cr

[Alert] Vulnerabilità critica di Google Chrome sfruttata in attacchi reali

Consigliamo a tutti gli utenti di aggiornare prima possibile all’ultima versione disponibile la versione di Google Chrome in uso. Il ricercatore di sicurezza del Threat Analysis Group di Google Clement Lecigne ha scoperto e reso pubblica una grave vulnerabilità in Chrome, già sfruttata in attacchi reali.

Che cosa è?
La vulnerabilità in questione è la CVE-2019-5786, è una 0-day (ovvero era sconosciuta quando è stata sfruttata in attacchi) ed è sfruttabile in tutti i sistemi operativi, compresi Windows, Apple macOs e Linux: è stata valutata come vulnerabilità critica perché, se sfruttata, può consentire ad un attaccante da remoto sia di eseguire codice arbitrario ed ottenere il pieno controllo del sistema sia di lanciare attacchi DoS.

Da Google non sono trapelati molti dettagli tecnici: ad ora si sa che la problematica è una vulnerabilità di tipo use-after-free nel componente FileReader del browser Chrome, il cui exploit consente attacchi di “remote code execution”. Per vulnerabilità user after free si intende un bug che corrompe il meccanismo con cui un app accede alla memoria del computer: tale bug può essere sfruttato per installare software dannosi o corrompere il funzionamento del sistema, fino al crash. Insomma, il tipico bug di corruzione della memoria.

L’analisi degli attacchi già avvenuti ha indicato che il codice dannoso viene seguito con i diritti dell’utente usato per avviare Chrome. Ciò significa che chi non usa abitualmente l’account admin è meno esposto a questo attacco.

Dove si trova?
Come detto, la vulnerabilità in questione riguarda FileReader, che è una API standard di Chrome. FileReader consente a Chrome di accedere al contenuto dei file memorizzati sulle unità di memorizzazione locali.

Che cosa fare?
Per prima cosa, verificate la versione di Google Chrome installata, digitando, nella barra degli indirizzi Chrome://settings/help. Se il browser è aggiornato alla versione 72.0.3626.121 la falla è già stata risolta. Altrimenti è molto importante eseguire l’update della versione.

Google ha rilasciato la 72.0.3626.121 all’inizio del mese, ma ha modificato ieri le note pubblicate in relazione alla nuova versione specificando che una delle problematiche di sicurezza risolte dall’update è attivamente in uso da parte di gruppi di cyber attaccanti.

sp

Operazione “Pistacchietto”: la campagna di spionaggio tutta italiana

Nei giorni scorsi i ricercatori di Yoroi hanno analizzato una nuova campagna in corso in Italia. L’hanno ribattezzata “Operation Pistacchietto”, dallo username di un account Github utilizzato per fornire alcune parti del malware. L’origine tutta italiana della campagna è confermata da varie prove tra le quali in rinvenimento di parole come “pistacchietto” appunto e “bonifico” nei nomi file e negli script della campagna, ma anche dalla localizzazione geografica della maggior parte dei server di comando e controllo.

Location dei server. Fonte: Yoroi Blog

Analisi tecnica
La campagna, dopo attenta analisi, si è rivelata essere piuttosto complessa, composta da diversi malware con compiti specifici, creati per colpire piattaforme diverse sia desktop che mobile.

I malware per Windows
La campagna si avvia tramite una pagina Java fake minimale, che invita gli utenti ad aggiornare la propria versione Java facendo clic su un link.

Nonostante la pagina riporti come nome file “windows-update.hta”, il clic su update scarica un file .bat. Questo file registra un bassissimo livello di individuazione da parte dei più diffusi motori antivirus. Stando ai riscontri di Virustotal, soltanto 11 motori antivirus su 57 in esame individuato il file.

Analizzando il codice del file win.bat si ha l’impressione che sia una prima bozza, dato che è letteralmente infarcito di commenti e, la prima parte, è un vero e proprio copia e incolla di una porzione di codice recuperata dalle repository pubbliche di Github. Lo script si compone di due parti: una prima che serve a richiedere i privilegi di amministrazione per l’utente, la seconda invece serve sia a scaricare altri componenti sia ad ottenere la persistenza sul sistema, sfruttando il Windows Task Scheduler (schtasks).

La seconda parte esegue una verifica dell’architettura della macchina bersaglio e, in base ai risultati ottenuti, scarica i componenti adatti da config01.homepc.it, tra i quali:

un file di testo contenente nuove azioni da eseguire,
l’utility per Windows NETCAT,
l’utility per Windows WGET,
una lunga altra serie di file dannosi (get.vsb, sys.xml, syskill.xml, woffice.exe, init.vbs ecc…)

Una parte del codice del file bat. Fonte: Yoroi Blog

Nel codice i ricercatori notano una serie di URL commentati, che poi sono stati modificati e aggiornati diverse volte proprio durante i giorni di analisi: fatto che indica come questo malware sia, attualmente, una bozza in manutenzione.

