28d

Il malware SimBad infetta milioni di dispositivi Android

E’ stata individuata una sofisticata campagna malware che colpisce gli utenti Android tramite il Google Play Store: ad oggi le stime parlano di oltre 150 milioni di dispositivi Android compromessi a livello globale.

Soprannominato Simbad, questo malware si “traveste ” da ads per evitare sospetti e si nasconde dietro un Software Developement Kit (SDK) usato a fini di pubblicità e per generare profitto. Al momento il conteggio dei download delle app nelle quali è stato individuato questo malware ha raggiunto quasi i 150 milioni. Insomma, i cyber truffatori sono riusciti a truffare alcuni sviluppatori di app, convincendoli ad usare l’SDK dannoso senza che, ovviamente, fossero al corrente del contenuto dannoso nascosto al suo interno.

Che cosa fa SimBad?
SimBad anzitutto mostra insistentemente annunci dannosi, ma ha anche la capacità di lanciare attacchi di phishing: ha l’abilità infatti di reindirizzare gli utenti su siti web compromessi e scaricare ulteriori applicazioni dannose, sia da un server remoto ad esso collegato sia, e questo è davvero preoccupante, dal Play Store stesso.

Come funziona?
SimBad è difficilmente individuabile, una volta che ha infettato un dispositivo: l’app dannosa infatti nasconde la propria icona e funziona in background. L’utente quindi vede solo un continuo generarsi di annunci pubblicitari ogni volta che il dispositivo è in uso. Un utente poco esperto quindi difficilmente sospetterà che la responsabilità di tutti quei fastidiosi annunci sia una specifica app.

In quali app si trova questo malware?
Una larga fetta di applicazioni infette sono giochi di simulazione, ma ci sono anche editor fotografici e app wallpaper. Sotto la lista delle 10 app infette più scaricate:
Snow Heavy Excavator Simulator (10.000.000 download);
Hoverboard Racing (5.000.000 download);
Real Tractor Farming Simulator (5.000.000 download);
Ambulance Rescue Driving (5.000.000 download);
Heavy Mountain Bus Simulator 2018 (5.000.000 download);
Fire Truck Emergency Driver (5.000.000 download);
Farming Tractor Real Harvest Simulator (5.000.000 download);
Car Parking Challenge (5.000.000 download);
Speed Boat Jet Ski Racing (5.000.000 download);
Water Surfing Car Stunt (5.000.000 download).
La lista completa delle app infette dal malware SimBad è disponibile qui

Google è intervenuto…
rimuovendo le app infette non appena ricevuta la segnalazione. Consigliamo a tutti coloro che hanno installato una delle app elencate nella lista menzionata sopra di rimuovere immediatamente l’app e eseguire una scansione completa col software l’antivirus.

28c

Il malware Mirai si evolve e prende di mira le aziende

Il malware Mirai è stato sviluppato per la prima volta a cavallo tra la fine del 2015 e l’inizio del 2016 ed è diventato una minaccia effettivamente diffusa durante l’estate e l’autunno 2016, quando riuscì a diffondersi in migliaia di router e videoregistratori (distribuito tramite smart camera e sistemi di telecamere a circuito chiuso).

La botnet Mirai è una infrastruttura già usata per lanciare una lunga serie di attacchi, uno dei quali contro il blog KrebsONSecurity: l’attacco attirò le attenzioni delle forze di Polizia, obbligando l’autore del malware e pubblicare in rete il codice sorgente del malware. Questa mossa ha fatto sì che spuntassero decine di varianti di Mirai e che le tracce dello sviluppatore originale si confondessero ancora di più.

La nuova versione
La nuova variante di Mirai è stata individuata a fine Gennaio e sfrutta una serie impressionante di exploit: 27 per la precisione, di cui 11 assolutamente nuovi e mai riscontrati in attacchi reali.

I bersagli prediletti di questa versione sono i sistemi WePresent WiPG-1000 e le TV e LG Supersign: entrambi questi dispositivi sono utilizzati in ambiti aziendali. Nel caso delle TV LG la vulnerabilità sfruttata è la CVE-2018-17173, un bug che, gestendo in maniera scorretta alcuni parametri, lascia aperta all’attaccante la possibilità di eseguire codice da remoto. Per i sistemi WePresent invece la tecnica è quella dell’iniezione di comandi. Altri dispositivi presi di mira sono router e videocamere di sorveglianza, a ribadire ancora che il mondo dei dispositivi IoT deve ancora fare molti passi avanti dal punto di vista della cyber security. Infatti, oltre ai nuovi exploit, questa versione di Mirai utilizza ancora (e con successo) le credenziali predefinite dei dispositivi.

