283

Quick Heal Threat Report – un approfondimento sul ransomware GandCrab

Il più importante e dannoso ransomware del 2018 è stato indubbiamente GandCrab. Individuato all’inizio del gennaio 2018, questo ransomware infettò oltre 48.000 nodi in meno di un mese. Un’infezione massiva che mise immediatamente in allarme l’Europol e la convinse ad attaccare i server di GandCrab per sottrarne le chiavi di criptazione. Da allora GandCrab ha continuato ad evolversi ed aggiornarsi, lanciando in pochi mesi ben 5 diverse varianti (con svariate sottovarianti), diventando un serio rischio per gli utenti. A conferma della sempre maggiore rilevanza di GandCrab arriva anche il fatto che gli stessi siti web compromessi usati in questi ultimi mesi per la distribuzione di Emotet (il trojan bancario “protagonista” del 2018) hanno iniziato a diffondere il ransomware GandCrab v.5.1.

Un pò di storia… le versioni di GandCrab

GandCrab Versione 1 –>
Estensione di criptazione: .GDCB
GandCrab è stato il primo ransomware a richiedere la criptovaluta Dash. La v.1 termina Office, i database e altri importanti processi come le applicazioni email, quindi avvia la routine di criptazione: un sistema per aumentare la certezza di non lasciare in chiaro sulla macchina infetta nessun file importante. Per la criptazione dei file è in uso l’algoritmo AES-256 e la chiave AES_256 è a sua volta criptata con l’algoritmo RSA-2048.

Il server di comando e controllo di questa versione era poco protetto. L’intero processo di criptazione dipendeva dalla connettività ad internet, quindi la routine non si avviava fino a quando il ransomware non avesse trovato un server: un difetto che ha permesso ad alcuni utenti esperti di rimuovere il malware semplicemente disconnettendosi dalla rete e ripulendo la macchina. Nel tardo Febbraio 2018 fu rilasciato il tool di decriptazione per questa versione.

GandCrab Versione 2 –>
Estensione di criptazione: .CRAB
il primo problema risolto è stato quello della scarsa protezione del server dei C&C. Le chiavi e i dati furono spostati su un dominio di primo livello .Bit (indipendente da ICANN), dominio adottato dalla criptovaluta Namecoin. GandCrab v.2 inserisce la voce autorun nella chiave di registro RunOnce. Anche questa versione è strettamente dipendente dalla connettività internet: senza trovare ubn server a cui connettersi infatti la routine non si avvia.

GandCrab Versione 3 –>
Estensione di criptazione: .crab
in questa versione non si registrano cambiamenti evidenti, a parte l’introduzione di una immagine contenente la richiesta riscatto come sfondo del desktop. Ha confermato quindi l’utilizzo della voce di autorun nella chiave di registro RunOnce.

Ha un bug di non poco conto: non si esegue correttamente su PC che eseguono il sistema operativo Windows 7. Un problema serio, non tanto per gli attaccanti, quanto per le vittime: il bug impedisce infatti agli utenti di Windows 7 di accedere al proprio desktop.

GandCrab Versione 4 –>
Estensione di criptazione: .KRAB
conferma l’utilizzo della criptovaluta Dash, ma cambia algoritmo di criptazione: da AES passa a Salsa20 per la criptazione dei file. Il grande vantaggio di Salsa20 è che rende molto più rapido il processo di criptazione. La chiave Salsa20 viene poi criptata con l’algoritmo RSA-2048, cosa che rende impossibile la criptazione senza la chiave privata. Questa volta il processo di criptazione non attende alcuna risposta da server di C&C: si avvia in ogni caso. La distribuzione avviene principalmente tramite siti web compromessi.

GandCrab Versione 5 –>
Estensione di criptazione: .caratteri random
cripta i file aggiungendovi una serie di caratteri random come estensione: si impedisce così agli antivirus di individuare l’infezione dall’estensione. Viene aggiunta la nota di riscatto in formato HTML. Sono state diffuse svariate sotto-versioni: 5.0.4, 5.0.5, 5.1.

Qualche giorno fa è stata divulgata la notizia che, per le versioni dalla 4.0 alla 5.1, vi sia una possibile soluzione: nelle stesse ore in cui alcuni ricercatori di sicurezza annunciavano questa buona notizia, gli sviluppatori dietro GandCrab mettevano in diffusione la V. 5.2, che attualmente non ha soluzione.

282

Trojan bancario TrickBot: adesso ruba anche le credenziali di accesso da remoto

Trojan bancario TrickBot: adesso ruba anche le credenziali di accesso da remoto

Il trojan bancario TrickBot non è certo nuovo, ma ci sono alcune novità: il modulo per il furto password di questo malware è stato recentemente aggiornato e la nuova versione è già in distribuzione. La nuova versione è stata individuata nel Gennaio 2019 e si è dimostrata essere una versione aggiornata di una variante già individuata in Novembre, la prima ad essere dotata di un modulo per il furto password di questo tipo.

