1+28129[1]

Necurs: la più grande SPAM botnet usa una tecnica che bypassa gli antivirus per diffondere malware.

Necurs è indubbiamente la botnet più estesa al mondo, composta da milioni di dispositivi infetti finiti sotto il suo controllo: ne abbiamo parlato spesso, come "centro nevralgico" di attacchi spam, phishing e per la distribuzione di exploit e a malware di ogni tipo. 
 
Proprio in questi giorni ha subito un update: ha migliorato il proprio "equipaggiamento" e usa attualmente una nuova tecnica per infettare le vittime. Questa tecnica consiste nell'invio di una mail ad una nuova, potenziale vittima con un file allegato: questo file, una volta estratto, contiene un altro file in formato .URL. Questo è un tipico file di collegamento che apre una pagina web direttamente nel browser invece che in una location in locale. La destinazione finale di questo link è un file script remoto che scarica e esegue automaticamente il payload finale. 
 
Necurs distribuisce Quant Loader via file .URL
In questa particolare ondata di email di spam Necurs sta distribuendo con una massiccia campagna di spam Quant Loader, un trojan che fondamentalmente si limita a assicurarsi la persistenza sull'hoste e a scaricare altri malware.

Questa tecnica non è assolutamente nuova, perchè già in passato i cyber criminali avevano ausato dei file .URL: è però una novità assoluta per Necurs. Ciò che contraddistingue questa tecnica è la catena d'infezione semplificata, che si basa ora sulla distribuzione di un solo file .URL zippato. Il che è una novità appunto, perchè negli ultimi sei anni, da quando Necurs è apparsa sulle scene, ha sempre preferito catene di infezione piuttosto complicate. 
 




Ma perchè questa nuova tecnica?
Il motivo è facile: una catena di infezione così semplice, di questo tipo, paradossalmente riesce ad evitare gli scanner antimalware che analizzano ogni singola email in cerca di link dannosi o allegati compromessi. Tali soluzioni di sicurezza infatti funzionano su regole preimpostate, la maggior parte delle quali sono state impostate dai ricercatori di sicurezza sulla base di catene d'infezione o modelli di attacco già osservati in precedenza. Di per sé l'uso dei file URL per diffondere collegamenti a link compromessi non resterà così vantaggioso  a lungo, dato che basta ri aggiornare le regole di rilevamento: nel frattempo però Necurs sta mietendo più vittime del solito. 
 
Chiaramente per i gestori di Necurs basterà variare anche di poco la tecnica di distribuzione del payload per far ricominciare da capo il gioco. 
 
Qualche consiglio per difendersi...
Ciò che è bene ricordarsi è che i file :URL lavorano come altri file di collegamento di Windows, ad esempio i .LNK: come tutti i file di questo tipo possono usare icone personalizzate. Ecco perchè i file .URL in distribuzione in questi giorni recano come icona quella standard per le cartelle: questo piccolo accorgimento aiuta a nascondere il file e a confondere gli utenti, i quali saranno portati a pensare, una volta estrato il contenuto dall'archivio .zip, di aver decompresso una cartella contenente file. E' proprio ciò che serve ai cyber criminali, così "la cartella" verrà "aperta" e avrà inizio la catena di infezione. 

Per proteggersi però c'è un trucco: proprio come ogni altro file di scelta rapida di Windows, i file .URL mostrano la classica icona a forma di freccia nell'angolo in basso a sinistra dell'icona della cartella, come mostrato sotto.
Fonte: bleepingcomputer
Quindi prestare attenzione alla presenza di questo marcatore può essere dirimente per evitare la catena di infezione. 

 

1+28129[1]

FacexWorm: il malware in diffusione su Facebook Messenger e Chrome

Gli utenti di Google Chrome, Facebook e tutti coloro che utilizzano cirptovalute devono prestare attenzione ad una nuova tipologia di malware chiamata FacexWorm: questo malware è specializzato nel furto di password, nel furto di criptovalute dai fondi delle vittime, nell'esecuzione di script per il mining e per un elevato livello di spam contro gli utenti Facebook. 
 