Altri dispositivi bersaglio sono:
router Linksys,
router ZTE,
router DLink,
dispositivi di storage di rete,
NVR e telecamere IP.
Che cosa fa Mirai?
In breve Mirai è un malware che infetta dispositivi IoT per renderli nodi di una botnet. Questa infrastruttura viene quindi usata per portare attacchi DDoS di piccole, medie e ampie dimensioni. Il fatto che questa versione colpisca principalmente dispositivi usati in ambito aziendale la rende molto preoccupante, poichè in questo caso i cyber attaccanti avrebbero a disposizione collegamenti a banda larga che gli utenti home non hanno: una botnet con tali caratteristiche ha un potenziale decisamente superiore rispetto a quanto visto fino adesso.
Ultime news

I dipendenti lavorano coi loro dispositivi personali? Ecco come proteggerli
21 marzo 2019
Lavorare su dispositivi personali piace molto ai dipendenti e sono sempre di più le aziende, di piccole e medie dimensioni, che ad…

Strage di account Office 365 e Gsuite: aziende nel mirino
15 marzo 2019
Sei mesi di indagini sono state necessarie per scoprire una delle più grandi campagne di cyber spionaggio mai avvenute ai danni di…

mSuite, per la sicurezza mobile. Tutto ciò che è utile sapere
11 marzo 2019
Ormai, tra i numerosi compiti e problematiche affrontate dai responsabili della sicurezza IT nelle aziende, la gestione dei

28b

L’università di Venezia scopre 10mila siti a rischio e mette (definitivamente) in dubbio la sicurezza del protocollo HTTPS

Lo studio è stato effettuato dall’Università Ca’ Foscari di Venezia (qui l’abstract del paper) e mette in dubbio, forse più nettamente di altri situazioni studi simili, l’effettiva sicurezza del protocollo HTTPS: insomma, la presenza di questa sigla nell’indirizzo di un sito non è più una condizione sufficiente per sentirsi tranquilli quando si naviga su un sito.

Come risaputo, il protocollo HTTPS serve a rendere sicura la comunicazione sul web fornendo un livello di protezione criptata che garantisca riservatezza e integrità alla comunicazione. Abilita inoltre l’autenticazione tra client e server. L’HTTPS si basa però, a sua volta, su un insieme di protocolli SSL / TLS che nel corso degli anni hanno dimostrato di avere alcune falle che ne hanno “certificato” una certa vulnerabilità. Questa problematica ha richiesto patch e mitigazioni sia nei server che nei browser, portando ad un complesso mix di diverse versioni di protocolli e implementazioni che, talvolta, rendono assai difficile capire quali tipi di attacchi siano ancora efficaci sul web e quali ripercussioni causino alle applicazioni di sicurezza.

Nel paper dell’Università di Venezia, i ricercatori presentano, per la prima volta, un tentativo di valutazione quantitativa e sistematica della vulnerabilità delle applicazioni web causata da vulnerabilità nei protocolli di criptazione. E quello che emerge, è uno scenario preoccupante.

Nell’abstract della ricerca, che sarà poi resa definitivamente pubblica a Maggio nell’ambito del 40° IEEE Symposium on Security and Privacy a San Francisco, i ricercatori affermano che i risultati indicano che un rilevante numero di siti web è gravemente compromesso da vulnerabilità di crittografia. Sono stati 10mila i siti web (assieme ai relativi sottodomini, per un totale di circa 100mila URL complessivi) analizzati, tra quelli più frequentati dagli utenti e sono state rilevate vulnerabilità a livello di TLS (Transport Security Layer) in 5574 host. Tra questi:
4818 sono risultati vulnerabili ad attacchi man-in-the-middle, dove un soggetto terzo si frappone e intercetta le comunicazioni tra client e server;
733 sono risultati a rischio di decriptazione completa (intendendo cioè il rischio che un attaccante possa decriptare le comunicazione e vederle completamente in chiaro);
912 a rischio decriptazione parziale.

Come conseguenza di queste vulnerabilità, i ricercatori spiegano che:
898 siti sono interamente compromissibili, consentendo l’iniezione di script, mentre 977 siti presentano una scarsa integrità della pagina dalla quale un attaccante potrebbe trarre vantaggio;
660 di questi 898 siti web vulnerabili includono script esterni da host vulnerabili, ampliando a dismisura la superficie di attacco;
il 10% dei form di login analizzati presentano vulnerabilità che potrebbero consentire il furto di password. 412 di questi sono soggetti al rischio di furto dei cookie, esposti al rischio di dirottamento (hijacking) della sessione;
142 siti includono anche contenuti provenienti da host vulnerabili ad un tracker piuttosto diffuso che espone gli utenti ad attacchi di profilazione, con il rischio che tale tipo di attacco possa, tenendo conto delle vulnerabilità qui elencate, estendersi fino a riguardare 986 siti web.

