserved

Privacy Policy