Il nuovo malware è stato individuato qualche giorno fa e appare collegato a due diverse campagne di spam via Facebook Messenger: parliamo, nel dettaglio, di due massive campagne di spam che hanno avuto luogo rispettivamente in Agosto e Dicembre 2017 e che hanno diffuso il malware Digmine. Digmine installava miner di Monero e estensioni dannose nel browser Chrome delle vittime. I ricercatori concordano nell'affermare che il modus operandi di questa campagna sia molto simile alle due precedentemente citate, con qualche aggiunta tecnica rivolta agli utenti di criptovalute. 
 
Come si diffonde FacexWorm
 

La catena di infezione rimane molto simile alle vecchie campagne e inizia solitamente quanto un utente riceve link attraverso messaggi di spam su Facebook Messenger. Il clic su questo link conduce a una pagina web che imita Youtube: tramite alcuni avvisi questa falsa pagina Youtube prova  a convincere gli utenti a installare una fantomatica estensione collegata a Youtube per Google Chrome.

 
 

Questa estensione ha numerose funzioni dannose, ma la più grave è indubbiamente quella per la quale l'estensione aggiunge del codice al browser degli utenti per rubare le credenziali dai form di login. Questo comportamento però non è attivo su tutti i siti, ma solo sugli account web Google, Coinhive o MyMonero. Le credenziali raccolte vengono quindi inviate ai server controllati dai cyber attaccanti. 
 
Non è finita qui...
In secondo luogo, l'estensione FacexWorm reindirizza automaticamente gli utenti verso una pagina web dove li aspetta una vera e propria truffa per rubare criptovaluta: si chiede infatti agli utenti di inviare una piccola somma di Ethereum per verificare il proprio account. 
 

Infine l'estensione aggiunge uno script per il mining di criptovaluta, caricando le istanze di Coinhive nel browser stesso: l'utente, senza averne nessuna consapevolezza, "presta" così la capacità di calcolo del proprio PC per produrre Monero a vantaggio degli attaccanti. 
 

Produce Monero... e ruba le criptovalute degli altri
Il malware inoltre riesce a cambiare le informazioni sui destinatari delle transazioni di criptovaluta su piattaforme di trading conosciute come Poloniex, HitBTC, Bitfinex, Ethfinex, Binance e Blockchain.info. In sunto riesce a indirizzare il flusso di criptovalute delle vittime verso indirizzi di proprietà dei truffatori stessi. Almeno per questa attività dannosa però i danni sono stati molto limitati, dato che l'estensione dannosa è stata prontamente segnalata. . 
1(1)[1]

GandCrab 2.1: in diffusione un nuovo ransomware tramite email di spam.

Scoperta in the wild, quindi già in diffusione contro utenti reali, una nuova variante del noto ransomware GandCrab. Questo ransomware, ormai alla 2 versione, bersaglia sopratutto paesi anglofoni e scandinavi. 
 
La versione 2.1
Viene diffusa principalmente attraverso email dannose recanti allegati mascherati da documenti PDF legittimi e archiviati entro file compressi in formato .7z. Il nome dell'allegato in questione è diverso da email a email, ma segue comunque uno schema ricorrente: "DOC[numeri casuali]-PDF.7z. 

Solitamente l'oggetto delle email fa riferimento a invio di documenti importanti, ricevute di pagamenti, ordini di vario tipo, ticket e buoni sconto ecc...Una tecnica pensata propri per ingannare l'utente e convincerlo a scaricare l'archivio compresso, estrarne i file contenuti ed eseguirli...
 
Come cripta i file
Se la vittima scarica e decomprime l'allegato, il codice Javascript contenuto crea un eseguibile dannoso che viene salvato nella cartella “%AppData%”: questo eseguibile contiene appunto il codice del ransomware GandCrab. Tra quelli analizzati, uno di questi eseguibili recava come nome “RoamingiqB44.Exe”. 
 
