1(1)(1)[1]

In estate impennata dei virus che rubano i dati bancari

In estate impennata dei virus che rubano i dati bancari


L'estate, complice anche la scarsa attenzione degli utenti in vacanza, è indubbiamente uno dei periodi dell'anno preferiti dai cyber criminali. Nelle ultime settimane, come di consueto, si è registrata una vera e propria impennata dei cosiddetti trojan bancari (quei malware che hanno come scopo il sottrarre dati sensibili per rubare denaro/effettuare transazioni approfittando degli account di online banking, delle carte di credito/debito ecc... delle vittime). 
 
In questa ondata di attacchi informatici si è distinto sopratutto, per quanto riguarda l'Italia, il malware Dorkbot, diffuso anche a livello mondiale. Oltre a Dorkbot, anche Emotet e Ramnit stanno colpendo utenti italiani. Al primo posto dei malware più diffusi in questo periodo troviamo però Coinhive, un servizio in teoria legittimo, ma usato illegittimamente in maniera assai copiosa per sfruttare il potenziale di calcolo dei dispositivi infetti per estrarre criptovaluta: Coinhive ha colpito o ha avuto impatto sul 17% circa delle imprese locali. 
 
Una piccola panoramica delle minacce più diffuse questa estate
 
1. Dorkbot
Dorkbot ha funzionalità di backdoor: consente cioè ad un attaccante da remoto di "aprirsi un varco" e lasciarlo aperto nel sistema infetto. Una vera e propria "porta sul retro" che consente all'attaccante di poter eseguire svariate attività dannose senza che l'utente ne sia consapevole o debba concedere alcuna permissione. Tra le azioni solitamente messe in campo da questo malware troviamo:
  • download ed esecuzione di file dannosi da URL specifici sotto il controllo dell'attaccante;
  • furto di informazioni di login (password, username, pin ecc...)attraverso intercettazione di email, traffico su Internet Explorer o Firefox, FTP;
  • blocco e redirect di/da specifici domini e siti web, sopratutto quelli di sicurezza. 
 
2. Emotet
E' un malware contraddistinto dall'uso massiccio di tecniche di offuscamento (ovvero modi di "sporcare il codice" rendendo difficile agli antivirus l'individuare la minaccia). E' un trojan bancario che sottrae le informazioni sensibili per accedere ai conti online intercettando il traffico di rete. Ha anche la capacità di scaricare ed eseguire ulteriori malware. Viene solitamente diffuso via email, con allegati dannosi oppure siti web compromessi. 
 
Leggi anche > 
 
3. CoinHive
CoinHive è un servizio per il mining di criptovaluta tramite borwser. Consente di estrarre Monero, una delle più diffuse criptovalute. E' un codice Javascript che viene inserito in una pagina web: da quel momento qualsiasi utente che si connetta a quella pagina "presta" la capacità di calcolo della propria CPU all'attaccante, che ci guadagna estraendo cripto valuta. Ha moltissimi effetti collaterali, primo tra tutti un sovrautilizzo della CPU che determina quasi sempre surriscaldamento della componente hardware del pc con rischio deterioramento della macchina. Nasce originariamente con servizio legittimo che i proprietari di siti web potevano inserire nei propri siti per profitto al posto delle invadenti e fastidiose pubblicità. E' poi, nei fatti, diventato uno strumento illegittimo, dato che quasi sempre viene usato senza che l'utente ne sia al corrente. 
 
E' un trojan bancario molto particolare dato che è un trojan bancario a tutti gli effetti il quale, però, nel caso se ne tenti la rimozione, diviene un ransomware. Lokibot mostra all'utente false schermate di login nelle finestre delle app bancarie più popolari: se un utente inserisce le credenziali in queste finestre fake semplicemente consegna le chiavi del proprio account bancario/finanziario nelle mani degli attaccanti. In realtà le versioni più recenti mirano a sottrarre anche le credenziali di social e app famose come Skype, Outlook e Whatsapp. Il furto dei dati avviene installando un proxy SOCK5 che reindirizza il traffico in uscita.  
 
Come ransomware invece, una volta ottenuti i privilegi di amministrazione,cripta i file e blocca lo schermo del dispositivo. C'è però un difetto nella routine di criptazione: i file non finiscono criptati e questa è la buona notizia. La cattiva è che il telefono finirà comunque bloccato perché lo screenlocker invece funziona a dovere. 
 
