01[1]

Black Friday e Cyber Monday: attenti alle truffe!!

+ 15% attacchi ai siti e-commerce per rubare i dati dei clienti
+ 24% attacchi di phishing per sottrarre le credenziali bancarie

Questi due dati mostrano l’altro volto, l’altra faccia della medaglia dei due giorni di “shopping pazzo”, sempre più spesso online, del Black Friday e del Cyber Monday. Parliamo dell’aumento percentuale di attacchi rispetto allo scorso anno. Si conferma intanto una tendenza, già vista gli scorsi anni: sempre più spesso gli attaccanti prendono di mira i siti di e-commerce, perchè vi transita una grande mole di dati. Si mira sopratutto alle credenziali di accesso degli account degli utenti (login e password), carte di credito, numeri di telefono ecc..

La modalità più utilizzata è quella della “classica” pagina fake di phishing: un attaccante riproduce più fedelmente possibile la pagina di login di un e-commerce molto popolare, poi cerca di attrarvi più utenti possibili (spesso lanciando massive campagne di email di spam) e di indurli a inserirvi credenziali e altri dati. Senza che l’utente si accorga di nulla quindi, anzi, molto probabilmente convinto di essere sul sito legittimo, consegna spontaneamente tutti i dati al truffatore.

Per approfondire >> 5 modi per riconoscere subito un attacco di phishing

Insomma, questo è un periodo dell’anno, così come durante tutte le festività natalizie, nel quale il cyber crime lavora assiduamente dato che è un periodo molto ghiotto per rubare dati e soldi.

Non c’è però bisogno di eccessivi allarmismi, anzi, basta seguire alcune buone pratiche e prestare un pò di attenzione per poter fare acquisti online senza incorrere in truffe o furto di dati. Anche le aziende, poi, devono svolgere il loro ruolo di garanti della sicurezza dei dati dei clienti, perché la sicurezza generale di un sito di e-commerce, di un database di dati, di una piattaforma di pagamento non è responsabilità dell’utente. Spetta alle aziende una ridefinizione della strategia di sicurezza informatica e la formazione dei dipendenti tenendo di conto dei nuovi rischi.

Ecco qui alcuni consigli utili che, se seguiti, ti consentiranno di trascorrere serenamente questi giorni di ghiotte occasioni:

per prima cosa è fondamentale tenere aggiornati il sistema operativo e i software in uso nel pc / dispositivo. Più un software è aggiornato, meno è esposto a attacchi che sfruttano vulnerabilità e bug (exploit);
utilizza password uniche (una password diversa per ogni account) e più complesse possibili. Anche se difficili da ricordare, sono però più sicure di password intuibili o deboli, facilmente aggirabili e individuabili;
attiva e paga soltanto tramite autenticazione a due fattori. Questo sistema rende molto più sicure le transazioni: ad un attaccante non basterà detenere, ad esempio, le credenziali di accesso all’home banking per eseguire un pagamento, ma dovrà occuparsi anche di intercettare il vostro numero di telefono ecc…
presta maggiore attenzione quando acquisti via mobile: gli URL abbreviati sono spesso usati perché sono molti comodi per gli smartphone, ma possono nascondere accessi a siti rischiosi o compromessi;
non fare mai click su link ricevuti via email o via chat sui social, anche se provengono da persone conosciute. Potrebbe essere una truffa;
non fidarti di siti che si comportano in maniera strana o che sembrano difettosi. Probabilmente fai bene a sospettare e continua ad essere sospettoso sopratutto se le offerte e i saldi per il Black Friday sembrano incredibilmente vantaggiosi;
organizza un solido backup: fare regolari backup dei dati ti consente di metterti al riparo da attacchi come quelli ransomware, che criptano i dati rendendoli inaccessibili, per poi richiedere un riscatto per riportarli in forma leggibile;
limita il numero di tentativi di transazione dalla tua carta di credito;
stabilisci un tetto massimo per le singole transazioni online e non superarlo: potrai individuare facilmente transazioni che non hai effettuato;
riduci la liquidità sui conti bancari oppure, ancora meglio, utilizza una carta prepagata. Più liquidità è disponibile, più sono i soldi che i truffatori potrebbero rubare.

Usa una solida soluzione antivirus
Quick Heal ad esempio ha, tra le tante, una funzionalità di sicurezza specifica per le transazioni online: parliamo del Safe Banking. Safe Banking crea uno schermo per l’utente in tutte quelle situazioni in cui la sua identità e le sue credenziali possono essere compresse. Safe Banking lancia l’intera sessione di banking in un ambiente sicuro, in modo da proteggere i dati di importanza critica.

01[1]

Privacy online: arriva il tracker che nessun (o quasi) antitracker può bloccare

Tutti i browser più diffusi, Firefox tra i primi, mettono a disposizione degli utenti alcune funzionalità anti tracciamento che non solo bloccano i cookies, ma anche altre tipologie di tracciamento e profilazione dell’utente. A queste funzionalità si affiancano estensioni specifiche (uBlock Origin è un esempio, così come Privacy Badger ecc..) che permettono un maggior livello di protezione.

Nella vicenda che raccontiamo non c’entra molto il cyber crimine: il contesto in cui si inserisce è quello di una corsa continua tra le agenzie di marketing, che cercano di carpire più informazioni possibili sull’utente che visita un determinato sito web, e gli sviluppatori di software che, al contrario, cercano di ridurre l’invasività (talvolta apertamente contro la legge) delle stesse. Per adesso gli anti tracker esistenti, free o a pagamento, garantiscono buoni risultati e comunque danno la possibilità sia di bloccare completamente le visualizzazioni delle pubblicità e il tracciamento dei cookie o di impostar livelli intermedi di protezione.

