1[1]

Windows 9 Aprile 2019 Update: utenti segnalano gravi problematiche

Moltissimi utenti hanno segnalato di essere incorsi nell’impossibilità di avviare il sistema operativo o di vederlo bloccarsi dopo aver installato l’Update del 9 Aprile di Windows e aver riavviato il sistema.

Sintomi:
blocco e impossibilità di avvio del Sistema Operativo sono stati segnalati da molti utenti.
i problemi sono stati registrati dopo l’Update del 9 Aprile 2019 e il conseguente riavvio del Sistema;
sono state segnalate problematiche minori, come un netto rallentamento del computer, specialmente su Windows 10 1809.
Sistemi Operativi riguardati da questa problematica:
le segnalazioni riguardano sopratutto i sistemi operativi Windows 8.1 e precedenti (Windows 8 / Windows 7);
di numero nettamente inferiore le segnalazioni relative a Windows 10, Windows 2008 e Windows 2012;
Gli aggiornamenti di Windows che causano la problematica:
sono in corso ulteriori analisi.
Windows 7: KB4493472, KB4493448
Windows 10: KB4493509
Come risolvere il problema:
coloro che hanno installato questi aggiornamenti, ma non hanno ancora riavviato il PC potrebbero incontrare gli stessi malfunzionamenti. Per precauzione, consigliamo di disinstallare gli aggiornamenti problematici di Windows KB prima del riavvio;
eseguire i seguenti step, elencati qui per disinstallare i Windows KB Update;
per i clienti afflitti da questa problematica, consigliamo di riavviare il PC in Modalità Provvisoria e disinstallare i Windows KB Updates;
° per la Modalità Provvisoria su Windows 10 > vedi qui
° per la Modalità Provvisoria su Windows 8 e precedenti > vedi qui
una volta disinstallato Windows KB, disabilita gli Aggiornamenti Automatici di Windows, eseguendo i seguenti step;
dopo aver disinstallato con successo gli aggiornamenti in oggetto, riavviare il PC in modalità normale.
Nota: la disattivazione degli aggiornamenti automatici di Windows non è consigliabile ed è da intendersi solo come misura temporanea per evitare l’installazione di aggiornamenti disfunzionali. Consigliamo, quando la problematica sarà risolta, di abilitare di nuovo gli Aggiornamenti Automatici di Windows.
Il team di ingegneri di Quick Heal e Seqrite sta lavorando a stretto contatto con Microsoft per risolvere questo problema, contrassegnato da priorità elevata.

mirai[1]

Botnet Mirai: nuove varianti colpiscono nuovi processori e architetture

La saga della Botnet Mirai e del malware responsabile, Mirai appunto, pare non finire mai. Dopo qualche mese di silenzio, i ricercatori della Unit 42 di Palo Alto Network hanno individuato una intera collezione di nuove varianti di Mirai compilate per eseguirsi su processori e architetture nuove, non bersagliati cioè da versioni precedenti.

Aumenta la superficie di attacco
Le nuove versioni, si legge nel report della Unit42, sono compilate per i processori Altera Nios II, OpenRISC, Tensilica Xtensa e Xilinx MicroBlaze. Le nuove varianti “consentono agli attaccanti di espandere la propria superficie di attacco e mirare a nuovi dispositivi”. Anche se lo stesso risultato è raggiungibile aggiungendo ulteriori exploit da usare durante gli attacchi, aggiungere altre architetture supportate negli attacchi è un modo più semplice per aumentare il numero di dispositivi che la botnet può aggiungere come nodi controllati.

Aumenta la potenza di fuoco
La questione è tutt’altro che secondaria: Mirai è una botnet ormai piuttosto estesa, disponibile in affitto nel dark web. Ha già una preoccupante potenza di fuoco, che ovviamente è legata al numero di bot che la botnet lega a sé: questa intera collezione di nuove varianti estende ulteriormente la potenza di fuoco che malintenzionati di ogni genere possono affittare sul dark web per attacchi DDoS.

Nuove funzioni
Oltre a ciò, i ricercatori di Palo Alto Network denunciano anche la scoperta di una nuova funzione di attacco DDoS chiamata attack_method_ovh, con gli stessi parametri usati dal codice originale di mirai per attacchi TCP SYN DDoS (invio massivo di richieste di connessione TCP).