Insomma, considerando che il protocollo HTTPS nasce specificatamente per garantire che client e server siano gli unici soggetti a conoscere il contenuto dei pacchetti trasmessi e che non sia possibile l’intervento di terzi, siamo di fronte ad un grave problema: gli attaccanti potrebbero compromettere un sito web e, a cascata, compromettere indirettamente anche i portali che li ospitano. Emerge chiaramente come un numero limitato di vulnerabilità HTTPS “exploitabili” potrebbe amplificare a dismisura il rischio a causa della complessità dell’ecosistema web.

La buona notizia…
Ovviamente l’Università di Venezia ha già avvisato tutti i siti coinvolti e sono già state apportate le prime migliore di sicurezza: da Myspace a Linkeding, passando per Yandex, Baidu e altri.. L’altro dato che emerge chiaramente infatti è che la criticità più diffusa è sostanzialmente l’uso di tecnologie non correttamente aggiornate… insomma il problema esiste ed è mitigabile/risolvibile, ma non vi si presta abbastanza attenzione.

28a

Hai ancora fiducia negli antivirus mobile gratuiti?

Nel 2018 individuati 3059 malware per Android al giorno: hai ancora fiducia negli antivirus gratuiti?
– LUNEDÌ 25 MARZO 2019

Gli attacchi informatici contro gli smartphone, in particolare quelli che colpiscono dispositivi con il popolare sistema operativo Android, sono in crescita costante e questo è un trend che si sta confermando negli anni. Questo sistema operativo resta comunque diffusissimo: le persone continuano ad acquistare smartphone Android per il fatto che questi sono tra i dispositivi più economici da acquistare.

Tuttavia il 2018 si è concluso con una serie di dati e statistiche dei nostri Quick Heal Security Labs piuttosto inquietanti: abbiamo rilevato più di 3 milioni di malware per Android. Per questo, qui a Quick Heal, ci stiamo organizzando tenendo presente il fatto che il panorama dei dispositivi mobile diverrà quello più esposto e soggetto alle minacce informatiche nel 2019, prevedendo anche che il numero dei malware per tali dispositivi andrà ad aumentare.

Approfondimento >> Quick Heal: report annuale 2019 sulle minacce informatiche. I malware per Android

Ma esiste una soluzione?
Scaricare alcune app antivirus gratuite o economiche può proteggere i nostri smartphone dai cyber attacchi? Questo è esattamente quello che stanno facendo milioni di utenti Android in tutto il mondo.

La realtà è che questa non è affatto una buona soluzione.
Su 250 app antivirus per Android, testate da AV-Comparatives – più di 2/3 blocca meno del 30% delle minacce.
Detto in parole semplici, su 250 applicazioni antivirus testate contro una gamma di cyber minacce piuttosto comuni, meno di 1 su 10 è stata in grado di difendere il dispositivo contro i 2000 malware testati, mentre più di 2/3 hanno registrato un tasso di blocco inferiore al 30%. Insomma, per quanto sul mercato siano disponibili infinite app di sicurezza per i sistemi Android, solo una piccolissima parte di queste può effettivamente fornire una protezione efficace contro gli attacchi malware.

Pertanto, prima di installare un’app di sicurezza sul proprio dispositivo, è importante verificarne sia il livello di efficacia sia la genuinità. E’ vero che scegliere il giusto antivirus per il proprio dispositivo Android potrebbe rivelarsi una operazione complessa, specialmente per chi ha una conoscenza limitata del mondo degli antivirus. Un buon sistema per valutare i vari antivirus e distinguere le app fasulle e inefficaci è, intanto, iniziare dimenticando le app antivirus gratuite ed acquistare antivirus solo da vendor esperti di sicurezza, che investono costantemente nella ricerca di nuove minacce e rilasciando periodicamente aggiornamenti che mettono i dispositivi al riparo anche dalle minacce più recenti.

Insomma, la motivazione per la quale scegliere un antivirus a pagamento anzichè un app gratuita è che i vendor conoscono bene i rischi, grazie alla continua ricerca, e possono quindi fornire le soluzioni migliori.
Quick Heal Antivirus per Android è stato valutato tra le 250 app testate da AV-Comparatives, registrando un tasso di blocco delle minacce a cui è stato esposto del 99.8%.
Certo, alcuni potrebbero sostenere che le app Antivirus a pagamento sono un costoso investimento, ma forse vale la pena ricordare quanto potrebbe essere maggiormente oneroso se un dispositivo Android contenente password, foto, dati personali e privati finisse hackerato.

ita5

Un’indagine privacy “a tappeto”, tra Regioni, Province e Società

venerdì 15 marzo 2019
Dott.ssa Silvia Matteucci

Nonostante la maggior parte delle imprese e degli enti pubblici analizzati dalle Autorità per la protezione dei dati personali di 18 Paesi, inclusa quella italiana, mostri una buona comprensione dei concetti base del principio di responsabilizzazione “accountability”, permangono carenze significative in merito alla concreta attuazione di politiche e programmi specifici a tutela della protezione dei dati personali. Questo è quanto emerge dall’indagine a tappeto, a carattere internazionale, iniziata dallo scorso settembre dalle Autorità per la protezione dei dati personali appartenenti al Global Privacy Enforcement Network (GPEN), per verificare il rispetto del principio di accountability introdotto dal Regolamento europeo sulla protezione dei dati.