Le credenziali sotto attacco sono quelle usate per autenticarsi ai server da remoto usando il Remote Desktop Protocol (RDP), VNC e PuTTY.

Una complessa procedura di infezione
TrickBot, conosciuto anche come Trickster o TheTrick, ha debuttato sulle scene dal cyber crime esclusivamente come trojan bancario, ma è stato aggiornato continuamente con nuove funzioni, moduli e tecniche di offuscamento sempre più complesse. Inizialmente aveva solo funzionalità da trojan bancario “classico”, ovvero la capacità di estrapolare dalla macchina infetta quante più informazioni possibili. Recentemente ha “mutato pelle”, diventando anche un malware dropper, capace cioè di scaricare sulle macchine compromesse anche altre famiglie di ransomware.

L’aggiornamento del modulo per il furto password
I ricercatori di TrendMicro hanno prodotto un’analisi molto dettagliata della nuova versione di TrickBot: questa è stata riscontrata in attacchi reali nei quali il malware arriva sulle macchine target tramite email di spam recanti con se un allegato compromesso spacciato per documento fiscale. Gli allegati sono quasi esclusivamente fogli di calcolo Excel in formato XLSM contenenti macro dannose.

La variante aggiornata ha subito l’implementazione, come dicevamo, di nuove funzioni nel modulo per il furto password, pensato per colpire le piattaforme VNC (Virtual Network Computing), PuTTY e Remote Desktop Protocol (RDP).

Credenziali di VNC
Per rubare le credenziali di VNC, il modulo per il furto password inizia la ricerca di file contenenti .vnc.lnk nel nome, nelle cartelle:
APPDATA%\Microsoft\Windows\Recent
%USERPROFILE%\Documents, %USERPROFILE%\Downloads.

Credenziali PuTTY e RDP
Per quanto riguarda PuTTY, ricerca la chiave di registro in Software\SimonTatham\Putty\Sessions e usa poi l’API “CredEnumerateA” per individuare e rubare le credenziali salvate. Quindi analizza la stringa “target=TERMSRV” per identificare l’hostname, lo username e le password salvate per quanto riguarda le credenziali RDP.

Per estrarre le credenziali che TrickBot è riuscito a raccogliere nella fase precedente, userà un comando POST configurato con l’aiuto di un file di configurazione chiamato dpost: questo file viene scaricato dal server di comando e controllo.

TrickBot in breve: che cosa è e cenni sull’evoluzione
TrickBot è stato individuato nel Settembre del 2016: le prime analisi lo definirono immediatamente come erede di Dyre, un trojan bancario oggi quasi completamente dismesso. Il legame tra questi due trojan risultò evidente per la similarità di codice e funzioni, ma anche a partire dal loader, denominato TrickLoader in entrambi i casi.

Luglio 2017:
nell’Estate del 2017 fu individuata perfino una versione con comportamenti da worm: il modulo di propagazione di TrickBot era stato infatti implementato con EternalBlue, l’exploit del protocollo SMB che fu alla base della virulenza impressionante dei ransomware WannaCry e Petya.

Gennaio 2018:
TrickBot inizia ad essere usato come Access-As-A-Service da altri attori. Una volta che una macchina viene infettata da TrickBot e diviene un bot, il malware crea una reverse shell per altri cyber attaccanti, consentendo loro di infltrarsi nel resto della rete e scaricare altri malware.

Marzo 2018:
ennesimo update. Viene aggiunta una componente di blocco dello schermo (screenlocker), evento che ha indotto i ricercatori a prevedere per TrickBot anche un futuro come ransomware, laddove non dovesse arrivare a termine con successo l’esfiltrazione delle informazioni bancarie dalla macchina target.

Indicatori di compromissione
TrickBot 1:
– MD5 – b855b1b7b59668ad991cf0501e4ff4cb
Individuato da Quick Heal come Trojan.Mansabo

TrickBot 2:
– MD5 – 9b7484364dafc9435dae5823ff9d15f5
Individuato da Quick Heal come Trojan.Multi

281

Nuovo attacco in corso (anche in Italia): il malware-kit combina trojan, miner e malware per il furto dati

Alcuni ricercatori di sicurezza hanno dato notizia di una pericolosissima campagna di attacco, già individuata svariate volte in Italia, Cina, Taiwan e Hong Kong: parliamo di un vero e proprio “kit da attacco” composto da due trojan e un miner per la criptovaluta Monero, in diffusione via internet e rete in area locale.

Il kit è stato scoperto casualmente, quando i ricercatori di Trend Micro hanno individuato un attacco molto strano, durante il quale si scaricavano nella cartella Windows file apparentemente casuali su computer aventi la porta 445 aperta e non aggiornata, quindi vulnerabile alla compromissione con l’exploit del protocollo SMB di Window Server. La vulnerabilità sfruttata è la MS17-010, già risolta nel 2017.