Nuovi exploit
Non finisce qui: la collezione di nuove versioni di Mirai, che i ricercatori hanno casualmente individuato su una directory aperta su un server non protetto, è stata fornita anche di una serie di exploit (alcuni comunque già presenti in precedenti versioni di Mirai): questi vanno dall’exploit della vulnerabilità di ThinkPHP (esecuzione di codice da remoto) all’exploit D-Link DSL2750B OS Command Injection per attaccare i dispositivi Netgear, Huawei e Realtek.

Una variante che non fa parte dell’ultima collezione ritrovata, ma che è stata individuata il mese scorso, è stata dotata di 11 nuovi exploit per le TV LG Supersign e per i sistemi WePresent WiPG-1000 Wireless Presentation.

Una continua evoluzione
Precedente, in Settembre, la Unit42 ha individuato una versione di Mirai che, cambiando bersaglio, mira ai server Apache Struts con exploit già conosciuti, alcuni dei quali usati lo scorso anno nel data breach di Equifax.

“Le nuove funzioni garantiscono alla botnet una ampia superficie di attacco. In particolare, colpire obiettivi aziendali consente di accedere ad una maggiore larghezza di banda (rispetto a quella di un home user – n.d.r), con conseguente maggiore potenza di guoco della botnet da impiegare in attacchi DDoS” dicono i ricercatori.

Mirai in breve
Mirai è una botnet auto-propagante progettata per colpire dispositivi IoT (router, videoregistratori, telecamere IP ecc…). E’ in affitto nel dark web ed è usata come infrastruttura per la distribuzione su larga scala di attacchi DDoS. L’anno più prolifico per Mirai è stato il 2016, quando la botnet ha assunto dimensioni enormi (centinaia di migliaia di dispositivi erano divenuti nodi della rete) ed è stata in grado di lanciare attacchi DDoS a oltre 650 GBps.

aa[1]

Campagna malware crea botnet per il mining di Monero sfruttando (ancora) EternalBlue

Campagna malware crea botnet per il mining di Monero sfruttando (ancora) EternalBlue

Ricordate l’attacco ransomware del secolo, quello di Wannacry? WannaCry ha registrato una virulenza impressionante grazie all’uso di una serie di exploit sottratti all’NSA dal gruppo hacker Shadow Brokers. Il più importante ed efficace di questi exploit è EternalBlue, che sfrutta una vulnerabilità del protocollo SMBv1.

Quando si registrarono le prime infezioni di WannaCry questa vulnerabilità era già stata risolta, ma da pochissimo tempo: la campagna di diffusione di WannaCry iniziò il 12 Maggio 2017, la patch diffusa da Microsoft per l’SMB, disponibile col bollettino di sicurezza MS17-010 risale al Marzo 2017. Insomma, gli utenti che sono stati colpiti da WannaCry nei primi mesi di diffusione sono “giustificabili”: che ci sia troppa poca attenzione al problema delle vulnerabilità è un dato di fatto, ma qualche settimana di ritardo è quantomeno comprensibile.

Molto meno comprensibile è invece il fatto che EternalBlue stia tornando alla carica, come strumento di diffusione dei malware, a causa dell’evidenza (e i cyber criminali ben lo sanno) che sono ancora centinaia di migliaia i dispositivi che non hanno risolto la vulnerabilità del protocollo SMBv.1

Per approfondire:
L’exploit di WannaCry,NotPetya e BadRabbit: EternalBlue 1 anno dopo

Una nuova botnet Cyrptominer usa EternalBlue
Parliamo nuovamente di EternalBlue perchè è stata individuata, meno di tre giorni fa, una campagna malware (per adesso concentrata solo su utenti asiatici) che usa questo exploit e il tool Mimikatz per diffondere sui dispositivi infetti un miner per criptovaluta Monero.

In prima battuta la campagna sembrava concentrata contro dispositivi Giapponesi, ma in meno di quattro giorni ha dimostrato un alto livello di virulenza, spostandosi su vittime in Australia, Taiwan, Vietnam, Hong Kong e India.

Il malware per accedere alla macchina, ha due possibilità:
l’ attacco “pass the hash” per tentare di accedere al computer con una lista di credenziali deboli;
l’exploit kit EternalBlue.