Lo stesso script aggiunge anche la chiave di registro
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
 
Lo script serve a lanciare automaticamente il ransomware all'avvio del computer. A questo punto il ransomware viene eseguito: GandCrab tenta subito di connettersi ad uno dei vari server di Comando e Controllo codificati al suo interno. La criptazione avviene usando l'algoritmo di cifratura RSA, che non altera tutto il file, ma solo una parte, quella sufficiente a rendere inutilizzabile dall'utente. Ogni file viene criptato utilizzando una chiave unica, il che rende molto molto difficile procedere alla decriptazione dei file stessi. 
 
I file che vengono criptati non vengono rinominati, ma il ransomware ne modifica l'estensione in .CRAB. 

 
Quali file cripta...
nel codice GandCrab ospita anche informazioni riguardanti il tipo di file target: GandCrab 2.1 infatti non cripta tutti i file che incontra, ma solo le estensioni file contenute nel suo codice. Ecco sotto l'elenco:

.PNG, .PSD, .PSPIMAGE, .TGA, .THM, .TIF, .TIFF, .YUV, .AI, .EPS, .PS, .SVG, .INDD, .PCT, .PDF, .XLR, .XLS, .XLSX, .ACCDB, .DB, .DBF, .MDB, .PDB, .SQL, .APK, .APP, .BAT, .CGI, .COM, .EXE, .GADGET, .JAR, .PIF, .WSF, .DEM, .GAM, .NES, .ROM, .SAVCADFiles, .DWG, .DXFGISFiles, .GPX, .KML, .KMZ, .ASP, .ASPX, .CER, .CFM, .CSR, .CSS, .HTM, .HTML, .JS, .JSP, .PHP, .RSS, .XHTML.DOC, .DOCX, .LOG, .MSG, .ODT, .PAGES, .RTF, .TEX, .TXT, .WPD, .WPS, .CSV, .DAT, .GED, .KEY, .KEYCHAIN, .PPS, .PPT, .PPTX, .INI, .PRFEncodedFiles, .HQX, .MIM, .UUE, .7Z, .CBR, .DEB, .GZ, .PKG, .RAR, .RPM, .SITX, .TAR.GZ, .ZIP, .ZIPX, .BIN, .CUE, .DMG, .ISO, .MDF, .TOAST, .VCDSDF, .TAR, .TAX2014, .TAX2015, .VCF, .XMLAudioFiles, .AIF, .IFF, .M3U, .M4A, .MID, .MP3, .MPA, .WAV, .WMAVideoFiles, .3G2, .3GP, .ASF, .AVI, .FLV, .M4V, .MOV, .MP4, .MPG, .RM, .SRT, .SWF, .VOB, .WMV3D, .3DM, .3DS, .MAX, .OBJR.BMP, .DDS, .GIF, .JPG, .CRX, .PLUGIN, .FNT, .FON, .OTF, .TTF, .CAB, .CPL, .CUR, .DESKTHEMEPACK, .DLL, .DMP, .DRV, .ICNS, .ICO, .LNK, .SYS, .CFG
 
La nota di riscatto
In ogni cartella contenente file criptati, GandCrab 2.1 memorizza il file di testo " “CRAB-DECRYPT.txt”, contenente appunto la nota di riscatto. 
 
 
I link contenuti nella nota di riscatto rimandano ad un portale Web (vedi sotto) dove è possibile pagare la cifra richiesta (circa 1400 dollari), pagabili in due cripto valute, Bitcoin o DASH. 

 
Pagato il riscatto la vittima dovrebbe ottenere il tool per decifrare i file presi in ostaggio, ma non c'è alcuna assicurazione su questo: consigliamo sempre di non pagare la richiesta di riscatto. 
 
