1(1)[1]

Instagram ha esposto accidentalmente le password di alcuni utenti

Instagram ha esposto accidentalmente le password di alcuni utenti


 

 
Instagram ha recentemente risolto una problematica di sicurezza nel proprio sito web per la quale le password di alcuni utenti sono finite esposte nel web. Ha inviato quindi una serie di notifiche a utenti riguardati da questo bug, che risiede nella funzione chiamata "Scarica i tuoi dati": è una nuova funzione offerta dal social che consente agli utenti di scaricare una copia dei dati condivisi sulla piattaforma, inclusi foto, commenti, post e altre informazioni condivise. Per impedire che utenti non autorizzati possano avere accesso a questi dati, la funzione chiede la riconferma della password prima di avviare il download dei dati. Tuttavia, stando all'avviso diramato da Instagram, le password in chiaro di alcuni utenti che hanno usato tale funzione sono finiti incluse nell'URl e memorizzate anche sui server di Facebook: la causa è appunto il bug di sicurezza scoperto entro Instagram. 
 
L'azienda ha specificato di aver rimosso i dati salvati sui server di proprietà di Facebook (che è la casa madre di Instagram) e ha annunciato di aver aggiornato la funzione "Scarica i tuoi dati", risolvendo la problematica di sicurezza. La funzione "Scarica i tuoi dati" è stata implementata da Instagram in Aprile, per conformarsi alle nuove direttive del regolamento Europeo sulla protezione dei dati (GDPR), ma anche per rassicurare gli utenti dopo lo scandalo Facebook&Cambridge Analytica. 

Che cosa fare?
Consigliamo a tutti gli utenti riguardati da tale bug di cambiare prima possibile la password del proprio account e di svuotare la cronologia/cookie del browser. Gli utenti che invece non hanno ricevuto notifiche da Instagram non dovrebbero essere stati riguardati dal bug: un cambio password è comunque consigliabile per garantire la sicurezza del proprio account. 
 
Consigliamo inoltre a tutti gli utenti di abilitare l'autenticazione a due fattori (2FA) e di usare password forti, ma diverse per ogni account.
 
Gli ultimi eventi simili...
Facebook sta attraversando un travagliatissimo periodo, se guardiamo gli eventi sotto la lente della privacy e sicurezza dati. Qualche settimana fa (ne abbiamo parlato qui) è stato affrontato un bug ben più grave nella funzione "Visualizza come", che è stato sfruttato da cyber attaccanti consentendo loro di rubare i token di accesso di oltre 30 milioni di utenti Facebook. Alla fine di Agosto Instagram aveva affrontato un grave errore nella sua API: un bug sfruttato da attaccanti sconosciuti e che ha garantito loro di mettere le mani su numeri di telefono ed indirizzi email di molto utenti di "altro profilo" con account verificati. Nello stesso mese sempre Instagram è finito sotto attacco nell'ambito di una campagna di hacking che ha misteriosamente "espulso" centinaia di utenti dai propri account a seguito di modifica del nome account, dell'indirizzo email collegato, dell'immagine di profilo e della password. 
1[1]

Trojan bancari: è in corso una campagna di diffusione di Emotet

Trojan bancari: è in corso una campagna di diffusione di Emotet


 

 
Emotet è un trojan bancario famoso per avere una struttura a moduli, un sistema di diffusione più da wormche da malware e una lunga serie di "trucchetti" per garantirsi la persistenza sul sistema. E' una vecchia conoscenza, diffuso solitamente tramite campagne di spam che sfruttano l'ingegneria sociale per rendere credibili i propri messaggi per ingannare le vittime. Talvolta "non arriva da solo", nel senso che funge anche da downloader di altri malware secondari. E' ritenuto un malware molto pericoloso, al punta da essere stato oggetto di un avviso di sicurezza mirato, nel Luglio 2018, da parte del CERT statunitense. 
 
La campagna di diffusione
L'ultima campagna risulta avviata il 5 Novembre di quest'anno, dopo un lungo periodo di attività quasi inesistente (al punto che qualche ricercatore aveva azzardato l'ipotesi che Emotet fosse stato abbandonato).  Ad oggi la campagna sembra concentrarsi sul continente americano, nel Regno Unito, in Turchia e in Sud Africa, ma si registrano infezioni anche in altri stati Europei, con la Germania al secondo posto dopo il Regno Unito per numero di infezioni. Le infezioni in Italia per ora sono pochissime, ma nulla impedirebbe agli attori dietro Emotet di puntare il mirino anche sul nostro Paese. 
 
Come viene diffuso Emotet?
Emotet in questa campagna usa allegati dannosi Word o PDF camuffati per notifiche di pagamento, fatture, avvisi urgenti riguardanti conti bancari ecc... tutti apparentemente provenienti da aziende o enti legittimi e realmente esistenti. Più raramente queste email contengono collegamento a file remoti dannosi. Stando ai contenuti delle email, gli utenti target sembrano essere quelli di lingua inglese e tedesca. 
 
