1[1]

CoinMiner usa un nuovo trucco per camuffarsi da Installer di Adobe Flash Player

 

 


E' in corso una nuova, capillare, campagna di diffusione di miner di criptovaluta: il miner in questa campagna viene diffuso tramite un installer fake di Adobe Flash Player. Ora, se questa non è affatto una novità, la particolarità di questa campagna sta nel fatto che fa di tutto per apparire davvero legittima: non si limita infatti ad installare il miner, ma aggiorna anche realmente Flash Player. 
 
Come detto, gli installer di Flash Player con miner non sono affatto nuovi, ma nel passato si limitavano esclusivamente a installare il miner quindi aprire il browser al sito web di Adobe Flash Player. In questa nuova campagna malware, individuata dalla Palo Alto Unit 42, questo trojan che si spaccia per l'installer Flash Player, non solo installa il miner XMRig, ma aggiorna automaticamente la versione di Flash Player installata sul sistema bersaglio. E' il trojan stesso a scaricare l'update legittimo dal sito web di Adobe. 
 

Fonte: bleepingcomputer.com

 

Nei fatti, eseguendo effettivamente l'aggiornamento del programma desiderato, questo trojan rende l'utente molto meno sospettoso e aggiunge ulteriore legittimità. Il punto è che, se anche ora Adobe Flash Player è aggiornato, quel che la vittima non sa è che il coinmainer è stato installato sul sistema ed è stato avviato in background. Questo coinminer si collega ad un pool di mining su xmr-eu1.nanopool.org e inizia ad utilizzare circa il 100% delle risorse della CPU della macchina per estrarre la cripto valuta Monero.
 
Fonte: bleepingcomputer.com
 
Tracciando gli installer
Duncan, facente parte del team che ha scoperto questa campagna, ha evidenziato come in questa campagna l'installer fake di Flash usi un URL contenente "flashplayer_down.php?clickid=", con alcuni download che sono ospitati su istanze Amazon AWS. Insomma, sulla base della quantità di falsi Flash Player rilasciati tra Marzo e Settembre 2018, ha potuto ricostruire una certezza: questa campagna, iniziata appunto a Marzo, ha visto i massimi picchi di distribuzione tra la fine di Luglio e la fine di Settembre 2018.

 

Fonte: bleepingcomputer.com

 

Purtroppo Duncan ha confermato a BleepingComputer che non è stato in grado di individuare i siti web compromessi o fake tramite i quali viene ancora distribuito l'installer fake. Nel dubbio, consigliamo di scaricare o aggiornare Flash Player solo dal sito ufficiale di Adobe e di evitare qualsiasi sito web non ufficiale che metta in download installer o update di Flash. 
1+28129[1]

Nuove tecniche di exploit per bypassare i controlli degli antivirus: campagna in corso in Europa!

 Nuove tecniche di exploit per bypassare i controlli degli antivirus: campagna in corso in Europa!

 

E' in corso attualmente una campagna malware finalizzata alla diffusione dell'info stealer Agent Tesla (e non solo): la particolarità di questa campagna è che i cyber criminali hanno modificato una catena di exploit conosciuti per diffondere il malware senza attivare il rilevamento dei prodotti antivirus comuni.  
 
Il gruppo dietro a questa campagna, attualmente non individuato, ha organizzato una precisa infrastruttura per diffondere più famiglie di malware tramite due exploit pubblici per le vulnerabilità di Microsoft Word CVE-2017-0199 e CVE-2017-11882
 
Secondo gli analisti di Cisco Talos, la campagna è finalizzata alla diffusione di tre differenti payload: Agent Tesla, Loki e Gamarue. Tutti e tre sono capaci di sottrarre informazioni, ma solo Loki non ha funzionalità di accesso remoto.

Che cosa fanno questi malware?

 
  • Agent Tesla è un infostealer, ovvero ruba le informazioni contenute nel sistema infetto ed è commercializzato come utilità legale di keylogging. In realtà le analisi dei ricercatori di Cisco hanno messo in evidenza come questo tool abbia funzioni di furto password per app molto comuni come i borwser web e i clienti di posta più diffusi, gli FTP ecc...
  • Il malware Loki ivnece rientra strettamente nella categoria keylogger, mira direttamente alle password. 
  • Gamarue invece è un track record utile per i gestori di botnet, perchè segnala nuovi possibili bot. E' un worm, quindi si diffonde rapidamente nei sistemi vulnerabili garantendo l'accesso al proprio operatore. Come funzione secondaria, anche Gamarue può rubare informazioni sensibili. 

Il vettore di attacco:
l'attacco inizia con una email contenente un file Word in formato .docx. Questo file include routine per il download e l'apertura di un file RTF che distribuisce il payload finale. E' proprio questo file RTF che passa del tutto inosservato agli antivirus. 
 
Le modifiche per l'evasione dagli antivirus:
i ricercatori sono convinti che le modifiche alla catena di exploit consentano al documento contenente le routine di scaricare i malware passando inosservati alle normali soluzioni antivirus. Questa particolare capacità di invisibilità del payload dipende dalle particolarità del formato RTF, che supporta oggetti integrati via OLE (Object Linking and Embedding) e usa un gran numero di parole di controllo per definire il contenuto che detiene. Aggiungiamo a questo che i parser RTF comuni ignorano, in genere, ciò che non conoscono e si capisce la combinazione perfetta per nascondere il codice di exploit.

In questo caso, la prima difesa e non modificare le impostazioni di Microsoft Word e non fare clic su qualsiasi messaggio sconosciuto, che potrebbe in realtà attivare l'exploit. 
 