L’accesso nell’host
L’infezione multi-stage usa il trojan INFOSTEAL.ADS per ottenere il “punto d’appoggio” iniziale per l’infezione, dopo aver eseguito con successo l’exploit sopra indicato: questo malware si connetterà a un server di comando e controllo e invierà ai suoi gestori numerose informazioni sull’host infetto. Riceverà indietro i comandi necessari al download e alla diffusione di ulteriori payload secondo le caratteristiche riscontrare sulla macchina infetta.

La seconda fase di infezione
Nella seconda fase, viene scaricata ed eseguita una versione compilata in Python del trojan MIMIKATZ: questo trojan, finalizzato al furto di informazioni, scarica automaticamente un certo numero di moduli aggiuntivi per estrarre più dati possibili, nonché per cercare ulteriori macchine Windows nella rete da poter infettare sfruttando la stessa vulnerabilità.

Il componente MIMIKATZ scaricherà inoltre il modulo psexec di Python, usato poi per eseguire i comandi inviati da remoto: con questo modulo gli attaccanti scaricano sulla macchina infetta il tool Radmin (vedi sotto).

Il miner di Monero
Lo stadio successivo è il download e l’esecuzione del payload criptato del miner di Monero: il comando viene inviato direttamente dagli attaccanti, tramite uno strumento di hacking chiamato Radmin che viene copiato sul sistema infetto nel corso della fase precedente.

Perchè un kit così complesso?
I ricercatori che hanno diramato l’allarme spiegano che, a loro parere, i cyber criminali dietro a questo kit stanno sviluppando una complessa struttura modulare per infettare più sistemi possibili in futuri attacchi, sfruttando l’ “escalation” dei privilegi, l’accesso da remoto e l’uso di credenziali rubate. Dato che l’infostealer è in grado di inviare informazioni molto dettagliate (account utente, porte aperte, specifiche del sistema) e data la capacità di installare il tool di hacking per le funzioni di gestione da remoto, questo kit mette gli attaccanti in condizione di poter avviare ulteriori attacchi sulla stessa macchina anche in futuro.

Si sospetta che gli attori dietro a questa minaccia siano “nuovi” sulla scena, dato che hanno utilizzato diversi strumenti gratuiti, come moduli opensource, exploit obsoleti e strumenti di hacking rintracciabili gratuitamente.

Indicatori di compromissione per Quick Heal
Quick Heal individua i seguenti file relativi a questa infezione:

1. Nome file:
SVHOST.EXE (MD5 – 59b18d6146a2aa066f661599c496090d)
Individuato come: Trojan.Fsysna

2. Nome File:
svchost.exe (MD5 – 539fe169480ffd66765c1693f8ed0d7d)
Individuato come: Trojan.Trickster

3. Nome File:
AbyinsNb.exe (MD5 – 6983f7001de10f4d19fc2d794c3eb534)
Individuato come: Remoteadmin.Remoteexec

4. Nome File:
taskmgr.exe (MD5 – d4e2ebcf92cf1b2e759ff7ce1f5688ca)
Individuato come: Trojan.Cloxer

25022

18.000 app su Android tracciano gli utenti violando le policy pubblicitarie

8.000 app con decine o centinaia di milioni di installazioni, presenti sul Google Play Store, violano le norme relative all’ID Advertising di Google: queste app infatti raccolgono dati identificativi persistenti come numeri seriali, IMEI, indirizzi MAC delle reti wifi, numeri di serie della scheda SIM ecc… inviandoli ai rispettivi domini relativi alla pubblicità mobile. Il problema risiede nel fatto che la quasi totalità delle aziende che gestiscono tali app affermano, nelle proprie policy, di non utilizzare alcun identificativo persistente del dispositivo per targetizzare gli annunci, fatto che comunque viola le policy relative all’ID Advertising del Google Play Store.

L’invio di dati sensibili (poiché indicativi di un preciso utente) e non resettabili (perché permanenti) è molto preoccupante, dato che annulla completamente la tutela della privacy dell’utente nella gestione degli annunci pubblicitari. Un caso simile si era già verificato e coinvolgeva un nome importante: l’app di UBER infatti, nel 2017, aveva violato le linee guida sulla privacy dell’App Store iOS, dato che raccoglieva identificativi persistenti non resettabili. Il problema fu risolto con la minaccia, da parte di Tim Cook in persona, di rimuovere l’app di Uber dallo store.

Il comportamento di tali app crea una grave falla nella privacy degli utenti dato che, anche nel caso in cui l’utente decidesse di resettare l’ID pubblicitario, questo non si traduce affatto in una nuova identità: al contrario gli sviluppatori delle app possono usare ancora moltissimi altri identificatori per mantenere il monitoraggio sui propri ads e targettizzarli sull’utente.

Sotto elenchiamo alcune delle più diffuse di queste 18.000 app:
Clean Master – Antivirus, Cleaner & Booster – 1 miliardo di installazioni
Subway Surfers – 1 miliardo di installazioni
Flipboard: News For Our Time – 500 milioni di installazioni
My Talking Tom – 500 milioni di installazioni
Temple Run 2 – 100 milioni di installazioni
Azar – 100 milioni di installazioni
8 Ball Pool – 100 milioni di installazioni
Agar.io – 100 milioni di installazioni
Angry Birds Classic – 100 milioni di installazioni
Audiobook from Audible – 100 milioni di installazioni
condividono l’Ad ID e l’ID di Android.
Battery Doctor – 100 milioni di installazioni
CamScanner – Phone PDF Creator – 100 milioni di installazioni
3D Bowling – 100 milioni di installazioni
condividono Ad ID, Android ID e Imei.