Ogni Autorità coinvolta ha scelto autonomamente lo specifico settore di analisi, dal turismo alla salute, dalla pubblica amministrazione alle telecomunicazioni. Il Garante per la privacy italiano ha analizzato Regioni e Province autonome, nonché le rispettive società controllate che effettuano rilevanti trattamenti di dati personali per lo svolgimento di compiti di interesse pubblico.

Il Garante privacy ha dichiarato che per le regioni italiane è ancora molto lontano il traguardo dell’adeguamento alla privacy europea, pur cogliendo negli ultimi mesi dei segnali di miglioramento. Dalla indagine risulta che:

il 48% delle Regioni non ha policy e procedure per la gestione di richieste e reclami da parte degli interessati;
il 20% delle regioni non ha ancora adottato una procedura interna per la gestione dei dati;
addirittura il 58% non ha processi documentati per la valutazione di impatto.

Pertanto gli esiti della ricerca fotografano comunque una realtà molto distante dall’allineamento alla normativa (Regolamento(UE) 2016/679) operativo fin dallo scorso 25 Maggio 2018.

Nello specifico, l’analisi ha coinvolto 19 soggetti pubblici tra regioni e province autonome e 54 società in-house, rilevando che 1/5 delle regioni non ha ancora adottato o applicato adeguatamente una procedura interna per la gestione dei dati. Mentre, il 48% delle regioni e, anche il 24% di società in-house non hanno policy e procedure per la gestione delle richieste e dei reclami da parte degli interessati, o delle stesse autorità. Tale punto, è sottolineato da parte del Garante, come un grave inadempimento. Inoltre, 1/5 delle organizzazioni non ha ancora una procedura di risposta agli incidenti di sicurezza “data breach” e 1/4 non ha nemmeno un registro per documentare le violazioni subite. Il 58% delle regioni e il 24% delle società in-house non ha processi per la valutazione dei rischi sulla protezione dei dati personali, in relazione all’utilizzo di nuovi prodotti, tecnologie o servizi. Altresì, il Garante ha aggiunto che, anche se, la maggior parte dei soggetti analizzati ha creato un registro dei trattamenti, 1/5 delle regioni dovrebbe fare uno sforzo maggiore per tenere traccia anche dei dati personali comunicati o trasmessi a terzi. Infine sono state rilevate alcune note positive, le informative agli interessati sono adeguate, anche se alcune organizzazioni appaiono limitarsi a presentare la sola privacy policy del sito web.

Sintesi dei risultati Italiani

Governance della privacy.

1/5 delle regioni non ha ancora adottato una procedura interna per la gestione dei dati personali nell’organizzazione o non l’ha applicata correttamente nelle attività quotidiane. Quasi tutte, però, hanno incaricato una o più persone competenti in materia di governance e gestione della protezione dei dati personali, a un livello gerarchico sufficientemente elevato nell’organizzazione.

Formazione, monitoraggio e consapevolezza.

La maggior parte delle regioni e delle società in-house riconoscono l’importanza di un’adeguata formazione dei dipendenti in materia di protezione dei dati personali. Nel 40% dei casi, però, le organizzazioni non hanno posto in essere alcun monitoraggio in merito all’attuazione di corrette pratiche nel trattamento dei dati personali.

Trasparenza

E’ garantita un’adeguata trasparenza nel trattamento dei dati, attraverso specifiche informative agli interessati sul trattamento dei dati personali. Tali informative, di solito, sono costantemente aggiornate e facilmente accessibili, sebbene alcune organizzazioni appaiono limitarsi a presentare la sola privacy policy del sito web.

Capacità di risposta e gestione degli incidenti di sicurezza

E’ grave che il 24% delle società e il 48% delle Regioni non abbiano definito policy e procedure per la gestione delle richieste e dei reclami da parte degli interessati, o delle stesse Autorità.

Persistono ancora carenze in merito alla gestione degli incidenti di sicurezza “Data Breach” tanto che un quinto delle organizzazioni non ha ancora implementato una procedura di risposta agli incidenti di sicurezza che includa, tra l’altro, la notifica all’Autorità e, in caso di alto rischio per le libertà e i diritti degli interessati, anche la comunicazione a questi ultimi. 1/4 delle organizzazioni, inoltre, sembra non disporre di un registro per documentare le violazioni subite.

Valutazione e monitoraggio dei rischi

Il 24% delle società in-house, ma addirittura il 58% delle Regioni, non hanno processi documentati per la valutazione dei rischi sulla protezione dei dati personali (DPIA), in relazione all’utilizzo di nuovi prodotti, tecnologie o servizi.