Lo script batch, dopo aver seguito il download di tutti i componenti, ne salva la maggior parte nella cartella %windir%, mentre il core del malware viene “stoccato” in C:\Program Files\Windows Defender. A questo punto lo script imposta una serie di task automatiche tramite il Windows Task Scheduler così da avviare periodicamente i file dannosi.

In dettaglio: alcuni dei file dannosi
Come detto i file dannosi che compongono questa campagna sono molteplici, così i ricercatori di Yoroi ne hanno riportati soltanto alcuni. In breve:

1. office_get.xml
è un file xml contenente la configurazione di una nuova task programmata. L’unico scopo è di questa task è l’avvio, in maniera periodica, di uno script VisualBasic contenuto in C:\WINDOWS\get.vbs

2. get.vbs
Questo script scarica un file da Google Drive, contenente una lista di URL.

Durante il check-in il malware raccoglie ed estrae alcune informazioni sul PC (nome del computer, indirizzo MAC ecc…) e li invia al server C&C: il server risponde quindi con un messaggio criptato che indica le nuove azioni che il malware deve eseguire. Eseguiti questi compiti, lo script apre la connessione al server usando il tool Netcat scaricato in precedenza: in questa maniera l’attaccante ottiene l’accesso alla shell della vittima. Detto in breve, l’attaccante ottiene così una backdoor (in Python) sul sistema della vittima.

I file woffice.exe, woffice.exe2 ecc… hanno comportamento simile a quanto analizzato sopra, ma usa un differente server di comando e controllo: in questo modo l’attaccante crea rdifferenti copie della stessa backdoor e le imposta affinchè vengano eseguite in contemporanea probabilmente come tecnica di resilienza. Questi file altro non sono che la versione compilata di “woffice.py”, il file in Pyhton contenuto nella repository Pistacchietto.

I malware per Linux, OSX e Android
I tecnici di Yoroi spiegano che l’arsenale di questo attaccante è pensato e preparato per aprire funzionare su differenti architetture: oltre a Windows, vi sono tutti i campioni necessari perchè l’attacco funzioni anche su dispositivi Linux, Mac e Android. Il comportamento è lo stesso analizzato precedentemente: lo scopo è impostare l’esecuzione automatica della backdoor Python.

Nel caso dei dispositivi Android, si aggiunge un ulteriore componente dannosa, un RAT (remote access trojan): parliamo di AhMyth Android Rat, in una versione rimodificata dall’attaccante per includere gli indirizzi IP dei propri server di comando e controllo.

Le conclusioni dei ricercatori
I ricercatori di Yoroi spiegano di essersi trovati di fronte ad una campagna ben più complessa di quanto avessero inizialmente pensato: nonostante la mancanza di infrastrutture professionali e, anzi, nonostante l’uso della tecnica del “nascondiglio in bella vista” e tutte le possibili speculazioni sulla natura amatoriale di tale campagna, quello che emerge dall’analisi è una operazione di spionaggio di lunga durata, attiva già da anni e tra le pochissime adattate alle principali piattaforme in uso, in grado di infettare host Windows, sistemi Mac, server Linux, dispositivi mobile Android. La backdoor Pistacchietto infatti è attiva fin dal 2016. Difficile dire quali siano gli scopi di tale campagna, anche se probabilmente è da escludere lo spionaggio internazionale (non sembra affatto una campagna “state-sponsored”. Da Yoroi si limitano soltanto a ricordare che operazioni di spionaggio fai da te di questo tipo hanno già riguardato l’Italia, come la campagna di spionaggio Occhionero del 2017 che colpì amministrazioni, imprenditori e perfino l’ex Primo Ministro Italiano.

az

STOP ransomware: cripta i file e installa il trojan Azorult per il furto delle password

Individuata per la prima volta nei giorni di Natale del 2017, la famiglia di ransomware STOP conta ormai già quasi una ventina di diverse versioni, suddivisibili in due gruppi facilmente individuabili dall’estensione che aggiungono ai file dopo la criptazione.

1. Gruppo STOP:
– sottogruppo STOP :
estensioni – STOP, .SUSPENDED, .WAITING, .PAUSA, .CONTACTUS, .DATASTOP, .STOPDATA
– sottogruppo KEYPASS: estensioni – .KEYPASS, .WHY, .SAVEfiles
– sottogruppo DATAWAIT:estensioni .DATAWAIT, .INFOWAIT
– sottogruppo Puma :estensioni .puma, .pumax, .pumas, .shadow

2. Sottogruppo Djvu
– sottogruppo Djvu-1:
estensioni: .djvu, .djvuu, .udjvu, .djvuq, .uudjvu, .djvus, .djvur, .djvut, .djvup, .djvuu, .djuvq
– sottogruppo Djvu-2:
estensioni .pdff, .tro, .tfude, .tfudeq, .tfudet, .rumba, .adobe, .adobee
– sottogruppo Promo:
estensioni .blower, .promos, .promoz, .promock, .promorad, .promok, .promorad2 …

Le prime versioni utilizzavano l’algoritmo di criptazione AES, ma, le più recenti hanno sperimentato diverse modalità di criptazione. L’ammontare del riscatto varia da versione a versione, oscillando tra i 200 e i 600 dollari statunitensi in Bitcoin. Mira principalmente sistemi nei quali è impostata la lingua inglese, ma si sono riscontrate infezioni in più parti d’Europa.