Il Payload di EternalBlue
Se il malware ottiene l’accesso alla macchina infetta con almeno uno dei due metodi, modificherà immediatamente le impostazioni del firewall e del Port Forwarding, programmando inoltre una task per scaricare ed eseguire la copia del malware invece di diffonderlo direttamente al computer compromesso. Userà inoltre lo script Invoke-SMBClient per eseguire operazioni di vario genere sui file: eliminerà i file rilasciati da eventuali precedenti versioni del malware, si garantirà la persistenza aggiungendosi alla cartella Startup di Windows ecc…

Infine il malware scaricherà uno script dropper PowerShell dal proprio server di comando e controllo, oltre a raccogliere e sottrarre l’indirizzo MAC e l’elenco dei software di sicurezza e antimalware installati sul sistema.

Raccolta delle informazioni MAC e AV

Nella fase successiva dell’attacco, il malware scaricherò un trojan che avvia di nuovo il processo di raccolta informazioni sul sistema,stavolta andando molto più a fondo: il nome computer, il GUID, l’indirizzo MAC la versione del sistema operativo, le impostazioni orarie e le informazioni sulla memoria grafica sono le ulteriori informazioni che vengono inviate al server C&C.

A questo punto viene scaricata una implementazione PowerShell di una variante di Mimikatz, operazione che garantisce al malware la capacità di auto propagazione (come i worm).

L’attacco ai database
Tra le altre funzioni dannose, il malware tenta l’accesso ai database usando credenziali SQL deboli, inoltre esegue la scansione dei blocchi IP in cerca di ulteriori dispositivi vulnerabili che possono essere violati con EternalBlue.

Il Payload finale
Solo adesso arriviamo alla fine del processo di infezione, col download del payload dannoso finale, il miner per Monero XMRig: viene distribuito usando PowerShell ed è iniettato direttamente nel suo stesso processo.

Il Payload di XMRig

Brevi Conclusioni:
questa minaccia, per adesso, pare confinata al continente asiatico. Inutile dire che l’uso di EternalBlue e dell’auto propagazione la rendono però molto molto virulenta, con un alto tasso di propagazione che ha già consentito a questa campagna di diffondersi dal Giappone ad altri 5 stati in meno di 4 giorni. Ovviamente consigliamo l’installazione della patch per la vulnerabilità dell’SMBv1, ma anche la sostituzione di tutte le credenziali eccessivamente deboli (peggio ancora se di default) sul sistema.

a[1]

È obbligatoria la nomina del DPO? Quali sono i suoi compiti e le caratteristiche?

Si tratta di due delle domande più frequenti da quando, lo scorso 25 Maggio 2018, è entrato definitivamente in vigore il GDPR.

Quali imprese o enti devono nominare il Responsabile Protezione Dati (DPR) o DPO come ormai entrato nel linguaggio comune?
La norma è chiara quando, senza dubbio, questa nomina è indicata come obbligatoria dall’art. 37 nei confronti della Pubblica Amministrazione senza eccezioni; nel caso di trattamenti che richiedono il monitoraggio regolare e sistematico di dati su larga scala nonché quando i trattamenti riguardano dati personali sensibili (art. 9) o dati relativi a condanne penali e a reati di cui all’art.10 trattati su larga scala.

La norma relativa all’obbligatorietà della nomina del DPO non è peraltro esaustiva. Premesso che il titolare deve adottare tutte le misure organizzative e tecniche adeguate “a garantire ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al Regolamento” (art. 24. primo paragrafo), la eventuale nomina di altre figure che affianchino il Titolare e garantiscano standard adeguati di protezione dei dati può diventare un obbligo di fatto. La designazione di un DPO, tenuto conto dei compiti che questo deve svolgere e a condizione che gli siano garantiti indipendenza e mezzi organizzativi e strumentali necessari, può costituire per il titolare del trattamento una misura molto importante ai fini di dimostrare la sua compliance con quanto previsto dal GDPR, anche laddove non obbligatorio.

È ovvio, però che, in tale ipotesi, se il titolare ritiene opportuno procedere alla nomina del RDP come ulteriore e opportuna misura idonea a dimostrare la conformità dei trattamenti al Regolamento, questa debba avvenire nel pieno rispetto della normativa relativa a questa figura. Non è possibile, insomma, che nei casi in cui la designazione del RDP non sia obbligatoria il titolare possa costruirsi una sorta di RDP “fai da te”, attribuendo tale funzione a figure professionali inadeguate o senza garantire ad esse i poteri, la posizione di indipendenza e le risorse necessarie previste dalle norme ovvero, peggio ancora, a segretari o stagisti.