 
Come infetta i pc?
Se la vittima apre il file Word o PDF collegato alla email seguendo le istruzioni ricevute, attiva la macro dannosa. A questo punto viene installato ed eseguito il payload di Emotet, che, dopo essersi garantito la persistenza sul sistema infetto, comunica al server C&C il successo dell'infezione: il server C&C risponde con ulteriori comandi, tra i quali nuovi moduli da implementare e payload secondari da scaricare sul sistema. 

Ogni modulo aggiuntivo aumenta le funzionalità di Emotet, ne rende più efficace la diffusione nella rete e la capacità di furto di informazioni e lo abilita alla ricerca di porte aperte per propagare ulteriormente l'infezione. 

 

1[1]

In diffusione una nuova versione del famigerato trojan bancario Trickbot

In diffusione una nuova versione del famigerato trojan bancario Trickbot

 

E' stata individuata una nuova versione, molto particolare, di TrickBot, noto trojan bancario: questa versione infatti, oltre ovviamente a prendere di mira le credenziali bancarie/finanziarie della vittima, cerca anche i dati riguardanti l'affidabilità del sistema Windows e le informazioni sulle prestazioni. Microsoft infatti esegue un RAC (Reliability Analysis Component) sui sistemi operativi Windows per fornire informazioni sull'affidabilità del sistema enumerando dettagli riguardo le installazioni software, gli aggiornamenti, gli errori del sistema operativo e delle applicazioni, nonché i problemi hardware. 
 
Per tale scopo TrickBot usa le operazioni pianificate di RACagent su base oraria e scarica tutti i dati in una cartella locale. E' possibile disabilitare l'utilità di Pianificazione, ma non si otterrà più l'indice di stabilità del sistema.
 
La diffusione di Trickbot
 
Trickbot è attualmente in diffusione tramite una campagna di phishing evidentemente finalizzata a raccogliere più informazioni possibili dai sistemi operativi infetti, catturando i dati sia dal database di affidabilità del sistema operativo sia da C: \ ProgramData \ Microsoft \ RAC \.
 
Sotto un elenco dei file che il malware solitamente esporta (dal profilo Twitter del ricercatore di sicurezza James)


Le email fake
Questa campagna diffonde Trickbot con messaggi apparentemente provenienti dalla importante e riconosciuta Lloyds Bank, per la maggior parte inviate dall'indirizzo email fake donotreply@lloydsbankdocs.com, facilmente confondibile con una email genuina della banca. I cyber attaccanti hanno fatto molti sforzi per far apparire credibili le email fake: devono infatti creare un certo senso di urgenza nella vittime e indurle ad abilitare una macro dannosa incorporata nel documento allegato alla mail stessa. 

Il codice di TrickBot è contenuto proprio nella macro dannosa la quale, se abilitata, scarica ed esegue il malware.



Il documento Word allegato all'email include perfino la carta intestata di Lloyds Bank. Oltre a ciò i cyber criminali hanno aggiunto il logo di Symantec per far sembrare che il file abbia superato una qualche verifica di sicurezza da parte della popolare soluzione antivirus.


La nota positiva...
nonostante tutti gli sforzi dei cyber criminali per camuffare la macro dannosa e rendere credibile l'email, il file in questione viene individuato da circa 30 motori antivirus su VirusTotal.
1[1]

Attacco su larga scala in Italia: colpite 500.000 caselle di posta PEC

Nuovo ransomware in diffusione: cripta l'intero hard-disk con Diskcryptor

 
Il 12 Novembre si è verificata una interruzione del servizio che aveva interessato alcuni tribunali e altri enti della Pubblica Amministrazione. Un incidente piuttosto comune, che non ha sollevato troppa attenzione. Fino a quando Roberto Baldoni, Vicedirettore Generale responsabile del settore Cyber del DIS (Dipartimento delle Informazioni per la Sicurezza) non ha tracciato un bilancio ben diverso e allarmante dell'evento. L'attacco infatti ha preso di mira in maniera diretta un fornitore dei servizi di Posta Elettronica Certificata, la famosa PEC non limitandosi a provocare il blocco e quindi il down dei sistemi, ma sottraendo perfino le credenziali di accesso a oltre 500.000 caselle di posta
 
Tra le vittime del cyber attacco si registrano soggetti "altamente sensibili"98.000 account tra quelli violati appartengono a magistrati, militari e funzionari del Comitato Interministeriale per la sicurezza della Repubblica. Parliamo, per intendersi, di un organo che comprende i Ministeri della Giustizia, degli Interni, dell'Economia e dello Sviluppo Economico, la Presidenza del consiglio dei Ministri, della Difesa. i più colpiti sono comunque stati i tribunali, che hanno dovuto interrompere le proprie attività per il down dei sistemi di comunicazione dei vari distretti della Corte d'Appello disseminati nell'intero territorio nazionale. 
 
Quali rischi?
Due fondamentalmente sono i rischi, piuttosto gravi, conseguenti a questo attacco. Il primo è ovviamente legato alla sicurezza nazionale: basti pensare a quante informazioni riservate e sensibili possono essere state riscontrate nelle caselle di posta violate. Il secondo invece è il furto di account: non è dato sapere infatti se i cyber criminali possano aver o meno usato gli account violati per inviare email impersonando pubblici ufficiali. Ultimo rischio, anche questo non da poco, è che le caselle di posta elettronica certificata che sono state violate possano essere rivendute. 
 