L'offuscamento entro la struttura dei file RTF non è l'unico fattore che aiuta questo documento a rimanere invisibile. Un'analisi più profonda ha rivelato che l'attaccante ha modificato i valori dell'header dell'oggetto OLE. Subito dopo l'header ha aggiunto dati che paiono simili a font tag, ma che in realtà sono l'exploit per la vulnerabilità di corruzione della memoria di Microsoft Office CVE-2017-11882.  Per i ricercatori, questa tecnica di attacco è molto pericolosa, sia che le modifiche siano state effettuate manualmente o con un tool specifico.

1[1]

Ransomware Gandcrab: risolvibile la versione 5. Nuova versione in diffusione

 Ransomware Gandcrab: risolvibile la versione 5. Nuova versione in diffusione

 
 
Il ransomware GandCrab sembra essere uno strumento sul quale i cyber criminali stanno investendo. Siamo ormai alla 5° versione in diffusione, senza considerare quelle di test: alcune sono risolvibili, altre no.
 
Versioni
v.1 .GDCB --> risolvibile
v.2 .crab --> non risolvibile
v.3 .crab --> non risolvibile
v.4 .krab --> non risolvibile
v.5  .[4 caratteri casuali] --> risolvibile
 
In caso di infezione da ransomware GandCrab, scriveteci alla mail alessandro@nwkcloud.it inviando due file criptati e la richiesta di riscatto. I nostri tecnici provvederanno ad analisi del tipo di infezione e potranno indicarvi una soluzione, se disponibile. Altrimenti i vostri file verranno "archiviati" e sarete ricontattati quando sarà disponibile un tool di decriptazione. Ulteriori info su www.decryptolocker.it
 
La versione 5 di GandCrab: evoluzione di un ransomware insidioso
Come si sa, il Ransomware GandCrab ha fatto la sua comparsa nel Gennaio di quest'anno, poi ha subito una serie rapida e ravvicinata di aggiornamenti, fino alla versione 5.0.2 apparsa lo scorso mese. Ad oggi è in diffusione la versione 5.0.3.
 
La versione 5 è stata annunciata il 27 Settembre. Il team dietro a GandCrab ha confermato, per questa versione, lo stesso metodo di distribuzione delle precedenti: per ottenere il ransomware esiste un programma di affiliazione vero e proprio, riservato a soci e nuovi aderenti al progetto, secondo lo schema di estorsione per il quale si opta per la diffusione su larga scala, più che su attacchi mirati. La prospettiva di guadagnare attira infatti molti nuovi affiliati, ma ha anche permesso agli autori di GandCrab di stringere nuove alleanze, rafforzando sia le reti di fornitura sia quelle di distribuzione del malware. Già dalla versione 4 si poteva evincere una di queste alleanze: GandCrab 4 è stato infatti distribuito tramite un exploit kit nuovo, Fallout, evidentemente portato in dote da un altro gurppo. La versione 5 ha confermato la tendenza, dato che lo strumento di diffusione è l'evoluzione del precedente exploit kit, FalloutEK.

Il lancio della versione 5

Ma non finisce qui, dato che il team di GandCrab ora ha nuovi alleati: stiamo parlando del servizio di malware di criptazione NTCrypt. NTCrypt si occupa di una sola mission: offuscare il codice dei malware per consentire loro di evadere le misure di sicurezza degli antivirus. L'alleanza nasce addirittura da quella che potremmo definire una competizione: il team di GandCrab ha lanciato, su alcuni forum del dark web, una "crypt competition" e la crew di NTCrypt ne è risultata vincitrice. 
 
 
Come si diffonde?
La versione 5 di GandCrab usa svariati meccanismi per infettare i sistemi. Il diagramma sottostante illustra il comportamento del ransomware. 
 
Fonte: bleepingcomputer.com

Vettori di diffusione...
tra gli strumenti di diffusione troviamo:
 
  1. Connessioni Remote desktop con password deboli o in vendita nel drak web.
  2. Email di phishing con link o allegati.
  3. Software legittimi "trojanizzati" contenenti il malware, che lo eseguono una volta lanciati.
  4. Exploit kit come Fallout e Rig. 
  5. Botnet come Phorpiex (una vecchia botnet usata sia per diffondere malware che campagne di spam/phishing).
  6. Script Powershell. 
Le versioni.. della versione 5
Questa versione ha due diverse distribuzioni: la prima funziona solo su Windows 7 e successivi a causa di un grosso errore nei tempi di compilazione, la seconda funziona su tutte le versioni più recenti e utilizzate di Windows. Entrambe sono comunque dotate di exploit che tentano di ottenere i privilegi di amministrazionedella macchina.
 
  • Versione 5.0.1 --> risolve solo alcuni bug interni, ma non ci sono modifiche di rilievo.
  • Versione 5.0.2 --> in questa versione l'estensione di criptazione viene modificata in una riga di 5-10 caratteri random. Vengono risolti ulteriori problemi interni.
  • Versione 5.0.3, l'ultima --> si basa sull'ultima versione del ransomware (la 5.0.2, diffusa il 4 ottobre) sebbene alcuni elementi siano comuni anche con versioni precedenti. Con questa versione GandCrab utilizza ben due exploit per tentare di elevare i privilegi nel sistema. Il primo excploit verifica e il sistema operativo in esecuzione sia a 32 o a 64 bit.
logHD1

YOTTA WEB - Via Don F. Cabrio 14/D - 13900 Biella (BI)

P.IVA 02552590024 - C.F. SNTSVR77S27A859C - REA BI 194613

Copyright 2017 © YOTTA WEB All Rights Reserved

Privacy Policy