In tal senso, l’ormai disciolto Gruppo art. 29 non si è limitato a precisare che i titolari devono essere in grado di dimostrare di aver compiuto all’interno dell’azienda le valutazioni necessarie per stabilire se nel caso specifico sussista o meno l’obbligo di nomina. Ha anche chiarito che, ove si decida di procedere alla nomina di un DPO, debbano essere integralmente applicate le norme di cui agli art. 37-39 del GDRP. Dobbiamo infatti ricordare che il DPO svolge, oltre a quelle di effettivo controllo sulla protezione dei dati e adeguamento al regolamento, anche una funzione di interfaccia tra Titolare e Interessati da un lato e tra Titolare e Autorità garanti dall’altro. Per tali motivi deve essere garantita al DPO una posizione di fatto al vertice dell’organizzazione che dovrà oltretutto esercitare in piena indipendenza, anche economica, andando i suoi compiti oltre la mera consulenza e vigilanza.

Ancora il Gruppo Art. 29 in un suo parere (n. 243 punto 4.2) affermava che “qualora il titolare non concordi con le indicazioni fornite dal DPO, è necessario che la documentazione relativa alla DPIA (Valutazione di impatto) riporti specificamente e per iscritto le motivazioni per cui si è ritenuto di non conformarsi a tali indicazioni”. Ancora significativo sul punto la considerazione che l’art. 38 GDPR al paragrafo 6, concede al DPO la possibilità di svolgere anche altre funzioni e compiti diversi da quelli propri del suo ruolo, ma spetta al titolare accertarsi “che tali compiti e funzioni non diano adito a conflitto di interessi”.

Il GDPR assegna dunque al DPO un ruolo che assume anche un rilievo di tipo pubblicistico: egli opera non solo nell’interesse del titolare ma anche degli interessati e del sistema di protezione dati. Si ricordi, infatti, che è suo compito entro 72 ore da un Data Breech darne informazione al Garante. Spetta sempre al titolare, il solo a rispondere delle eventuali violazioni al GDPR, accertare che il DPO designato possieda competenze specialistiche da unire a quelle specifiche necessarie alla svolgimento della funzione, tenendo conto dei trattamenti posti in essere e delle modalità organizzative e tecniche adottate. Ed è poi compito del Titolare permettere al DPO di svolger le proprie funzioni anche aderendo alle sue richieste che dovranno essere accuratamente, per risorse, strutture, adeguamenti.

Inutili e fuorvianti, oltre che ai limiti della legalità, sono invece le richieste di autocertificazione che alcune aziende vanno richiedendo ai potenziali DPO di essere in grado di svolgere le specifiche funzioni.

1[1]

Che fine fanno le nostre identità digitali rubate? Il caso Genesis

Saranno tantissimi gli utenti che si sono chiesti, almeno una volta, che fine facciano i dati che, continuamente, vengono sottratti ad ignari utenti per mano di cyber criminali e truffatori digitali: l’account email, quelli social, i dati bancari, i dati personali come nome e cognome o la data di nascita ecc…

Qualche giorno fa è stato denunciato un caso interessante che può fare al caso nostro a fine di esempio, e che risponde alla domanda “che fine fanno le nostre identità digitali rubate”?

Il caso Genesis
Genesis è un e-shop clandestino: si trova nel dark web e, tra le altre attività, vende identità digitali. Vi si accede solo su invito privato, ma, recentemente, è stato infiltrato da alcuni ricercatori di sicurezza che ne hanno resa pubblica l’esistenza.

In questo marketplace sono state rinvenute in vendita oltre 60.000 identità digitali di soggetti realmente esistenti: set di informazioni cioè, appartenenti a persone reali, in vendita a prezzi variabili da 5 a 200 dollari per profilo. Questi pacchetti comprendono informazioni delle carte di credito, credenziali di accesso ai profili social e a vari account di servizi e le cosiddette “browser fingerprint”. Quest’ultime sono una complessa combinazione di proprietà di sistema (oltre 100 diversi attributi, dall’indirizzo IP all’ID del dispositivo, dalle info sulla CPU/GPU fino alle dimensioni dello schermo, i cookie ecc…) e di caratteristiche comportamentali dell’utente (che possono spaziare dagli interessi dell’utente alle modifiche di configurazione del sistema al tempo trascorso su determinati siti web ai movimenti del mouse). Sono anche dette “digital mask”, maschere digitali.

Le maschere digitali in vendita su Genesis sono state tutte rubate da utenti vittime di infezioni con famiglie di malware pensate per scopi specifici: per raccogliere e rubare account, login e password, cookie dei browser e inviarli quindi ai propri gestori.