L'attacco...
E' stato Baldoni stesso a fornire, in conferenza stampa, ulteriori dati riguardanti l'attacco. Ha riferito ad esempio che l'attacco pare provenire dall'Estero, che ha colpito un unico fornitore di servizi Pec e che non ha provocato ulteriori perdite di dati. 3000 sono stati però i domini coinvolti. Non ha invece voluto citare l'operatore coinvolto: è emerso successivamente che potrebbe trattarsi del  centro dati Telecom di Pomezia. Stretto riserbo invece sul tipo di sistema operativo violato ne tanto meno sulle misure di sicurezza eluse/evase dai cyber criminali nel corso dell'attacco. 
 
Infrastrutture sicure?
Il vero problema dell'intera questione è che l'episodio è stato definitivo allarmante dallo stesso DIS, dato che l'attacco ha interessato infrastrutture che erano considerate sicure. Il premier Conte è intervenuto in prima persona convocando una riunione tecnica del Comitato Interministeriale per la Sicurezza della Repubblica, che ha creato un gruppo ad hoc per studiare un piano di resilienza (ovvero la capacità dei servizi pubblici e privati di ripartire dopo un cyber attacco) per il paese. L'indicazione è anche quella di dotare di specifiche misure di sicurezza la Pubblica Amministrazione e gli operatori economici di servizi essenziali.

Cambiate le password!!

Il consiglio migliore per chiunque, ad oggi, sia in possesso di un account di Posta Elettronica Certificata e l'immediato cambio della password.
 
E' stato individuato un nuovo ransomware che installa DiskCryptor sul computer infetto, quindi riavvia il sistema. Al riavvio, le vittime visualizzano una nota di riscatto personalizzata che spiega che l'hard disk è stato criptato e che, per ottenere i file di nuovo in chiaro, occorre pagare un riscatto: seguono istruzioni su come effettuare il pagamento. DiskCyrptor è un programma per la criptazione che cripta l'intero disco, quindi visualizza un prompt agli utenti chiedendo una password per il reboot. Questo prompt di inserimento password viene visualizzato prima dell'avvio di Windows, quindi l'utente deve necessariamente inserire la password per decriptare il disco e avviare il normale processo di boot del sistema. 
Individuato dal MalwareHunterteam, questo ransomware viene eseguito manualmente o richiamato tramite alcuni script, dato che richiede un argomento da passare al programma, da usare come password per DiskCryptor. Si sospetta che l'infezione sia diffusa manualmente, tramite hacking dei servizi di desktop remoto: ottenuto l'accesso al sistema tramite RDP, il ransomware viene installato manualmente. 
 

Durante il processo di installazione, viene creato un file log su C:\Users\Public\myLog.txt: qui è possibile vedere l'andamento del processo di criptazione.
 
 
Una volta che l'intero drive è stato criptato, il computer viene riavviato e l'utente vittima visualizza la nota di riscatto: qui si trovano istruzioni per il pagamento e una email di contatto mcrypt2018@iandex.com. Nella schermata viene richiesta la password per il processo di decriptazione. 
 
 
DiskCryptor è già stato usato da altri ransomware...
Non è la prima volta ch Diskcryptor viene usato con un ransomware. nel 2016 fu usato in una infezione ransomware chiamata HDDCryptor: anche in questyo caso era usata una nota di riscatto personalizzata che veniva mostrata all'utente al termine del processo di criptazione del disco. Non vi sono però legami evidenti tra l'infezione attuale e quella di HDDCryptor. 
 
Nel Novembre del 2016 avviene invece il caso più grave e notorio: 2.122 computer, appartenenti ai sistemio della San Francisco Municipal Railway vengono colpiti dal ransomware HDDCryptor. L'attacco causò lo shut down del sistema di pagamento dei biglietti e degli abbonamenti e costrinse l'azienda municipale a concedere l'uso gratuito dei trasporti cittadini per un intero fine settimana. 
 
Come stare al sicuro dai ransomware
La regola d'oro contro i ransomware è che, se di dispone di un backup sicuro dei dati, i ransomware non provocano danni: in caso di emergenza è possibile recuperare e ripristinare i dati grazie al backup.  Oltre a ciò, è molto importante assicurarsi che i servizi RDP siano correttamente chiusi: è un'ottima misura di sicurezza quella di assicurarsi che pc che eseguono servizi di desktop remoto non siano connessi direttamente ad Internet. Se è necessario eseguire il desktop remoto, l'opzione migliore è quella di dotarsi di una VPN, così i pc saranno accessibili solo a coloro che dispongono di account VPN sulla tua rete. 
 
Ulteriori suggerimenti...
 