AppCensus, organizzazione composta da ricercatori di sicurezza di tutto il mondo con sede in California e supportata dal National Science Foundation, dal Department of Homeland Security e dal Data Transparency Lab statunitensi, ha inviato a Google un report relativo a questa problematica già nel Settembre 2018: al tempo la lista delle app spione si fermava a 17.000 app, mentre erano già 30 i domini elencati relativi alla pubblicità mobile ai quali vengono inviati i vari ID. L’analisi confermava come tali dati vengano usati (tutt’oggi) per posizionare gli annunci nelle varie app e per tracciare il livello di coinvolgimento e la risposta degli utenti agli annunci.

Google e la Privacy
L’immagine sottostante, pubblicata da Bleeping Computer, evidenzia alcuni passaggi della policy di Google relativa all’Android Advertising ID e rende evidente come queste app raccolgano tipologie di dati in aperta violazione della policy stessa.

Google non ha ancora risposto al report inviato da AppCensus. Va comunque sottolineato come, nel corso dell’annuale revisione del Google Play store, la società abbia respinto il 55% in più di app per Android e rimosso decine di migliaia di app non conformi alle policy relative ai dati e alla privacy degli utenti.

25021

Autenticazione biometrica: una realtà con alcuni rischi

I miner di criptovaluta sbarcano sul Microsoft Store per la prima volta

E’ stato individuato sul Microsoft Store un gruppo di 8 applicazioni potenzialmente indesiderate (PUA), responsabili del download sul dispositivo degli script dannosi per il mining di criptovaluta Coinhive Monero (XMR). Sfruttano, per la diffusione, la libreria legittima Google Tag Manager (GTM). I fatti interessanti relativi a queste individuazioni sono due:
è la prima volta che vengono riscontrati miner di criptovaluta illegittimi sul Microsoft Store;
GTM è un sistema di gestione dei tag progettato da Google per aiutare gli sviluppatori a inserire contenuti KJavascript e HTML nelle proprie app a scopo di analisi e monitoraggio ed è la prima volta che il sistema viene invece usato per distribuire script dannosi di questo tipo.
Le app compromesse (e già rimosse da Microsoft) sono:
Fast-search Lite
Battery Optimizer (Tutorials)
VPN Browser+
Downloader for YouTub Videos
Clean Master+ (Tutorials)
FastTube
Findoo Browser 2019
Findoo Mobile & Desktop Search.

Tutte queste app sono accomunate dal fatto di essere state sviluppate dagli stessi tre sviluppatori: DigiDream, 1clean, Findoofrom. Stando al report inviato da Symantec a Microsoft, quindi diramato online, tutte le app dannose sono state individuate su Windows 10, compreso Windows 10 S Mode e sono state aggiunte al Microsoft Store tra Aprile e Dicembre 2018.

Non è dato sapere quante siano state le installazioni di queste app dato che Microsoft Store, contrariamente al Play Store di Google, non condivide pubblicamente questo tipo di informazioni: queste app avevano però un gran numero di valutazioni, cosa che fa pensare che le installazioni siano state numerose (a meno che non si stia parlando di flase valutazioni, tecnica molto usata dai truffatori per dare un’aurea di legittimità alle proprie app dannose).

Come veniva sfruttato il Google Tag Manager?
Queste app avevano tutte lo stesso funzionamento: non appena scaricate ed eseguite recuperavano una libreria JavaScript per il mining di criptovaluta tramite l’attivazione di Google Tag Manager (TGM) nei propri server. Lo script per il mining veniva quindi attivato e iniziava a sfruttare la quasi totalità delle risorse della CPU per estrarre Monero in favore dei suoi operatori.

Ricordiamo che, di per sè, i miner di criptovaluta non sono vietati: in origine erano infatti stati pensati come sistema di guadagno aggiunto/sostitutivo ai pop up pubblicitari per sviluppatori/web master. Il loro uso illegale e truffaldino è cresciuto però ben più che esponenzialmente rispetto al loro uso legale, non solo tramite attivazioni all’insaputa dell’utente, ma anche con un sovrautilizzo di risorse che ha spesso prodotto guasti o comunque danneggiato le perfomance e la componente hardware dei vari dispositivi. Questo è stato causa di un’insofferenza sempre maggiore da parte degli utenti a tali sistemi di mining, fino al divieto su svariati store online della loro presenza e distribuzione. In questo caso specifico, in ogni caso, non era stata fornita nessuna indicazione della presenza del Javascript di CoinHive né, tanto meno, era stato denunciato il mining di Monero nelle policy privacy.