Insomma, cosa se ne fanno i cyber criminali di questi dati?
Se sui dati bancari la risposta è piuttosto semplice, meno scontato potrebbe essere il conoscere l’utilità, per un attaccante, della nostra data di nascita o di quanto tempo passiamo sui nosti siti web preferiti.

Ciò che rende le digital mask appetibili per i cyber criminali è, ad esempio, il fatto che queste vengono utilizzate nei sistemi anti frode su shop online, banche e altri tipi di servizi che sono comunemente obiettivo di cyber attaccanti. In teoria, i cyber criminali possono rubare credenziali e informazioni di pagamento di un utente e usarle per accedere ai sistemi bancari o finanziari online per eseguire le proprie attività illegali. Il punto è che non è tutto così semplice, dato che il sistema anti frode della banca cercherà di verificare l’identità dell’utente e scartare gli accessi ritenuti illegittimi: per fare ciò i sistemi anti frode (che, grazie all’intelligenza artificiale, sono ormai capaci di auto apprendere) non si limitano alla verifica delle credenziali ma confrontano “l’impronta digitale” dell’utente che ha inserito le credenziali con le maschere digitali contenute in database. In questi database sono salvate le maschere digitali di noti truffatori o cyber attaccanti: se la “digital fingerprint” dell’utente che ha inserito le credenziali combacia con una delle digital mask contenute nel database il sistema anti frode si attiva e blocca gli accessi.

In breve chi, per “mestiere” fa il cyber truffatore ha bisogno delle digital mask rubate per “ripulire” o celare la propria identità digitale, nascondendosi dietro quella di utenti non segnalati. Il truffatore applicherà la maschera digitale al proprio browser, diventando nei fatti un “doppione” di un utente: a questo punto non dovrà fare altro che utilizzare una VPN o un proxy per geolocalizzarsi nei pressi della posizione reale dell’ignaro utente .

Genesis offre comunque, così denunciano i ricercatori, anche la possibilità di generare maschere digitali casuali e uniche. Oltre a questo poi, come si sa, i dati sono un business eccellente, quindi Genesis Store anche vende tutta un’altra serie di informazioni sensibili e credenziali utili per altre forme di cyber attacco o truffa.

1[1]

False comunicazioni INAIL diffondono il malware Gootkit via PEC

Il periodo nero per l’Italia, dal punto di vista della sicurezza informatica, non accenna a finire: l’attentissimo CERT-PA ha diramato stamani un nuovo alert (oltre a quello di cui abbiamo già parlato qui) agli utenti italiani, sopratutto utenti privati. Sono stati infatti proprio utenti privati a segnalare la diffusione di malware via email PEC tramite false comunicazioni INAIL. Da numerosi riscontri su Twitter, di singoli utenti o esperti di cyber sicurezza, si ha conferma del fatto che la campagna è ancora in corso.

L’email vettore
Le email di questa campagna hanno come oggetto “INAIL Comunica XXXXXXXX” dove XXXXXXXX sono 8 cifre casuali: il dominio di provenienza di queste email è legalmail.it.

L’email contiene due file allegati:
INAIL_Comunica_XXX.ppdè un file XML, che si presenta come (falsa) denuncia. E’ una tecnica piuttosto comune di ingegneria sociale: lo scopo è indurre nella vittima un senso di urgenza e importanza, rendendo l’utente più nervoso, meno attento e più disposto a seguire istruzioni.
INAIL_Comunica_YYY.vbsè uno script, il cui compito è scaricare il malware GootKit ed eseguirlo sul computer della vittima. Questo script, se eseguito, oltre a lanciare Gootkit installa anche un secondo script in formato JS che ha funge da client della botnet usata dagli attaccanti stessi. Tramite questi client i cyber attaccanti possono scaricare ed eseguire ulteriori file e lanciare altri script seguendo le indicazioni provenienti dal server di comando e controllo, locato nel dominio sad.childrensliving.com.

Il file VBS esclude dall’infezione, dopo verifica della lingua impostata sul sistema, i seguenti paesi:
Russia
Ucraina
Bielorussia
Cina

Il campione analizzato da CERT-PA dimostra un comportamento piuttosto chiaro: il server C&C fornisce una serie di indirizzi email, quindi istruisce il computer della vittima a diffondere il malware tramite un server IMAP. I ricercatori sospettano che questo server IMAP sia stato precedentemente compromesso e che sia italiano, stando ai messaggi di errore che rimanda. Al termine dell’invio email, tutte le email inviate sono cancellate dal server.