La maggior parte dei soggetti analizzati ha creato un registro dei trattamenti effettuati. Un quinto delle Regioni, però, dovrebbe fare uno sforzo maggiore per tenere traccia anche dei dati personali comunicati o trasmessi a terzi.

Sintesi dei risultati internazionali (analizzati 356 soggetti pubblici e privati in 18 paesi)

Quasi il 75% degli organismi contattati, a prescindere dal settore o dal paese di attività, hanno designato un responsabile o una unità incaricati di garantire il rispetto delle norme in materia di protezione dei dati.
Mentre si pone grande attenzione alla formazione del personale in materia di protezione dei dati, spesso non si provvede a un aggiornamento di tale formazione.
Circa 1/4 degli organismi risultano privi di specifici programmi di autovalutazione o di monitoraggio interno delle norme in materia di protezione dei dati.
Gli organismi che dispongono di programmi di monitoraggio interno segnalano in genere esempi di buone prassi, quali rilevamenti o indagini svolte con cadenza annuale e/o attività periodiche di autovalutazione.
Oltre la metà dei soggetti presi in esame risulta disporre di procedure documentabili di risposta in caso di incidenti che riguardano la sicurezza dei dati, nonché di registrazioni aggiornate di tutti gli incidenti e le violazioni di sicurezza. Tuttavia, molti organismi non hanno ancora procedure atte a rispondere adeguatamente a questi eventi.

ita4

Raffica di attacchi che sfruttano una vulnerabilità di WinRAR per diffondere malware: c’è pure un ransoware

Raffica di attacchi che sfruttano una vulnerabilità di WinRAR per diffondere malware: c’è pure un ransoware
martedì 19 marzo 2019

WinRAR è un programma estremamente diffuso e popolare, il più usato dagli utenti Windows per la gestione di archivi compressi in diversi formati: non ci sono dubbi quindi che, per i cyber attaccanti, sia un target sicuro che permette un vasto “terreno di caccia”. Qualche giorno fa il ricercatore Nadav Grossman ha denunciato la presenza in WinRAR di un bug presente da oltre 19 anni e mai scoperto: una vulnerabilità 0-day di livello critico.

La problematica ruota attorno al formato compresso ACE: è nella gestione dei file compressi in questo formato che si annida la vulnerabilità CVE-2018-20250, che consente l’esecuzione di codice da remoto al momento stesso in cui viene estratto il file. Se infatti un utente apre un archivio compromesso in formato ACE usando WinRar, un eventuale malware contenuto al suo interno può essere immediatamente installato sul computer. Ma un exploit con successo di questo bug consente all’attaccante anche altre azioni dannose, come la possibilità di estrarre file nella cartella che contiene i programmi di startup, quelli che vengono immediatamente eseguite all’avvio stesso del pc o la possibilità di sfruttare il protocollo SMB per diffondersi ulteriormente nella rete. Il rischio di contagiosità poi è elevatissimo, dato che gli archivi compressi sono pensati appositamente per la condivisione agile e veloce di file pesanti.

E qui arriva la parte peggiore del problema: il team di sviluppo di WinRAR ha fatto sapere che il progetto UNACEV2.DLL (la libreria di terze parti necessaria per l’estrazione degli archivi ACE) non è aggiornata dal 2005 e il suo codice sorgente non è accessibile. Così da WinRAR fanno sapere che, non essendo approntabile alcuna patch, semplicemente il formato ACE non sarà più supportato dalla versione 5.70 beta1.

Dalla pubblicazione della notizia una raffica di attacchi
Che una vulnerabilità di questo tipo sia grave è chiaro, ma i cyber criminali l’hanno voluto ribadire a chiare lettere avviando una raffica di attacchi, fino a battere il record di quasi 100 diversi exploit usati in pochissime settimane per forzare la falla. Un primo attacco, denunciato dal 360 Threat Intelligence Center, avviene intorno al 20 Febbraio e sfrutta classiche tecniche di phishing: gli attaccanti diffondevano un file ACE contenente numerose immagini di attraenti donne e “lì in mezzo” hanno inserito il codice che attiva l’exploit.

Fonte: securityinfo.it

In questo caso veniva scaricato il payload di un trojan ben conosciuto, OfficeUpdateService.exe, usato per accede e rubare dati e informazioni sensibili sul computer infetto.

Negli USA invece è stata diffusa una versione compromessa del nuovo album musicale di Ariana Grande, con “sorpresa”: al suo intero il codice di exploit che consente di aggiungere malware alla cartella dei software di startup.