L’analisi del traffico tra queste app e i relativi server di comando e controllo ha permesso di scoprire che questi sfruttavano una variante dello script Javascript-based CoinHive, uno strumento ben noto e utilizzato nelle campagne di cryptojacking fin dal Settembre 2017.

Cryptojacking is on the rise
Da più fonti di ricerca, è emerso come nel 2018 i miner di criptovaluta hanno colpito un numero di aziende maggiore di dieci volte rispetto alle infezione da ransomware, dati che hanno portato i miner sul podio delle minacce informatiche. Pochissimi invece (1 su 5 indicano i dati) sarebbero stati i professionisti capaci di individuare infezioni di questo tipo nei sistemi aziendali infetti (dato non sorprendente, considerando appunto che gli script per il mining di criptovaluta vengono eseguiti silenziosamente in background.

Se per Microsoft Store questa è stata la prima volta, gli utenti del Google Play Store hanno fatto i conti con questi script prestissimo tanto da portare Google a vietare le app dedicate a questa attività. Gli utenti Linux sono anch’essi bersagliati da tempo da svariate campagne di cryptojacking: solo lo scorso mese sono stati individuati:
una backdoor chiamata SpeakUP che colpisce i server che eseguono sei diverse distribuzioni Linux e perfino i macOS;
un nuova nuova versione di malware per il mining che usa il miner XMR-Stak per estrarre la criptovaluta Cryptonight.

I ricercatori di Palo Alto Network, dell’Universitad Carlos III di Madrid e del King’s College di Londra sono giunti tutti, in diversi studi, alla styessa conclusione: parlando solo della criptovaluta Monero i cyber criminali hanno guadagnato circa 798,613.33 Monero, pari a circa 108 milioni di dollari USA.

2502

Attacco in corso contro aziende italiane: i vettori sono archivi cifrati

martedì 19 febbraio 2019
Attacco in corso contro aziende italiane: i vettori sono archivi cifrati

I ricercatori di sicurezza del CERT-PA hanno lanciato un allarme relativo ad una campagna di attacco in corso, da qualche giorno, in maniera specifica contro aziende e organizzazioni italiane. Il modus operandi è davvero insidioso: gli attaccanti sfruttano scambi email realmente intercorsi tra le vittime e, come indirizzi mittenti, delle email infette. Un meccanismo già noto in realtà, poiché già rilevato in precedenti campagne che, nel corso del 2018, hanno diffuso il malware infostealer Ursnif.

Le email fake
Le email di questa campagna sono contraddistinte dalla presenza di allegati compressi protetti da password: all’interno di questi archivi sono inseriti documenti dannosi che contengono, entro una macro integrata, script PowerShell che avviano il download e l’esecuzione del trojan Ursnif sul sistema bersaglio. Questa è una tecnica niente affatto nuovo, ma molto efficace per nascondere i documenti dannosi ai software e alle varie misure di sicurezza aziendali (controlli perimetrali in primis).

Le email recano, in oggetto,
Re:

oppure
“Avviso di Pagamento”
“Fattura Corretta”
“Scaduto 21782”
“I:_Obbligo_fatturazione_dal_1°_Febbraio_2019”
“fattura in scadenza”
“Avv. Scad.”
“Fatt. 1471 del 12-02-2019”

Non c’è invece, come detto, uno o più mittenti da “denunciare” come responsabili di questa campagna: il mittente infatti sarà un indirizzo già noto ai destinatari, col quale i destinatari stessi avranno già intrattenuto degli scambi email.

Il testo delle email è invece ricorrente e molto breve: sotto ne indichiamo due a titolo esemplificativo.

Gli allegati sono in formato .xls e contengono una macro dannosa. Il loro nome varia, sotto ne sono riportati 3 esempi:
“Ft._immediata_group_*.xls”
“Doc_GenFeb_2019_*.xls”
“2019_B_*_srl.xls”

La catena di infezione
I documenti contengono, come detto, una macro integrata attivando la quale, si avvia la catena di infezione: essa si compone di una serie di script PowerShell con vari stadi di offuscamento. Alcuni utilizzano perfino immagini contenenti script steganografati (ne abbiamo già parlato qui) . L’ultimo script esegue il download del payload di Urnisf dall’URL
hxxps://delegirato.pro///////////aria-debug-5672.log

Analisi ulteriori del codice del malware hanno ribadito che l’attacco è mirato contro l’Italia, come si può vedere nell’immagine sotto:

Ursnif in breve:
Con Ursnif si indica una famiglia di trojan pensati per rubare informazioni personali e dati relativi alla macchina e al sistema operativo della vittima. Questi dati vengono raccolti e inviati al server di comando e controllo gestito dagli attaccanti. Spesso installa anche backdoor sul sistema infetto, così da garantire all’attaccante la possibilità di eseguire comandi da remoto per svolgere ulteriori attività dannose. Mira sopratutto alle credenziali bancarie/finanziarie e agli accessi su vari tipi di account (social, email o di vari servizi online). Questa famiglia di malware è sotto attento studio da parte della comunità dei ricercatori informatici da tempo: le analisi su attacchi reali hanno indicato che si diffonde non solo via email, ma anche tramite dispositivi removibili e chiavette USB. E’ già stato usato molteplici volte contro utenti italiani.