  1. Non aprire allegati provenienti da fonti sconosciute o sospette;
  2. esegui la scansione di allegati sospetti con tool come VirusTotal;
  3. assicurati di aver aggiornato tutti i software in uso all'ultimo update: questo consiglio vale per il sistema operativo, come per tutti gli altri programmi in uso sul computer, sopratutto Java, Flash e Adobe Reader. Programmi obsoleti o non aggiornati possono contenere falle di sicurezza sfruttabili da un attaccante come porta di accesso al tuo computer;
  4. installa un antivirus solido e capace di offrire protezione multi-livello. Prediligi soluzioni antivirus che prevedano appositi tool anti ransomware;
  5. se utilizzi i servizi di desktop remoto, non connetterli mai direttamente ad Internet. Rendili invece accessibili solo tramite VPN. 
1[1]

Nuovo ransomware in diffusione: cripta l’intero hard-disk con Diskcryptor

Nuovo ransomware in diffusione: cripta l'intero hard-disk con Diskcryptor

 
 
E' stato individuato un nuovo ransomware che installa DiskCryptor sul computer infetto, quindi riavvia il sistema. Al riavvio, le vittime visualizzano una nota di riscatto personalizzata che spiega che l'hard disk è stato criptato e che, per ottenere i file di nuovo in chiaro, occorre pagare un riscatto: seguono istruzioni su come effettuare il pagamento. DiskCyrptor è un programma per la criptazione che cripta l'intero disco, quindi visualizza un prompt agli utenti chiedendo una password per il reboot. Questo prompt di inserimento password viene visualizzato prima dell'avvio di Windows, quindi l'utente deve necessariamente inserire la password per decriptare il disco e avviare il normale processo di boot del sistema. 

Individuato dal MalwareHunterteam, questo ransomware viene eseguito manualmente o richiamato tramite alcuni script, dato che richiede un argomento da passare al programma, da usare come password per DiskCryptor. Si sospetta che l'infezione sia diffusa manualmente, tramite hacking dei servizi di desktop remoto: ottenuto l'accesso al sistema tramite RDP, il ransomware viene installato manualmente. 
 

Durante il processo di installazione, viene creato un file log su C:\Users\Public\myLog.txt: qui è possibile vedere l'andamento del processo di criptazione.
 
 
Una volta che l'intero drive è stato criptato, il computer viene riavviato e l'utente vittima visualizza la nota di riscatto: qui si trovano istruzioni per il pagamento e una email di contatto mcrypt2018@iandex.com. Nella schermata viene richiesta la password per il processo di decriptazione. 
 
 
DiskCryptor è già stato usato da altri ransomware...
Non è la prima volta ch Diskcryptor viene usato con un ransomware. nel 2016 fu usato in una infezione ransomware chiamata HDDCryptor: anche in questyo caso era usata una nota di riscatto personalizzata che veniva mostrata all'utente al termine del processo di criptazione del disco. Non vi sono però legami evidenti tra l'infezione attuale e quella di HDDCryptor. 
 
Nel Novembre del 2016 avviene invece il caso più grave e notorio: 2.122 computer, appartenenti ai sistemio della San Francisco Municipal Railway vengono colpiti dal ransomware HDDCryptor. L'attacco causò lo shut down del sistema di pagamento dei biglietti e degli abbonamenti e costrinse l'azienda municipale a concedere l'uso gratuito dei trasporti cittadini per un intero fine settimana. 
 
Come stare al sicuro dai ransomware
La regola d'oro contro i ransomware è che, se di dispone di un backup sicuro dei dati, i ransomware non provocano danni: in caso di emergenza è possibile recuperare e ripristinare i dati grazie al backup.  Oltre a ciò, è molto importante assicurarsi che i servizi RDP siano correttamente chiusi: è un'ottima misura di sicurezza quella di assicurarsi che pc che eseguono servizi di desktop remoto non siano connessi direttamente ad Internet. Se è necessario eseguire il desktop remoto, l'opzione migliore è quella di dotarsi di una VPN, così i pc saranno accessibili solo a coloro che dispongono di account VPN sulla tua rete. 
 
Ulteriori suggerimenti...
 
  1. Non aprire allegati provenienti da fonti sconosciute o sospette;
  2. esegui la scansione di allegati sospetti con tool come VirusTotal;
  3. assicurati di aver aggiornato tutti i software in uso all'ultimo update: questo consiglio vale per il sistema operativo, come per tutti gli altri programmi in uso sul computer, sopratutto Java, Flash e Adobe Reader. Programmi obsoleti o non aggiornati possono contenere falle di sicurezza sfruttabili da un attaccante come porta di accesso al tuo computer;
  4. installa un antivirus solido e capace di offrire protezione multi-livello. Prediligi soluzioni antivirus che prevedano appositi tool anti ransomware;
  5. se utilizzi i servizi di desktop remoto, non connetterli mai direttamente ad Internet. Rendili invece accessibili solo tramite VPN. 
1[1]

HookADS installa malware: attenzione alle pubblicità ingannevoli sul web!

HookADS installa malware: attenzione alle pubblicità ingannevoli sul web!


 

 
E' attualmente in corso una capillare campagna di malvertising finalizzata a reindirizzare i visitatori verso siti web contenenti l'exploit kit Fallout.
 