Fonte: https://www.cert-pa.it

Gootkit ha preso di mira l’Italia
Le campagne di malspam che diffondono Gootkit sono in forte aumento, così come l’uso di email PEC compromesse. Utilizzare email PEC compromesse è una mossa intelligente, ahinoi, per gli attaccanti dato che sono considerate sicure e sicuramente legittime e indubbiamente inducono l’utente che le riceve a ritenere quelle email comunicazioni ufficiali e attendibili.

Il Trojan Gootkit
Come detto, questa campagna diffonde il trojan bancario Gootkit: parliamo di un malware nient’affatto nuovo, già utilizzato in numerose campagne precedenti e che si distingue principalmente perchè presenta un alto livello di diffusione precisamente in Italia. La particolarità di questo trojan è che è descritto dai ricercatori di sicurezza come uno strumento privato (ovvero non in vendita ne né dark né nel deep web). Insomma c’è un gruppo di attaccanti o un attaccante che utilizza da qualche mese un trojan che è solo nella loro/sua disponibilità per infettare esclusivamente utenti italiani.

Ricordiamo che Gootkit è un malware bancario che ha fondamentalmente due finalità: rubare le credenziali bancarie degli utenti e intromettersi direttamente nelle attività di banking online tramite iniezione di codice nel browser in uso.

Qui gli indicatori di compromissione (IoC) pubblicati dal CERT-PA –>
https://www.cert-pa.it/wp-content/uploads/2019/04/IoC_inail_comunica_030419.txt

a05

Fate attenzione alle app Android preinstallate sugli smartphone! Parola di Google

E’ stato pubblicato da qualche giorno l’ “Android Security & Privacy 2018” (vedi qui il report completo) di Google, un vero e proprio bilancio prodotto dai ricercatori di Mountain View sulla sicurezza delle app e sulla privacy Android. I dati non sono rassicuranti: si segnala anzitutto un aumento delle applicazioni potenzialmente pericolose che vengono preinstallate sugli smartphone Android o scaricate successivamente, come aggiornamento del sistema operativo.

Nella quasi totalità dei casi i responsabili non sono i produttori di smartphone, ma gruppi di cyber criminali che prendono di mira la supply chain, l’indotto produttivo. Si inseriscono cioè entro la filiera per infettare con malware app legittime che i produttori installano di default e offrono ai propri utenti come parte degli strumenti predefiniti. E’ da qualche tempo, ormai, che i cyber criminali mostrano tali tecniche di attacco, dove l’infezione avviene a monte della vendita, quando il prodotto è ancora in fase di produzione. Nel dettaglio sono aumentati i tentativi di incorporare le app dannose sfruttando due punti di accesso alla filiera:
i nuovi dispositivi venduti con app preinstallate;
gli aggiornamenti over-the-air collegati ad aggiornamenti legittimi di sistema.
Secondo Google i motivi sono almeno due:
anzitutto l’aumento dei controlli, che secondo Google ha portato ad una riduzione del 20% delle app pericolose individuate nel 2018 rispetto al 2017.

il secondo è legato alla massimizzazione dell’efficacia dell’attacco. Colpendo la filiera degli aggiornamenti, si riesce a bersagliare un grandissimo numero di utenti con pochissimo sforzo. Infatti, invece di dover “convincere” con l’inganno centinaia o migliaia di utenti a scaricare ed eseguire una app dannosa, in questo caso basta ingannare il produttore del dispositivo (o una società dell’indotto) per ottenere facile accesso ad una distribuzione su larga scala.
I Software Development Kit compromessi
Un’altra tecnica di attacco molto in voga ultimamente è quella di nascondere malware o, in generale, funzioni dannose entro gli SDK (Software Development Kit) usati dagli sviluppatori per produrre applicazioni: gli sviluppatori usando SDK compromessi, producono app dannose (spesso contenenti anche backdoor, oltre a eseguire svariate azioni dannose) senza che ne siano consapevoli. Per questo Google, fa sapere che metterà presto a disposizione dei partner gli stessi strumenti di analisi e rilevazioni che sono in uso entro l’azienda.

a042

vxCrypter: il primo ransomware che cancella i duplicati dei file

Lawrence Abrams, ricercatore di sicurezza informatica ed esperto di rasnomware, ha individuato una nuova famiglia di ransomware (che per ora si “fregia” del solo capostipite) molto particolare: parliamo di vxCrypter, il primo ransomware che non cripta solo i dati delle vittime, ma “riordina” il computer infetto cancellando i file duplicati. Così, paradossalmente, il primo effetto di questo “trucchetto” è quello di migliorare le prestazioni del pc infetto, liberando spazio. Di contro però, diminuisce il tempo necessario al ransomware per criptare il pc.