15

Malware per macOS disabilita la protezione Gatekeeper

giovedì 14 febbraio 2019
Malware per macOS disabilita la protezione Gatekeeper

E’ stata individuata una nuova variante di Shlayer, un malware multi-stage che colpisce esclusivamente utenti dei sistemi operativi Mac. La nuova variante riesce ad ottenere i privilegi di amministrazione sul sistema infetto sfruttando una tecnica (vecchia di due anni, ma ancora efficace) con la quale disabilita il Gatekeeper, ovvero quella tecnologia, prevista in ogni macOS, che ha lo scopo di garantire che sul Mac vengano eseguiti solo software affidabili.

Shlayer è stato individuato in azione per la prima volta come parte di una campagna malware durata per tutto il Febbraio 2018, nella quale falsi Installer di Adobe Flash Player diffondevano alcune famiglie di malware per piattaforme Mac.

La nuova versione
Esattamente come già accaduto, la nuova versione del malware viene distribuita tramite un falso aggiornamento del software Adobe Flash. La differenza è che, in passato, Shlayer si diffondeva soltanto tramite siti web torrent, mentre la campagna attuale prevede anche l’uso di falsi pop up di aggiornamento che dirottano gli utenti su siti clone di siti legittimi o siti compromessi di vario genere.

Questa nuova versione ha come obiettivo tutte le versioni dei sistemi operativi Mac fino all’ultima Mojave 10.14.3 e viene distribuita sulle macchine bersaglio come file DMG, PKG, ISO o ZIP. Alcuni di questi file sono perfino firmati con un ID developer Apple valido, al fine di farli sembrare legittimi.

Il falso installer
I campioni analizzati fino ad adesso utilizzano anche script shell dannosi per scaricare ulteriori payload (questo già avveniva con le vecchie versioni di Shlayer): nel caso degli esemplari diffusi in formato immagine DMG, verrà avviato un script .command in background non appena l’utente avrà eseguito il falso installer di Flash Player.

Lo script dannoso incluso nel file DMG è codificato in base64 e decripterà un secondo script, criptato con l’algoritmo AES, che sarà a eseguito automaticamente non appena rimesso in chiaro. Il secondo script è quello che esegue le numerosi funzioni dannose di Shlayer:
raccoglie le informazioni sul sistema, come la versione del sistema operativo Mac o l’identificativo unico del sistema (PlatformUUID);
crea una sessione GUID usando uuidgen;
crea un URL personalizzato usando le informazioni generate nei due passi precedenti, quindi scarica il payload del second stage;
tenta il download del payload in formato zip usando curl;
crea una cartella in /temp per memorizzare il payload e estrarre il payload (l’archivio è protetto da password);
crea il file binario nell’eseguibile .app estratto usando “chmod+X”;
esegue il payload usando “open”;
esegue un “killall Terminal” per chiudere la finestra del terminale con lo script in esecuzione.

Completate queste fasi, il passo successivo è il download sul sistema compromesso di ulteriori payload tutti contenenti adware e necessari per disabilitare il meccanismo di protezione Gatekeeper. A questo punto tutti i payload extra e scaricati da Shlayer saranno visti come software “whitlisted”, legittimi, dato che il sistema operativo non verificherà più l’ID Apple Developer con i quali sono firmati.

Il payload di second-stage firmato con ID developer Apple
Gli effetti sul sistema
Di per sè questa infezione non è critica, in termini di effetti negativi sul sistema: l’impatto reale di tutte queste operazione è la presenza di adware che rallenteranno visibilmente l’intero sistema e il rischio di essere ingannati dai numerosi pop-up e comprare prodotti o servizi non desiderati né richiesti. Il meccanismo di infezione è però molto efficace: nel caso in cui gli attaccanti dovessero sostituire i payload attualmente in diffusione con quelli di malware più pericolosi (si pensi ai wiper) gli effetti potrebbero essere ben più critici.

14

mercoledì 13 febbraio 2019 Fattura elettronica: esplode il rischio di attacchi via PEC. Campagna malware in corso in Italia

mercoledì 13 febbraio 2019
Fattura elettronica: esplode il rischio di attacchi via PEC. Campagna malware in corso in Italia

La recente normativa sulla fatturazione elettronica ha dato nuovo impulso all’uso della PEC, la Posta Elettronica Certificata. Di per sè la PEC è uno strumento molto utile, che garantisce la tracciabilità del mittente e l’ufficialità delle comunicazioni. Nel mondo del cyber crimine, però, quando uno strumento informatico va incontro ad un utilizzo massivo, questo diventa immediatamente bersaglio delle attenzioni degli attaccanti come possibile mezzo per veicolare efficaci e capillari attacchi.