Malvertising?
Partiamo dalle basi: la parola malvertising si compone di due "pezzi", ovvero "malicious", cioè dannoso", e "advertising" ovvero pubblicità. In breve, si intende un tipo di pubblicità ingannevole che serve in realtà a diffondere malware. Solitamente i cyber criminali infettano con malware di vario tipo pubblicità legittime e le inseriscono poi in siti web più o meno legittimi o conosciuti. Solitamente gli utenti cliccano, ingannati, sull'annuncio e vengono infettati con malware e trojan. 
 
Exploit kit?
Per exploit kit si intende invece una serie di software che servono a sfruttare vulnerabilità contenuti nei software o nel sistema operativo in uso su un dispositivo/computer al fine di ottenere l'accesso al sistema stesso o per installare malware. 
 
HookAds
Una volta che l'utente ha cliccato sulla pubblicità compromessa e attivato l'exploit kit, questo tenterà di sfruttare una serie di vulnerabilità già note di Windows per ottenere l'accesso al sistema della vittima per poi tentare di installare una serie di malware, dal trojan bancario Dana all'infostealer Nocturnal (pensato per rubare dati sensibili e credenziali), fino al ransomware GlobeImposter. 
 
HookAds è una campagna che acquista spazi pubblicitari a basso costo su reti pubblicitarie di bassa qualità, comunemente usate su siti web per adulti, per giochi online ecc... Questi annunci contengono un javascript responsabile del reindirizzamento del visitatore attraverso una serie di siti di richiamo fino a quella contenente l'exploit: l'utente non si accorgerà neppure, mentre visita la pagina dannosa, che l'exploit kit sarà attivo e tenterà silenziosamente di installare il payload dei malware. 
 
Le due campagne
Ad oggi sono state individuate ben due campagne: la prima, in corso l'8 Novembre, ha distribuito in svariate nazioni il trojan per il furto di credenziali bancarie DanaBot. L'altra invece è stata individuata il 10 Novembre e diffondeva il "rubainfo" Nocturnal e il ransomware GlobeImposter. 
 
 
Nella foto i reindirizzamenti dalla campagna HookAds.
1[1]

Siti WordPress sotto attacco: i bug in un plugin per il GDPR

Siti WordPress sotto attacco: i bug in un plugin per il GDPR

 
 
La vicenda è stata segnalata da moltissimi utenti e attraverso una serie di report sui forum ufficiali di WordPress: cyber attaccanti stanno sfruttando un bug presente in un plugin, piuttosto diffuso, per la compliance al GDPR. Il plugin in questione si chiama WP GDPR Compliance ed è un componente aggiuntivo che dovrebbe aiutare gli admin dei siti Internet a rispettare le norme che il nuovo Regolamento Europeo prevede in difesa della privacy e dei dati. Il problema è che questo plugin ha dei bug sfruttando i quali è possibile modificare le impostazioni del sito da remoto fino a prenderne il controllo. 
 
WordFence ha pubblicato un apposito report su questa problematica nel quale si specifica che le vulnerabilità sfruttate dai cyber criminali in questi giorni sono in realtà due: se sfruttate con successo concedono di creare un account amministratore o installare backdoor sui siti dove è presente il plugin in questione. 
 
Il primo exploit: creare l'account admin
 
La creazione dell'account di amministrazione avviene prima disabilitando la registrazione dell'utente quindi impostando l'utente di default nel ruolo di "subscriber". Questo accorgimento serve, in parte, anche a impedire che altri attaccanti possano creare il proprio account di amministrazione, ma anche a ridurre la probabilità che il reale amministratore del sito possa accorgersi della violazione. Insomma, l'attaccante, una volta entrato nel sito, si chiude così la porta alle spalle.
 
Diverse ore dopo la creazione del nuovo utente, l'attaccante esegue il login nel nuovo account admin e inizia l'installazione di una ulteriore backdoor. Nel caso in esame da parte di WordFence, gli attaccanti hanno caricato una robusta webshell PHP nel file wp-cache.php. L'immagine sotto è uno screenshot dell'interfaccia utente. 
 
 
Va detto che, ottenuto un tale livello di accesso al sito, nulla può impedire all'attaccante di installare ulteriori malware. 
 
Il secondo exploit: installare la backdoor
Il secondo exploit è ben più difficile da identificare. Gli attaccanti in questo caso stanno installando backdoor inserendo azioni dannose nella pianificazione WP-cron del sito bersaglio: la backdoor installata è persistente, dato che si auto-sostituisce nel caso venga rimossa. In questo caso però viene sfruttato il popolare plugin di Wordpress WooCommerce. 
 
Il plugin WP GDPR Compliance
Il plugin è stato, in un primo momento, rimosso dalle pagine ufficiali di WordPress, ma è stato in seguito ripristinato: la versione rilasciata dopo qualche giorno è una versione aggiornata (1.4.3) che risolve i bug di cui sopra. Il problema è che sono ancora oltissimi i siti che utilizzano la versione vulnerabile del plugin e anche i tempi necessair al ricambio paiono incerti. Stiamo parlando di un plugin che risulta installato in più di 100.000 siti WordPress: inutile dire quanto sia importante procedere all'aggiornamento del plugin per non trovarsi esposti alle conseguenze di questo attacco. 
 