Il ransomware JNEC.a
il ransomware JNEC.a è stato individuato pochissimi giorni fa e si diffonde proprio sfruttando la vulnerabilità del formato ACE. Una volta eseguito, cripta i dati sul computer (ma anche nelle condivisioni di rete) e vi aggiunge l’estensione di criptazione .Jnec. Il riscatto ammonta a 0.05 Bitcoin, circa 200 dollari statunitensi. La nota di riscatto contiene ovviamente l’indirizzo per il pagamento del riscatto, peccato che questo non sia registrato e sia compito della vittima farlo per ottenere la chiave di decriptazione.

Un’altra stranezza di questo ransomware, la cui diffusione non pare geografica ma “a macchia di leopardo” è il fatto che l’autore del malware fornisce alla vittima, tramite il file di testo JNEC.README.TXT (scaricato sul computer subito dopo la criptazione dei file), chiare indicazioni per la creazione di uno specifico account email GMAIL sul quale ricevere istruzioni mirate.

Fonte: bleepingcomputer.com

L’archivio che contiene il ransomware è ovviamente in formato ACE ed avvia l’exploit grazie alla vulnerabilità di WinRar (fatta eccezione per la v.5.70, l’unica non vulnerabile). L’archivio contiene una immagine corrotta di una ragazza che, una volta decompressa, si attiva e genera un errore, mostrando l’immagine incompleta.

Che l’utente cerchi di capire quale errore tecnico generi la visualizzazione corrotta della foto, sia che cestini l’archivio, poco cambia: il ransomware è già nel sistema, inserito nella cartella di Startup di Windows. Si eseguirà al successivo avvio di sistema. Come tecnica di camuffamento, il processo del ransomware è stato chiamato GoogleUpdate.exe, nell’evidente tentativo di essere scambiato per un processo legittimo.

NESSUNO PAGHI IL RISCATTO
se pagare il riscatto è generalmente sconsigliabile , in questo caso lo è ancora di più: il ricercatore di sicurezza Michael Gillespie, esperto di ransomware, ha analizzato il codice del malware e ha scoperto che la routine di criptazione ha un bug. In parole semplici, è probabile che neppure lo sviluppatore del ransomware possa riportare in chiaro i file.

ita3

Strage di account Office 365 e Gsuite: aziende nel mirino

Strage di account Office 365 e Gsuite: aziende nel mirino
15 Marzo 2019
Sei mesi di indagini sono state necessarie per scoprire una delle più grandi campagne di cyber spionaggio mai avvenute ai danni di aziende. L’attacco ha preso di mira gli account Microsoft Office 365 e G Suite protetti con autenticazione multi-fattore e ha sfruttato il fatto che il protocollo di autenticazione IMAP bypassa l’autenticazione a fattori multipli, consentendo agli attaccanti di eseguire un attacco di credential stuffing contro asset che, altrimenti, sarebbero state protette.

C’è voluta una indagine di oltre 6 mesi sui principali co-proprietari (anche se sarebbe più corretto dire “tenants”) di servizi in cloud per individuare e analizzare i massicci attacchi ai danni di aziende in tutto il mondo. Si è trattato di un attacco di brute-forcing intelligente che ha preso di mira il servizio di posta elettronica perchè non prevede, al contrario dei meccanismi di login dei servizi cloud di Microsoft e Google, l’uso di sistemi di autenticazione a due fattori.

La tecnica viene chiamata “password spraying” e prevede di invertire la normale prassi per il brute-forcing: invece di provare un numero infinito di password su un singolo account, è stata provata la stessa password su un gran numero di account. Il risultato è che i tentativi di accesso vengono in questo modo diluiti, così da non far scattare nessun allarme di sicurezza. In questa maniera gli attaccanti sono passati praticamente inosservati, dato che i tentativi di brute-forcing venivano registrati come semplici tentativi di accesso falliti da parte degli utenti.

Qualche numero…
Anzitutto, l’attacco ha riguardato circa il 2% degli account attivi nel mondo, ma, ciò che è incredibile è la percentuale di successo: quasi il 40%. Tali risultati si devono anche all’uso del credential stuffing, ovvero dell’uso di database con credenziali rubate (come Collection #1) per creare varianti verosimili delle password più utilizzate. I ricercatori anzi sospettano che sia stato usato proprio il patrimonio di credenziali di Collection#1, dato che tra tutte le violazioni riuscite, il picco è registrato a Dicembre 2018, quando appunto Collection#1 è stato pubblicato nel dark web.

L’infrastruttura di attacco
Pare che gli attacchi siano originati da migliaia di dispositivi compromessi, la maggior parte dei quali erano router e server, dislocati in svariate parti del mondo. La maggior parte degli attacchi invece sembrano provenire da Nigeria (40%) e Cina (26%), ma questo dato è poco significativo dato che è da darsi per scontato l’uso di VPN per il lancio degli attacchi.

Lo schema di attacco. Fonte: bleepingcomputer.com

Perchè questo attacco?
Si sospetta che questi attacchi su account Office e G Suite siano solo un primo step di una campagna di attacci più ampia, che preveda anche tecniche di movimento laterale (come nel caso di WannaCry) entro i sistemi attaccati.