Prima dell’entrata in vigore, lo scorso 1° Gennaio, del nuovo sistema di fatturazione elettronica la PEC rimaneva uno strumento utilizzato in ambiti piuttosto limitati, sopratutto in caso di comunicazioni con le Pubbliche Amministrazioni, con gli ordini professionali o in altri ridotti ambiti di comunicazione formale. Nonostante la limitata diffusione, già nel Marzo 2017 le PEC erano state sfruttate per distribuire in maniera massiccia un ransomware, Cyrpt0L0cker. L’utilizzo della PEC infatti rende più credibile l’email e può indurre il destinatario ad aprire con più facilità eventuali allegati o link dannosi.

Nuova campagna malware via PEC
I ricercatori di Yoroi hanno denunciato, qualche giorno fa, un attacco in corso ai danni di numerose organizzazioni italiane: l’attacco avviene appunto via PEC contenenti allegati Excel infetti. Scopo dell’attacco è infettare il sistema con malware della famiglia di infostealer Ursnif (vedi sotto).

Gli allegati Excel sono pensati appositamente per utenti italiani: il codice macro dannoso contenuto al loro interno, infatti, si attiva solo se il pacchetto Office è configurato in lingua italiana. In questo caso viene eseguito codice powershell dannoso, nascosto tramite steganografia. La steganografia (dal greco “scrittura nascosta”) è una tecnica che consente di nascondere l’esistenza stessa del messaggio, occultandolo entro un mezzo “neutro”: in questo caso è un’immagine. Nelle immagini sottostanti è possibile vedere come si presenta l’allegato Excel dannoso e l’immagine in cui è nascosto il codice dannoso.

Fonte: https://blog.yoroi.company

Fonte: https://blog.yoroi.company
Le email recano, in oggetto, le seguenti diciture:
I: Fattura corretta
I: Obbligo fatturazione dal 1° Gennaio 2019
R: SCADUTO
Avv. scad.
fattura in scadenza
I: AVVISO DI PAGAMENTO
I: bonifico ricevuto in data odierna
NS.ORDINE NR.0030961 DEL 30/01/19

Gli allegati sono invece rinominati come:
DOC_S.P.A._N_2332_DEL_01_19.XLS (o varianti)
DEL_2019_01_S.R.L._N__183382.XLS
F.DOC.2019 A 113 SPA.xls

Che cosa è Ursnif?
Con Ursnif si indica una famiglia di trojan pensati per rubare informazioni personali e dati relativi alla macchina e al sistema operativo della vittima. Questi dati vengono raccolti e inviati al server di comando e controllo gestito dagli attaccanti. Spesso installa anche backdoor sul sistema infetto, così da garantire all’attaccante la possibilità di eseguire comandi da remoto per svolgere ulteriori attività dannose. Mira sopratutto alle credenziali bancarie/finanziarie e agli accessi su vari tipi di account (social, email o di vari servizi online). Questa famiglia di malware è sotto attento studio da parte della comunità dei ricercatori informatici da tempo: le analisi su attacchi reali hanno indicato che si diffonde non solo via email, ma anche tramite dispositivi removibili e chiavette USB. E’ già stato usato molteplici volte contro utenti italiani.

a+28129[1]

Il trojan per il furto di credenziali Azorult si camuffa da Google Update e diventa invisibile

venerdì 1 febbraio 2019
Il trojan per il furto di credenziali Azorult si camuffa da Google Update e diventa invisibile

Azorult è una vecchia conoscenza: è un info-stealer, un trojan progettato per sottrarre informazioni e credenziali dai sistemi infetti. E’ pensato per estrarre più informazioni e dati sensibili possibile da più fonti: file, cookie, cronologia del browser per estrarre le credenziali bancarie e i dati dei Portafogli di criptovalute. E’ un trojan in evoluzione continua, noto anche come downloader dei payload di altri malware in campagne di infezione organizzate in più fasi. Spesso è stato individuato in campagne che diffondono su vasta scala ransomware, altri info-stealer e malware per il mining di criptovaluta.

Qualche giorno fa è stata individuata una nuova campagna di diffusione di Azorult: anziché usare la classica campagna di spam, gli autori di Azorult lo propongono come installer per i Google Update. Se un utente scarica ed esegue il Google Update fake, questo ottiene immediatamente la persistenza sul computer sostituendo l’Updater legittimo.

Un certificato rubato per legittimare il falso Google Updater
Il binario di questo falso Google Updater, chiamato appunto GoogleUpdate.exe, ha una caratteristica insolita: è firmato con un certificato valido. Il dettaglio non è affatto secondario perchè questo stratagemma permette di bypassare tutti i livelli di sicurezza basate sulle firme di cui sono dotati tutti i software di sicurezza. Solo un’accurata analisi ha permesso di andare oltre le apparenze e verificare che il file binario non è stato firmato con un certificato appartenente a Google, ma con uno rilasciato dalla “Sing Agile Content Design Limited”.

Il certificato valido. Fonte: bleepingcomputer.com

Questo certificato è stato rilasciato il 19 Novembre e, da allora, è ancora valido nonostante sia già stato usato per firmare oltre un centinaio di diversi file binari, tutti spacciati per l’eseguibile di Google Update.