Il ransomware è ancora in sviluppo, ma è la prima volta nella storia dei ransomware che il cyber attaccante si occupa anche di cancellare i file duplicati durante la routine di criptazione. vxCrypter è programmato in .NET, ma non è del tutto nuovo: si basa, riadattandolo e “ammodernandolo” su un vecchio ransomware, mai distribuito perchè non è mai terminata la fase di sviluppo: vxLock. Usa, per la criptazione dei file sia l’algoritmo AES sia l’RSA.

Fonte: bleepingcomputer.com

Come cripta i file
Abrams spiega che, al momento del test, il ransomware ha cancellato appunto tutti i file nelle cartelle, eccetto uno, come si può vedere nelle immagini sottostanti, prima e dopo la criptazione.

Fonte: bleepingcomputer.com

Ulteriori analisi hanno permesso di comprendere come la cancellazione dei file non sia dovuta a qualche errore di programmazione del ransomware, ma sia del tutto intenzionale: vxCrypter tiene infatti sotto controllo gli hash SHA256 di ogni singolo file criptato, così che, incontrando uno stesso hash, elimina il file anzichè criptarlo.

Il codice mostra la cancellazione in base all’hash SHA256
Abrams specifica comunque che il ransomware cancella i file duplicati solo per alcune estensioni, che sono, ovviamente anche quelle bersaglio:

.txt, .doc, .docx, .xls, .xlsx, .ppt, .pptx, .sqlite, .odt, .jpg, .jpeg, .bmp, .gif, .png, .csv, .sql, .mdb, .sln, .php, .asp, .aspx, .html, .xml, .psd, .xsd, .cpp, .c, .h, .hpp, .htm, .py, .reg, .rb, .pl, .zip, .rar, .tgz, .key, .jsp, .db, .sqlite3, .sqlitedb, .bat, .bak, .7z, .avi, .fla, .flv, .java, .mpeg, .pem, .wmv, .tar, .tgz, .tiff, .tif

Altri tipi di file come i .exe o le librerie .dll non subiscono invece la rimozione del duplicato.

a041

Di nuovo GandCrab: campagna in corso diffonde la v.5.2 del ransomware

La segnalazione proviene di nuovo dal CERT-PA italiano che, nel corso del fine settimana, ha rilevato una campagna di email di spam che diffonde la versione 5.2 del ransomware GandCrab. In questa campagna, GandCrab viene diffuso tramite email contenenti un allegato .doc, contenente a sua volta una macro dannosa.

La macro è altamente offuscata per ridurre le possibilità di individuazione da parte delle soluzioni di sicurezza: una volta eseguita tenta immediatamente il download di un file rinominato “it.txt”, dal percorso hXXp://134[.]209[.]88[.]23/it.txt. Una volta scaricato il file, lo esegue tramite cmstp.exe (MS Connection Manager Profile Installer) coi parametri
/ns –> questo parametro specifica che non deve essere creata un’icona sul desktop
/s –> specifica che l’installazione o la disinstallazione deve avvenire “silenziosamente”, ovvero senza che venga visualizzato alcun prompt per richiedere permissioni all’utente.

Una volta installato, il ransomware esegue alcune verifiche preliminari prima di avviare la routine di criptazione: in prima battuta verifica se sulla macchina compromessa sono presenti processi relativi a soluzioni antivirus.

Nello specifico viene verificata la presenza, sul dispositivo infetto, dei seguenti antivirus:
Kaspersky
ESET
AntiVir
Avast
Norton
McAfee
Panda
Sygate Firewall
Kerio Personal Firewall
Trendmicro
F-Secure
Comodo
Windows Defender
La seconda verifica è relativa direttamente all’host compromesso: vengono raccolte una serie di informazioni. Sotto il codice responsabile di tali operazioni:

Ecco i dati raccolti:
pc_user = UTENTE
pc_name = NOME DELL’HOST
pc_group = GRUPPO DI LAVORO
pc_lang = it-IT
os_major= SISTEMA OPERATIVO
os_bit= 32 BIT, 64 BIT
ransom_id= 15 CARATTERI CASUALI
L’ultima verifica serve a individuare eventuali cartelle condivise sul sistema target. Quindi avviene la criptazione: il ransomware censisce i file e li cripta, cambia lo sfondo del desktop con una immagine contenenti informazioni per l’utente-vittima, copia la nota di riscatto (“IIPTHBGFBL-MANUAL.txt”) e esegue una ultima verifica per avere la certezza che sul disco sia presente la nota di riscatto.