Indicatori di compromissione
Esistono una serie di IOC (Indicatori di compromissione) la cui presenza segnala e aiuta a identificare casi simili. Eccoli:
 
- Indirizzi IP più usati nell'attacco per la creazione dell'admin
 
  • 109.234.39.250
  • 109.234.37.214
- Domini in uscita ai quali si registrano accessi
 
  • pornmam.com
- Indicatori del database
 
  • la presenza di account non autorizzati nella tabella account del tuo sito. Due esempi:
    -     t2trollherten
    -     t3trollherten
  • una voce nella tabella delle opzioni con il cui nome è (o è simile a) 2mb_autocode
1[1]

Il ransomware CommonRansom chiede di accedere all’RDP per decriptare i file

Il ransomware CommonRansom chiede di accedere all'RDP per decriptare i file



 
E' stato individuato un nuovo ransomware, chiamato CommonRansom e che si contraddistingue perchè fa alle vittime una richiesta piuttosto bizzarra. Una volta che la vittima ha pagato il riscatto infatti, il ransomware richiede alla vittima di aprire i Servizi di Desktop Remoto (RDP) sul computer infetto e diinviarne le credenziali agli attaccanti: solo così, spiegano gli attori dietro il ransomware, sarà possibile decriptare i file. 
 
Quando cripta il computer di una vittima, modifica le estensioni dei file colpiti aggiungendovi l'estensione [old@nuke.africa].CommonRansom. Crea inoltre una nota di riscatto  in formato testuale, DECRYPTING.txt. 
 
Il riscatto richiesto ammonta, per adesso, a 0.1 Bitcoin: sotto è possibile vedere la nota di riscatto.
 
 
Come si vede, l'attaccante richiede l'invio, tramite email di:
  • ID della vittima, indicato nella nota di riscatto stessa: è un codice che contraddistingue ogni singola macchina colpita dal ransomware;
  • la porta RDP dell'indirizzo IP della macchina infetta;
  • username e password che garantiscano i privilegi di amministrazione. 
Non inviare assolutamente questi dati!
E' probabilmente la prima volta che un ransomware richiede questo tipo di dati e di accesso: acconsentire a questa richiesta è estremamente pericoloso. Garantire l'accesso ai servizi di Desktop Remoto, perfino con privilegi di amministrazione, permetterà all'attaccante di operare arbitrariamente sul tuo pc: non potrai controllare lo schermo e non avrai la possibilità di sapere quali operazioni vengano effettivamente eseguite sulla macchina. 
 
Qualche consiglio...
in generale, ecco alcuni consigli per rendere più sicuro il tuo pc...
 
Apri il Pannello di Controllo di Quick Heal--> seleziona Internet e Reti --> Protezione Firewall
--> Impostazioni avanzate --> Configura --> Regole di traffico.
 
1. Per bloccare tutte le connessioni RDP:
  • scorri verso il basso e fai doppio clic su “Consenti Desktop Remoto”;
  • fai clic su Avanti fino a raggiungere l’ultima finestra, quindi clic su Seleziona Azione;
  • cambia l’azione da “Consenti” a “Nega” quindi fai clic su Fine. 
2. Per aggiungere eccezioni per sistemi affidabili:
  • nella finestra “Regole di traffico”, fai clic su Aggiungi per aggiungere una eccezione;
  • assegna un nome alla regola (ad esempio RDP white-list) e fai clic su Avanti per due volte;
  • nella finestra “Local TCP/UDP Port” inserisci la porta RDP nell’opzione “Specifica porta” e fai clic su Avanti. Di default, la porta RDP è la 3389;
  • in “Remote IP Address” inserisci l’indirizzo IP del sistema dal quale vuoi accettare connessioni RDP;
  • puoi anche inserire un gruppo di indirizzi IP per consentire connessioni RDP da più sistemi del range specificato. (ad esempio da 192.168.0.1 a 192.168.0.255);
  • seleziona “Avanti” per la finestra “Remote TCP/UDP port”;
  • seleziona una azione da consentire come  “Consenti” nell’ultima finestra, quindi fai clic su Fine;
  • ora salva le modifiche, facendo clic su OK e selezionando “Salva modifiche”. 
Nota: assicurati che la regola RDP White-list sia superiore della regola “Consenti Desktop Remoto” nella lista di regole del Firewall. 
 