Traendo comunque qualche conclusione, al di là delle dimensioni impressionanti di questo specifico attacco, c’è da notare come sia più che verosimile aspettarsi, nel prossimo futuro, sempre più attacchi di questo tipo: l’adozione sempre più capillare di servizi in cloud da parte delle aziende ha sicuramente avuto effetti positivi per le aziende, ma ha anche ampliato a dismisura la “superficie di attacco” per i cyber criminali.

ita2

Servizi VPN per Android: oltre il 62% richiede permissioni invadenti e superflue.

Servizi VPN per Android: oltre il 62% richiede permissioni invadenti e superflue.
giovedì 14 marzo 2019

Il ricercatore di sicurezza John Mason, esperto di privacy e servizi di Virtual Private Network, qualche tempo fa ha rivelato un dato molto interessate, ovvero che la maggior parte dei servizi VPN gratuiti forniti dalle big corporation raccolgono moltissimi (ok, forse è il caso di dire troppi) dati degli utenti.

Così Mason ha deciso di approfondire ulteriomente il tema, analizzando il comportamento rispetto alla privacy degli utenti delle più diffuse e popolari VPN per Android, sia gratuite che a pagamento: il risultato, lo scrive lui stesso, è stato scioccante!

Il 62% delle App VPN per Android richiede permissioni pericolose
Quando ci si approccia al tema dell’abuso dei dati, specialmente nell’ambito dei dispositivi mobile, è importante individuare per prima cosa quale sia il problema reale e, nel mondo mobile, tutto ruota attorno al tema delle permissioni che gli utenti concedono alle app VPN quando queste vengono installate sul dispositivo.

La documentazione ufficiale degli sviluppatori Android classifica le permissioni concesse alle app in due categorie:

– permissioni normali, richieste perchè necessarie per il funzionamento di una app;
– permissioni pericolose, ovvero che mettono a repentaglio la privacy degli utenti e, spesso, non sono neppure necessarie al corretto funzionamento delle app (almeno per gli scopi apertamente dichiarati).

Contestualizzato il tema, vediamo i risultati degli studi di Mason: sono state oltre 82 le app VPN più popolari poste in analisi. I risultati sono impressionanti: oltre il 62% di queste app VPN richiede permissioni pericolose che non sono assolutamente necessarie per il corretto funzionamento dell’app e per i compiti per i quali viene presentata. Se già questo è grave, ancora più grave è che anche i servizi VPN a pagamento non fanno eccezione, anzi (la lista delle app VPN incriminate, con le relative permissioni richieste, è consultabile qui)

Che tipi di permissioni vengono richieste da queste app?
Eccone alcuni esempi:

permissione WRITE_EXTERNAL_STORAGE –
consente ad un’app di scrivere sulla memoria esterna (ad esempio la scheda SD;
permissione READ_EXTERNAL_STORAGE –
permette ad un’app di leggere i dati contenuti sulla memoria esterna (ad esempio la scheda SD);
permissione READ_PHONE_STATE –
consente l’accesso di sola lettura allo stato del telefono, inclusi il numero di telefono, le informazioni sulla rete e lo stato di ogni chiamata in entrata e uscita;
permissione ACCESS_COARSE_LOCATION e ACCESS_FINE_LOCATION –
consentono ad un’app di geolocalizzarti;
permissione ACCESS_WIFI_STATE –
consente ad un’app di avere accesso alle informazioni relative alle reti Wi-Fi;

E’ consigliabile non usare più questi servizi VPN?
Non necessariamente, spiega Mason: ad esempio, alcune delle VPN citate nello studio, e che sono tra le migliori in circolazione, sono state citate in giudizio proprio dall’FBI e il procedimento ha dimostrato che non c’è stato abuso dei dati raccolti. Tuttavia le autorizzazioni che molte di queste richiedono sono del tutto inopportune e non necessarie al funzionamento delle app, quindi, tecnicamente, non v’è ragione di richiederle. Fatto dimostrato dall’evidenza che alcune famose VPN (ExpressVPN, ProtonVPN, CyberGhost per fare alcuni esempi) non richiedono alcuna permissione eccessiva o pericolosa e sono perfettamente funzionanti.