Azorult ottiene la persistenza e i privilegi di amministrazione
Oltre a quella di rubare dati, il GoogleUpdate.exe dannoso dimostra una ulteriore capacità: si nasconde restando in bella vista. Nel dettaglio si sostituisce al Google Updater legittimo nella location :\Program Files\Google\Update\GoogleUpdate.exe. Questo consente anche al malware di eseguirsi con i privilegi di amministrazione e ottenere la persistenza usando meccanismi molto efficaci di invisibilità.

Google, solitamente, impiega due task pianificate per l’update dei propri prodotti:
GoogleUpdateTaskMachineCore – che si esegue al login e una volta al giorno
GoogleUpdateTaskMachineUA – che si esegue una volta al giorno.

Ci sono anche altri due servizi che eseguono questo binario, come definito nei valori di registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\gupdatem\ImagePath
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\gupdate\ImagePath

Sostituendo alla perfezione il programma di update di Google, Azorult non ha alcun bisogno di procedere a modificare il registro di Windows o delle task pianificate. Si limita quindi a dirottare quelli già creati da Google, rendendo molto molto complessa la sua individuazione.

Campagne recenti
Azorult è stato recentemente diffuso come payload per il famoso Exploit Kit Fallout, ma anche come parte di una campagna di cyber-ricatti a sfondo sessuale assieme al ransomware GandCrab.

a+28129[1]

Nuovo malware per MAC ruba credenziali bancarie e dei portafogli di criptovaluta

Nuovo malware per MAC ruba credenziali bancarie e dei portafogli di criptovaluta

martedì 5 febbraio 2019
CookieMiner è un nuovo malware capace di rubare e esfiltrare dai browser web i cookie relativi ai wallet dei servizi online e ai siti web di scambio di criptovaluta, così come password, messaggi di testo e credenziali dellle carte di credito. Questo malware colpisce soltanto i dispositivi MAC e condivide parti di codice con esemplari di malware già conosciuti: OSX.DarthMiner e OSX.LamePyre. Tutti questi malware usano la backdoor EmPyre a fini di controllo da remoto e persistenza e per inviare comandi arbitrari ai MAC infetti dopo il successo dell’exploit.

Dato che ormai la quasi totalità degli exchange di criptovaluta e dei servizi di wallet online usano metodi di autenticazione a più fattori, CookieMiner tenta di aggirare questi processi di autenticazione collezionando una complessa combinazione di credenziali di login, messaggi di testo e cookie web.

CookieMiner consente ai suoi sviluppatori di mettere le mani su una grande quantità di dati dalle macchine compromesse: tutto inizia con uno script shell che avvia la raccolta dei cookie dal browser e li carica su un server remoto che esegue il servizio curldrop.

L’esfiltrazione dei cookie con cURL. Fonte: bleepingcomputer.com

I ricercatori della Unit42 di Palo Alto Networks affermano che i cookie preferiti da questo malware sono quelli associati ai cambi di criptovalute tra i quali Binance, Coinbase, Poloniex, Bittrex, Bitstamp, MyEtherWallet e qualsiasi sito web che includa la parola “blockchain” nel proprio nome dominio. Le informazioni relative alle carte di credito e le credenziali di login vengono sottratte dai dati salvati localmente sia in Apple Safari che in Google Chrome, i due browser più utilizzati sui sistemi operativi Mac.

Oltre a ciò, CookieMiner scansiona le informazioni relative ai wallet e i messaggi di testo dai backup dell’iPhone, che vengono estratti e copiati in un “interestingfiles.txt” che gli attaccanti recuperano successivamente usando i comandi inviati tramite il loro server di comando e controllo.

CookieMiner estrae la criptovaluta Koto
CookieMiner usa la macchina infetta anche per il mining della criptovaluta anonima Koto (basata su Zcash), con l’aiuto del coinminer xmrig2: questo è palesemente un tentativo di massimizzare il potenziale di profitto dallo stesso attacco, ma anche di ricavare comunque qualcosa anche in caso di infezione su macchine che non presentano alcuno degli obiettivi su menzionati di questo malware.

Il mining di Koto. Fonte: bleepingcomputer.com

Alcune capacità di CookieMiner:
rubare i cookie di Google Chrome e Apple Safari;
rubare username e password salvate in Chrome;
rubare le credenziali delle carte di credito salvate in Chrome;
rubare i messaggi di testo in caso vi sia un backup di un iPhone sulla macchina infetta;
rubare chiavi e dati dei wallett di criptovaluta;
ottenere il pieno controllo sul dispositivo attaccato usando la backdoor EmPyre;
eseguire il mining di criptovaluta sulla macchina infetta.

logHD1

YOTTA WEB - Via Don F. Cabrio 14/D - 13900 Biella (BI)

P.IVA 02552590024 - C.F. SNTSVR77S27A859C - REA BI 194613

Copyright 2017 © YOTTA WEB All Rights Reserved

Privacy Policy