Come ti protegge Quick Heal?
Quick Heal è dotato di moltissime funzioni utili contro questo tipo di minaccia. Eccone alcune:

FunzioneDescrizione
Safe BakingProtegge le transazioni bancarie online bloccando l'accesso a siti web fraudolenti e programmi non sicuri che potrebbero rubare informazioni finanziarie. Questa funzionalità fornisce un desktop sicuro dal quale effettuare transazioni finanziarie, shopping e attività di e-commerce in tutta sicurezza, proteggendo da eventuali minacce
Sicurezza WebQuesta funzione basata sul cloud riduce in tempo reale l'accesso a malware dannosi, siti web fraudolenti e di pishing. Previene minacce trasferibili attraverso siti web infetti mentre si naviga su internet
Sicurezza EmailPreviene la ricezione di spam, pishing e email infette utilizzando una modalità di protezione basata su cloud per individuare file sospetti infetti da malware ancora prima che arrivino alla casella di posta.
Anti KeyloggerLa tastiera virtuale è un meccanismo di difesa per evitare che le vostre informazioni riservate vengano monitorate o registrate da programmi dannosi come spyware e keylogger. Come suggerisce il nome, questa funzione consente di digitare senza utilizzare una tastiera fisica.
Anti RansomwareL'antivirus Quick Heal è dotato di una serie di strumenti utili contro i ransomware, virus che criptano i dati e chiedono un riscatto per rimetterli in chiaro. Dalla scansione proattiva dei download, alla funzione di antispam fino al Sistema di individuazione comportamentale, che individua i file dannosi in base alle operazioni che svolgono entro il sistema.


Leggi tutte le news     |     Leggi tutti gli update
1+28129+28129[1]

Il ransomware Hermes distribuito con allegati Word dannosi


E' stata individuata una campagna di email dannose contenenti allegati Word infetti: l'apertura del Word infetto comporta l'infezione della macchina da parte del ransomware Hermes. La versione in diffusione è nuova, o almeno presenta una modalità di diffusione diversa rispetto a Hermes V.1.0, che si diffondeva via exploit kit sfruttando la vulnerabilità 0-day di Adobe Flash CVE-2018-4878.
 
Le email vettore
Come riportato da un ricercatore indipendente, le email provengono da indirizzi collegati al dominio anjanabro.com e contengono un allegato Word protetto da password. Il testo è impostato per "interessare" le aziende: l'emailo infatti sembra provenire da una persona in cerca di lavoro che allega il proprio Curriculum Vitae, il .doc appunto. 
 



Fonte: https://isc.sans.edu/
 
Una volta scaricato l'allegato, viene richiesta una password per visualizzare il contenuto: la password, "321", è contenuta nel testo stesso dell'email. Inserita la password viene richiesta l'attivazione della macro. 
 
Fonte: https://isc.sans.edu/

Come infetta il pc...
L'abilitazione della macro comporta l'esecuzione del codice malevolo interno al documento: avverrà la connessione ad un server remoto sotto controllo degli attaccanti dal quale verrà scaricato direttamente sul computer l'eseguibile del ransomware, chiamato "green.exe": molto probabilmente stiamo parlando della versione 2.1 del ransomware Hermes. Oltre a ciò non verrà generato altro traffico post infezione. 
 
Fonte: https://isc.sans.edu/
 
Come cripta i file
Hermes 2.1 non è particolarmente sofisticato: utilizza algoritmi di criptazione AES per criptare i file e algoritmi RSA per proteggere la chiave di criptazione. I file criptati però non vengono rinominati ne subiscono modifiche all'estensione originaria. 
 
Fonte: https://isc.sans.edu/

Finita la fase di criptazione, in ogni cartella con file criptati viene copiata la nota di riscatto, in formato HTML, rinominata in “DECRYPT_INFORMATION.html”. 
 
Fonte: https://isc.sans.edu/

Indicatori di compromissione
Email di contatto:
Primaria: decryptsupport@protonmail.com
Secondaria: decryptsupport1@cock.li
logHD1

YOTTA WEB - Via Don F. Cabrio 14/D - 13900 Biella (BI)

P.IVA 02552590024 - C.F. SNTSVR77S27A859C - REA BI 194613

Copyright 2017 © YOTTA WEB All Rights Reserved

Privacy Policy