Il CERT-PA fornisce questo elenco di file target:

L’immagine di sfondo del Desktop

L’ultima operazione, a concludere le operazioni di criptazione è la rimozione delle copie shadow dei file tramite il comando “wmic.exe shadowcopy delete” (per impedire il ripristino dei file criptati) e l’invio delle informazioni raccolte al server hXXp://www[.]kakaocorp[.]link/.

La diffusione
Stando ai dati in possesso del CERT-PA questa campagna è mirata contro target High Tech principalmente locati in Europa.

a04

Il trojan bancario Gootkit diffuso via PEC contro utenti italiani

Ennesimo allarme da parte del CERT-PA su una campagna di email di spam che diffonde il trojan bancario Gootkit contro utenti italiani: la notizia è datata 28 Marzo e la campagna pare ancora in corso. Il problema è stato segnalato nei giorni scorsi da svariati utenti, principalmente appartenenti alla Pubblica Amministrazione: nelle segnalazioni si menzionano sia email PEC che email ordinarie come veicoli dell’allegato dannoso.

Le email vettore
Al momento, il CERT-PA conferma di aver proceduto ad analisi della campagna individuando due diverse tipologie di email vettore: una con oggetto “Tribunale di Napoli Procedura esecutiva immobiliare n. 981/2007”, che porta con sé come allegato un archivio compresso chiamato “Tribunale_di_Napoli__ABCDEF.zip“, dove ABCDEF sono serie di numeri casuali.

Fonte: CERT-PA

La seconda email riporta in oggetto “invio sollecito n.105543 del 27/03/2019” e, in allegato, un file denominato “Tribunale_di_Napoli__ABCDEF.zip“

Fonte: CERT-PA

La routine di infezione
L’allegato compresso contiene un file omonimo, ma di estensione .docm: questo a sua volta contiene una macro dannosa con un livello piuttosto basso di offuscamento. L’analisi della macro ha permesso, in prima battuta, di capire che tale campagna di infezione è rivolta esclusivamente contro utenti italiani: il codice infatti si esegue solo entro sistemi sui quali è impostata la lingua italiana. In caso contrario, il codice dannoso della macro non viene eseguito.

Riscontrata l’impostazione di lingua corretta, il codice contenuto nella macro scarica un file eseguibile da un dominio remoto evidentemente compromesso in precedenza per lo scopo: il file verrà rinominato “IntelMeFWServic.exe”. Subito dopo viene scaricato un ulteriore file, ma di tipo Javascript, da un dominio differente: il malware si assicura così il funzionamento anche in caso il dominio precedente divenisse irraggiungibile. Il file JS è denominato “Searchl32.js”, è anch’esso lievemente offuscato e il suo unico scopo è ritentare il download dell’eseguibile da un nuovo repository.

Il codice che si ottiene presenta un maggiore livello di offuscamento: la decodifica rende possibile osservare come viene generato lo script powershell che servirà a lanciare l’eseguibile dannoso sul sistema infetto.

Fonte: CERT-PA

Il Trojan Gootkit
Come detto, questa campagna diffonde il trojan bancario Gootkit: parliamo di un malware nient’affatto nuovo, già utilizzato in numerose campagne precedenti e che si distingue principalmente perchè presenta un alto livello di diffusione precisamente in Italia. La particolarità di questo trojan è che è descritto dai ricercatori di sicurezza come uno strumento privato (ovvero non in vendita ne né dark né nel deep web). Insomma c’è un gruppo di attaccanti o un attaccante che utilizza da qualche mese un trojan che è solo nella loro/sua disponibilità per infettare esclusivamente utenti italiani.

Ricordiamo che Gootkit è un malware bancario che ha fondamentalmente due finalità: rubare le credenziali bancarie degli utenti e intromettersi direttamente nelle attività di banking online tramite iniziezione di codice nel browser in uso.

logHD1

YOTTA WEB - Via Don F. Cabrio 14/D - 13900 Biella (BI)

P.IVA 02552590024 - C.F. SNTSVR77S27A859C - REA BI 194613

Copyright 2017 © YOTTA WEB All Rights Reserved

Privacy Policy