Altre pratiche di sicurezza che possono aiutarti a impedire attacchi di brute force dell’RDP
  • usa password sicure e diverse da tutte quelle che hai sugli altri account. Password prevedibili come Admin, admin@123, user, 123456, password ecc.. possono essere facilmente individuate durante un attacco di brute force fin dai primi tentativi;
  • configura una protezione tramite password per i tuoi software di sicurezza. Questo ti consentirà di impedire l’accesso al sistema da parte di utenti non autorizzati intenzionati a disinstallare o disabilitare l’antivirus. Gli utenti Quick Heal possono attivare questa caratteristica da “Impostazioni--> Protezione password";
  • disabilita l’account Amministratore e usa un nome account differente per le attività amministrative. La maggior parte dei tentativi di brute-force sono compiuti su un account Amministratore visto che spesso è presente di default. Rimuovi inoltre ogni altro utente non utilizzato o utente ospite, nel caso siano presenti nel sistema;
  • cambia la porta RDP di default. La maggior parte degli attacchi infatti si concentra sulla porta 3389 perché quella di default in quasi tutti i sistemi;
  • attiva l’Autenticazione a livello di rete nelle tue impostazioni RDP, disponibile dal SO Windows Vista e successivi. 
    Rif: https://technet.microsoft.com/en-us/library/cc732713.aspx
  • configura l’ “Account Lockout Policies” che chiude automaticamente l’account dopo un numero specificato di tentativi falliti. Questa caratteristica è disponibile in Windows. 
    Rif: https://technet.microsoft.com/en-us/library/dd277400.aspx
1[1]

Exploit offuscato per l’Equation editor di Office diffonde keylogger

Exploit offuscato per l'Equation editor di Office diffonde keylogger


 

 
Lo diciamo da qualche tempo: i cyber attacchi tramite email di phishing sono in crescita costante. Tra le varie tecniche di phishing, l'uso di documenti con macro dannose integrate è ormai una consuetudine. Qualche giorno fa i Quick Heal Security Labs hanno individuato una email di phishing che usa un exploit per l'editor per le equazioni di Microsoft Office che diffonde il keylogger Hawkeye. I keylogger sono software dannosi pensati per sottrarre dati sensibili. 
 
Il keylogger Hawkeye e l'exploit
Il keylogger attualmente in distribuzione è la versione 8 di Hawkeye: questa versione sfrutta la vulnerabilità  CVE-2017-11882 del Microsoft Office Equation Editor per infiltrarsi nella macchina bersaglio. Questo exploit usa nuove tecniche per evadere i controlli dei prodotti antivirus. Ad esempio, compila il proprio codice mentre viene eseguito e caricato nella memoria il payload, senza salvarlo in locale. 
 
Flusso di esecuzione:
 
 
Analisi dell'exploit
La vulnerabilità di "buffer overflow" è presente nel record "FONT" nell'oggetto nativo di equazione. Per sfruttare questa vulnerabilità, l'oggetto OLE deve richiamare l'equazione e, per farlo, necessita di includere nel file OLE il flusso dell'equazione nativa. Ciò può essere fatto in due modi:
  1. usando il flusso "Equation Native";
  2. usando il CLSID del flusso "Equation Native".
In questo caso caso viene usata la seconda via. Come si vede in foto, viene usato il flusso "OLE10native" per elaborare il flusso dell'oggetto OLE verso l'"Equation Native". 
 
 
Eseguito l'OLE, l'editor di equazioni viene richiamato e avvia l'analisi del record. L'exploit della vulnerabilità comporterà l'esecuzione dello shellcode e, infine, il download del payload dannoso dal server C&C degli attaccanti. 
 
 
Lo shellcode si connette all'URL per scaricare il malware usando l'API “URLDownloadToFileW” presente nella dll Urlmon, quindi esegue varie attività dannose. In questo caso viene scaricato il keylogger Hawkeye, che esegue attività di keylogging e invia idati usando server SMTP. 
 
Analisi del payload:
Hawkeye si esegue in 3 step: per prima cosa inietta il payload in RegAsm.exe, quindi cattura ogni battitura sulla tastiera e le credenziali salvate nel browser, i dati di Outlook così come i file manager FTP quindi li invia usando il protocollo SMTP. RegAsm.exe è una utilità legittima di Microsoft .NET framework: questo passaggio fa si che quello che sembra essere appunto una utilità legittima in realtà è il keylogger Hawkeye. Inutile dire quanto questo complichi la capacità di individuazione da parte dei prodotti di sicurezza. Infine, per garantirsi l'esecuzione dopo il reboot, il malware crea una apposito comando di esecuzione. 
 
Analisi di Hawkeye:
questo keylogger in realtà esegue varie operazioni e funzionalità dannose. Eccone alcune:
  • cattura le battiture sulla tastiera e gli appunti;
  • copia l'FTP e le credenziali email;
  • per l'anti-debugging usa SuppressIldasm e ConfuserEx 1.0;
  • per disabilitare gli antivirus e vari tool di sicurezza aggiunge una chiave di debugger e un valore rundll32 nell'Image File Execution per quelle applicazioni;
  • usa tool legittimi come MailPassview o BrowserPassView per rubare le password; 
  • usa tecniche anti-sandobox come la funzionalità Thread.sleep() per posticipare l'esecuzione;
  • usa una criptazione base64 per inviare dati al server C&C;
  • disabilita il task manager, il prompt dei comandi e il registro;
  • interrompe cmd.exe e wscript.exe...
Il funzionamento del keylogger Hawkeye:
Hawkeye verifica il tipo di utente, quindi raccoglie informazioni come il nome dell'host, i dettagli del BIOS, dei prodotti antivirus e firewall quindi le invia a SUNDA[@]doctorework[.]com. Crea quindi una connessione SMTP per inviare i dati rubati al server
us2[.]outbound[.]mailhostbox[.]com: come detto, questi dati vengono inviati in forma criptata. 
 