Come ti aiuta Quick Heal?
Quick Heal individua l'eseguibile dannoso come Trojan.Obfuscator e lo blocca, impedendo l'infezione del computer. Ricordiamo comunque di non scaricare mai allegati contenuti in email impreviste, sospette e dal mittente sconosciuto. 
1+28129[1]

L’exploit kit Magnitude sceglie il nuovo ransomware GandCrab

Di GandCrab ne abbiamo già diffusamente parlato (rimandiamo qui alla relativa pagina nella nostra Galleria dei Ransomware): si sta diffondendo in lungo e in largo attraverso campagne di spam talvolta massive talvolta più mirate, schemi di ingegneria sociale e campagne di exploit kit. Qualche giorno fa alcuni ricercatori hanno scoperto che Magnitude EK, exploit kit notoriamente "fedele" alla distribuzione di Magniber (ritenuto il successo di Cerber, assunse appunto il posto di Cerber nella distribuzione di Magnitude EK. Leggi qui), è passato alla distribuzione di GanCrab, abbandonando appunto il ransomware Magniber. Magniber infatti è stato sconfitto pochissimi giorni dopo l'avvio della distribuzione, con la pubblicazione di un tool gratuito per la decriptazione.  
 
La distribuzione di Magnitude EK rimane principalmente localizzata in Corea, ma i ricercatori sono riusciti a infettare una versione inglese di Windows senza troppi intoppi, segno che Magnitude EK può colpire senza alcun problema in larghe parti del mondo. 
 
Magnitude utilizza ora anche una tecnica fileless (cioè senza salvare alcun file nella memoria locale della macchina bersaglio) per caricare il payload del ransomware: una tecnica di elusione dei controlli antivirus ormai piuttosto diffusa ed efficace, dato che rende molto più difficile l'identificazione della minaccia, ma una novità per quanto riguarda questo exploit kit.

Il Payload

Il payload è codificato usando VBScript.Encode/JScript.Encode incorporato in uno script, che viene successivamente decriptato in memoria ed eseguito. Una volta che il payload è stato "iniettato" in explorer.exe tenta immediatamente il riavvio della macchina.

 

Nella foto la libreria .DLL di GandCrab
Riavviata la macchina il ransomware si esegue e cripta i file modificandone l'estensione originale in .CRAB.  

 


Terminata l'infezione, viene mostrata la nota di riscatto. 


Le vulnerabilità attaccate
L'exploit kit Magnitude attacca due vulnerabilità specifiche, la CVE-2018-4878  e la CVE-2016-0189 . La prima è una vulnerabilità che affligge Flash Player, individuata nelle versioni precedenti alla 28.0.0.161: l'exploit di questa vulnerabilità, se ha successo, può comportare la possibilità di esecuzione di codice arbitrario da parte di un attaccante. Tra Gennaio e Febbraio 2018 è stata sfruttata con successo centinaia di volte.

La seconda vulnerabilità invece riguarda Internet Explorer: risiede in JScript 5.8, VBScript 5.7 e 5.8, tutti usati da Internet Explorer 9-11 (ma non solo). Consente all'attaccante l'esecuzione di codice arbitrario da remoto oppure la negazione del servizio (corruzione di memoria).
 
Vedremo in futuro se MagnitudeEK confermerà la nuova accoppiata oppure no: la storia di Magnitude EK però ci indica che questo Exploit kit raramente cambia il ransomware in distribuzione. Ha abbandonato Cerber dopo un lungo periodo di fedeltà, mentre Magniber (risolto, quindi un'arma spuntata) è stato abbandonato dopo 7 mesi di distribuzione. Ricordiamo che, ad oggi, è risolvibile la versione 1 del ransomware GandCrab, riconoscibile dall'estensione di criptazione .GDCB. Non è invece tutt'ora risolvibile la seconda versione, quella in oggetto di questo articolo, che cripta i file .CRAB. 
logHD1

YOTTA WEB - Via Don F. Cabrio 14/D - 13900 Biella (BI)

P.IVA 02552590024 - C.F. SNTSVR77S27A859C - REA BI 194613

Copyright 2017 © YOTTA WEB All Rights Reserved

Privacy Policy