Il meccanismo di criptazione
Ovviamente, le varie versioni differiscono tra di loro, quindi ci limitiamo a sottolineare le somiglianze:

i vettori di diffusione sono molteplici e variano da campagna a campagna: quelli ricorrenti sono l’uso di allegati dannosi diffusi via email, attacchi a configurazioni RDP non protette e software dannosi;
subito dopo l’avvio, il file eseguibile di STOP si connette al server di comando e controllo per ricevere una chiave di criptazione e l’ID della vittima. I dati sono trasmetti tramite il semplice protocollo HTTP e in formato JSON;
se il server C&C non è disponibile (perchè la macchina infetta non è connessa ad Internet o il server incontra malfunzionamenti) viene comunque eseguita una criptazione offline, usando la chiave di criptazione e l’identificativo inseriti nel codice stesso del ransomware. I questo caso è possibile la decriptazione senza pagare il riscatto;
sostituisce il processo legittimo rdpclip.exe di Windows con una copia compromessa e lanciare così l’attacco alla rete di computer.

L’ultima versione in diffusione ruba anche le password
individuata qualche giorno fa, l’ultima versione della famiglia STOP non si distingue tanto per il meccanismo di criptazione o di estorsione del riscatto, che non variano molto rispetto alle versioni precedenti. La particolarità è invece che STOP in questa campagna non viene da solo, ma accompagnato da una vecchia conoscenza: il trojan per il furto di password Azorult.

Azorult è un trojan che attacca principalmente i computer e tenta il furto di username e password salvate nei browse, dei file sul desktop della vittima, dei wallet di criptovaluta, le credenziali di Steam, la cronologia del browser, la cronologia dei messaggi di Skype e molte altre informazioni sensibili. Tutte queste informazioni sono quindi caricate sul server remoto sotto controllo degli attaccanti.

Un comportamento simile, va detto, era stato notato con la scoperta della prima variante DJVU, diffusa tramite software fake in Gennaio: analisi approfondite avevano dimostrato come il componente principale scaricava ulteriori componenti, tutte finalizzate allo svolgimento di differenti compiti sulla macchina infetta. Tra questi compiti, c’era anche l’uso di una falsa finestra di Windows Update per ingannare l’utente durante la routine di criptazione, l’arresto di Windows Defender, il blocco dell’accesso a siti di sicurezza ecc…

La falsa schermata di update

STOP, versione PROMORAD
questa è appunto la versione in diffusione attualmente, concatenata a Azorult: il nome deriva al fatto che questa versione cripta i file e vi aggiunge l’estensione .promorad. Terminata la criptazione dei file (questo ransomware bersaglia la maggior parte dei tipi di file che sono comunemente presenti sui pc), crea il file _readme.txt contenente la nota di riscatto.

Fonte: bleepingcomputer.com

Tra i file scaricati dal ransomware, i ricercatori di BleepingComputer hanno individuato anche un file chiamato 5.exe: una volta eseguito, questo programma crea del traffico di rete che è identico alle comunicazioni col server C&C tipiche di Azorult.

Le comunicazioni di rete di Azorult. Fonte: bleepingcomputer.com

C’è una soluzione?
Anzitutto, alcune delle versioni di questo ransomware sono decriptabili e, come detto, per quanto riguarda le criptazioni offline ci sono ancora più possibilità di avere di nuovo i propri file in chiaro. Inoltre il tasso di individuazione del trojan Azorult da parte dei motori antivirus più comuni è ormai molto alto.

Detto questo, è già grave essere vittima di un ransomware, ma sapere che anche password e documenti possono essere rubati aggiunge ulteriori problemi: chiunque abbia subito infezioni da parte di uno dei ransomware della famiglia STOP, oltre che preoccuparsi di come rientrare in possesso dei propri file, dovrebbe anche cambiare le password di software come Skype, Telegram, client FTP, Steam ecc… oltre a verificare quali fossero i file presenti sul desktop al momento dell’infezione.

logHD1

YOTTA WEB - Via Don F. Cabrio 14/D - 13900 Biella (BI)

P.IVA 02552590024 - C.F. SNTSVR77S27A859C - REA BI 194613

Copyright 2017 © YOTTA WEB All Rights Reserved

Privacy Policy