 
Il sito web pomf[.]cat  viene invece usato per raccogliere, tramite HTTP POST request, gli screenshot raccolti sul sistema della vittima. Porta con sé una lista di programmi antivirus o simili, come Windows Defender, Wireshark ecc...in maniera tale da impedirne l'esecuzione aggiungendo una specifica chiave di registro
 
“HKLM\\SOFTWARE\\MICROSOFT\\WINDOWS NT\\CurrentVersion\\Image File Execution Options\\Program_name.exe\\” 
 
L'individuazione da parte di Quick Heal
Quick Heal, grazie alla protezione multi livello, individua e blocca questa minaccia.
  • Individuazione del file PDF: PDF.Downloader.31377
  • Individuazione di Hawkeye: Trojan.Ransom, Pwstool.Netpass e Trojan.IGENERIC
  •  
 
1+28129[1]

L’exploit kit Magnitude sceglie il ransomware GandCrab

 

L'exploit kit Magnitude sceglie il ransomware GandCrab

 
 

Di GandCrab ne abbiamo già diffusamente parlato (rimandiamo qui alla relativa pagina nella nostra Galleria dei Ransomware): si sta diffondendo in lungo e in largo attraverso campagne di spam talvolta massive talvolta più mirate, schemi di ingegneria sociale e campagne di exploit kit. Qualche giorno fa alcuni ricercatori hanno scoperto che Magnitude EK, exploit kit notoriamente "fedele" alla distribuzione di Magniber (ritenuto il successo di Cerber, assunse appunto il posto di Cerber nella distribuzione di Magnitude EK. Leggi qui), è passato alla distribuzione di GanCrab, abbandonando appunto il ransomware Magniber. Magniber infatti è stato sconfitto pochissimi giorni dopo l'avvio della distribuzione, con la pubblicazione di un tool gratuito per la decriptazione.  
 
La distribuzione di Magnitude EK rimane principalmente localizzata in Corea, ma i ricercatori sono riusciti a infettare una versione inglese di Windows senza troppi intoppi, segno che Magnitude EK può colpire senza alcun problema in larghe parti del mondo. 
 
Magnitude utilizza ora anche una tecnica fileless (cioè senza salvare alcun file nella memoria locale della macchina bersaglio) per caricare il payload del ransomware: una tecnica di elusione dei controlli antivirus ormai piuttosto diffusa ed efficace, dato che rende molto più difficile l'identificazione della minaccia, ma una novità per quanto riguarda questo exploit kit.

Il Payload

Il payload è codificato usando VBScript.Encode/JScript.Encode incorporato in uno script, che viene successivamente decriptato in memoria ed eseguito. Una volta che il payload è stato "iniettato" in explorer.exe tenta immediatamente il riavvio della macchina.

Nella foto la libreria .DLL di GandCrab
Riavviata la macchina il ransomware si esegue e cripta i file modificandone l'estensione originale in .CRAB.  


Terminata l'infezione, viene mostrata la nota di riscatto. 


Le vulnerabilità attaccate
L'exploit kit Magnitude attacca due vulnerabilità specifiche, la CVE-2018-4878  e la CVE-2016-0189 . La prima è una vulnerabilità che affligge Flash Player, individuata nelle versioni precedenti alla 28.0.0.161: l'exploit di questa vulnerabilità, se ha successo, può comportare la possibilità di esecuzione di codice arbitrario da parte di un attaccante. Tra Gennaio e Febbraio 2018 è stata sfruttata con successo centinaia di volte.

La seconda vulnerabilità invece riguarda Internet Explorer: risiede in JScript 5.8, VBScript 5.7 e 5.8, tutti usati da Internet Explorer 9-11 (ma non solo). Consente all'attaccante l'esecuzione di codice arbitrario da remoto oppure la negazione del servizio (corruzione di memoria).
 
Vedremo in futuro se MagnitudeEK confermerà la nuova accoppiata oppure no: la storia di Magnitude EK però ci indica che questo Exploit kit raramente cambia il ransomware in distribuzione. Ha abbandonato Cerber dopo un lungo periodo di fedeltà, mentre Magniber (risolto, quindi un'arma spuntata) è stato abbandonato dopo 7 mesi di distribuzione. Ricordiamo che, ad oggi, è risolvibile la versione 1 del ransomware GandCrab, riconoscibile dall'estensione di criptazione .GDCB. Non è invece tutt'ora risolvibile la seconda versione, quella in oggetto di questo articolo, che cripta i file .CRAB. Sono invece in via di risoluzione le versioni 4 e 5.
logHD1

YOTTA WEB - Via Don F. Cabrio 14/D - 13900 Biella (BI)

P.IVA 02552590024 - C.F. SNTSVR77S27A859C - REA BI 194613

Copyright 2017 © YOTTA WEB All Rights Reserved

Privacy Policy