Insomma secondo Mason non si deve affatto rinunciate alla privacy abbandonando i servizi VPN: al contrario occorre consapevolezza da parte dell’utente e anche l’impegno da parte degli sviluppatori al rispetto della privacy affinchè venga evitato qualsiasi abuso di utilizzo dei dati degli utenti. Ovviamente occorre grande attenzione al momento dell’installazione di queste app (ma il consiglio vale in tutti i casi): è consigliabile verificare attentamente il tipo di permissioni richieste rispetto alla tipologia di servizio offerta dall’app che si sta installando (un’app per il meteo non ha bisogno di accedere alla rubrica dei contatti telefonici, ad esempio), ma anche il numero di permissioni richieste (troppe permissioni richieste, inutile dirlo, creano sospetto).

ita1

Italia ancora sotto attacco: documenti Excel compromessi nascondono il trojan bancario Gozi

Italia ancora sotto attacco
mercoledì 20 marzo 2019

Il Cert-PA ha reso nota una campagna di diffusione malware via email pensata appositamente per utenti italiani. Ricalca una campagna avvenuta poco tempo fa, sempre contro utenti italiani (ne abbiamo reso nota qui), che utilizza tecniche di steganografia per evitare l’individuazione da parte dei sistemi di sicurezza perimetrali.

Il testo dell’email vettore, in italiano, è visibile sotto:

L’allegato di cui parla il corpo email è il documento Excel compromesso. Questo contiene una macro con un basso livello di offuscamento che utilizza Windows Management Instrumentation (WMI) per lanciare uno script in Powershell.

Nella routine Woorkbook_Open si nota un apice: l’apice è la conversione in CP1252 del numero 39, il codice paese dell’Italia. Questa versione del dropper VBA, quindi, avvia le proprie funzioni dannose solo contro utenti italiani. Se il controllo sulla nazionalità della vittima passa, il dropper avvia l’esecuzione di una serie di payload (ben 5, uno per ogni stadio più il payload finale). Tutti questi stadi, ben 6, servono fondamentalmente ad eludere i controlli degli antivirus.

I payload sono altamente offuscati: al 5° stadio dell’infezione si ottiene il seguente payload (il Cert-PA lo presenta in forma deoffuscata).

Viene quindi scaricato il prossimo stadio di infezione, contenuto stenografato all’interno di questa immagine:

Il payload che viene scaricato dallo script steganografato nell’immagine è il payload finale, scaricato dall’URL che si vede in immagine

L’URL è già conosciuto alla comunità italiana e, al momento dell’analisi (19/03/2019), il malware era già stato rimosso.

Il malware Gozi
Il malware diffuso con questa campagna non è affato nuovo: rinominato Gozi, è un trojan bancario che colpisce le operazioni di banking online. Quando il sistema è infetto, Gozi cerca di intromettersi nell’operazione di banking online che l’utente sta eseguendo per effettuare un bonifico verso un conto terzo senza che l’utente del browser infetto se ne possa accorgere.

La maggior parte degli antivirus più diffusi individua comunque sia il malware che il dropper VBA

w10

Google scopre vulnerabilità critica in Windows 7 e consiglia l’update a Windows 10

Google raccomanda agli utenti di Windows 7 di passare prima possibile all’ultima versione del sistema operativo, Windows 10: qualche giorno fa infatti i ricercatori di Google hanno individuato una vulnerabilità 0-day (ovvero sconosciuta e scoperta solo perchè usata in attacchi reali) classificata come critica. Il bug riguarda il driver del kernel Windows win32k.sys e può condurre, se sfruttato con successo, all’escalation di privilegi.

Google ha individuato questa vulnerabilità in attacchi mirati, collegata ad una seconda vulnerabilità 0-day di Google Chrome, la CVE-2019-5786: quest’ultima ha già ricevuto una patch il 1 Marzo, con il rilascio della versione 72.0.3626.121.

Upgrade a Window 10
La vulnerabilità del driver del kerner può essere utilizzata anche per evitare la protezione sandbox, quando sfruttata in maniera concatenata con altri bug del browser, quindi gli utenti, spiega Google, potrebbero rimanere affetti da questa vulnerabilità anche qualora aggiornassero Google Chrome alla versione più recente.

In ogni caso i tecnici di Google fanno sapere che questa vulnerabilità è stata sfruttata in attacchi reali solamente contro i sistemi Windows 7: probabilmente quindi questa versione del SO di Microsoft è l’unica afflitta da questa vulnerabilità perché le mitigazioni introdotte da Microsoft nelle versioni più recenti, in particolare Windows 10, sembrano in grado di prevenire questo exploit.

Questo il motivo per cui Google invita all’installazione di Windows 10 per tutti gli utenti che ancora hanno in uso Windows 7.

Non ci sono patch
La vulnerabilità in oggetto non è stata scoperta da Microsoft: Google ha fatto sapere di aver inviato un report su tale problematica a Microsoft e di aver atteso i 7 giorni consuetudinari prima di rendere pubblica la vulnerabilità. Microsoft, per adesso, si è limitata a far sapere che è in preparazione un fix, ma, finché tale fix non verrà distribuito, gli utenti di Windows 7 sono a rischio.

logHD1

YOTTA WEB - Via Don F. Cabrio 14/D - 13900 Biella (BI)

P.IVA 02552590024 - C.F. SNTSVR77S27A859C - REA BI 194613

Copyright 2017 © YOTTA WEB All Rights Reserved

Privacy Policy