La novità però, proprio di questi giorni, è l’utilizzo da parte del sito di news Liberation di un tracker capace di aggirare tutte le forme di protezione fino ad ora esistenti: il tracker, sviluppato dall’agenzia di marketing Eulerian, fa leva sulla distinzione tra cookie dell’editore e cookie di terze parti e si “insinua nella terra di mezzo” tra queste due tipologie di cookie.

I cookie dell’editore sono spesso considerati uno strumento essenziale e indispensabile per il funzionamento di un sito: sono ritenuti uno strumento positivo perchè raccolgono dati sull’esperienza di navigazione del visitatore al solo scopo di migliorare la navigazione stessa. I cookie di terze parti, al contrario, sono uno strumento di monitoraggio della navigazione che aziende terze usano a scopo di lucro o per profilare l’utente e indirizzare pubblicità mirata. Tutte le tecniche di protezione della privacy si basano su questa distinzione: consentono i cookie dell’editore e bloccano quelle di terze parti.

Il tracker usato sul sito Liberation invece aggira la questione: viene creato un sottodominio che, a livello di DNS, viene collegato al principale con un record CNAME. In questa maniera il tracker nasconde la sua vera origine, riuscendo a passare per “tracker dell’editore”. Dal punto di vista tecnico l’espediente funziona perfettamente, ma dal punto di vista normativo, è in aperto conflitto con il GDPR. Il GDPR infatti prevede un consenso esplicito da parte dell’utente per consentire la raccolta di dati secondo queste modalità ed è inutile dire che non è prevista nessuna richiesta di consenso esplicito alla raccolta dati da parte del tracker di Eulerian, ne una tipologia tale di tracker potrebbe prevederne.

C’è un solo modo per adesso…
di bloccare questo tracker. uBlock Origin ha rilasciato una nuova versione dell’estensione capace di bloccare anche questa tipologia di tracker, ma, per adesso, funziona solo su Firefox. Questo perché Firefox è ad ora l’unico browser che, grazie ad alcune API, permette ad una estensione di risolvere i DNS e di individuare quindi questo tracker. Ma le cose potrebbero cambiare presto, visto che, GDPR o meno, sono sempre di più le aziende che usano questa tecnica “furbetta” di tracciamento. da parte dei vari vendor di browser però, si sta già correndo ai ripari.

01[1]

Italia sotto attacco: truffa di phishing ai danni degli utenti Agenzia Italiana del farmaco

L’alert del CERT-PA è di poche ore fa: gli esperti del nostro Computer Emergency Response Team hanno individuato una campagna di phishing via email volta alla sottrazione degli account di posta elettronica degli utenti di AIFA (Agenzia Italiana del Farmaco).

Il testo è scritto in italiano corretto e cerca di convincere l’utente della imminente necessità di aggiornare il proprio account AIFA facendo click su un link incorporato nel testo. E’, questo, un classico dell’ingegneria sociale: cercare di convincere l’utente bersaglio a compiere un’azione (cliccare su un link, scaricare un allegato) facendo leva su un problema da risolvere con una certa urgenza. Nel testo infatti si minaccia la chiusura definitiva dell’account AIFA a quegli utenti che, entro 4 ore, non avranno “aggiornato” l’account.

Corpo email. Fonte: https://www.cert-pa.it/

Il link reindirizza ad una pagina ospitata su weebly.com, un sito che permette agli utenti di costruire gratuitamente il proprio sito web. La pagina contiene un form il cui scopo è chiarissimo: sottrarre all’utente gli accessi al proprio account AIFA.

Il form per il furto dati. Fonte: https://www.cert-pa.it/

Alcuni consigli:

è importante diffidare sempre di email che richiedono l’inserimento in form oppure la scrittura in risposta di dati riservati, sopratutto password;
è importante diffidare di email che, creando un clima di allarme e gravità, richiedono di scaricare allegati o fare click su link. E’ un tentativo di ridurre l’attenzione della vittima e trarla in inganno;
nel caso specifico, Weebly è una piattaforma che viene ripetutamente utilizzata per attacchi di questo tipo, dato che consente di creare gratuitamente e molto velocemente landing page truffaldine. In generale quindi sconsigliamo di inserire dati sensibili in qualsiasi pagina web ospitata su questo dominio.

Il Cert-PA sollecita anche a segnalare a Weebly le pagine di phishing individuate. L’indirizzo per le segnalazioni di questo tipo è https://www.weebly.com/it/spam

1[1]

Città criptate: attacco ransomware coordinato obbliga allo shut down dei sistemi informatici del governo della Louisiana

Lo denunciamo ormai da qualche tempo e la questione viene ribadita da svariati eventi, dei quali potete trovare traccia in alcuni articoli di questo blog: gli attacchi contro istituzioni governative e sanitarie o contro infrastrutture critiche sono in costante crescita.

L’ultimo episodio, in ordine di tempo, risale giusto a ieri: il governo della Louisiana è stato colpito da un attacco ransomware coordinato su larga scala, che ha costretto il Governo a mettere offline i server di molte agenzie di Stato, compreso il sito del Governo, i sistemi email e le applicazioni interne, al fine di mitigare e impedire la diffusione del ransomware.

L’attacco è avvenuto Lunedì scorso ed è stato seguito da una sequenza di shut down che ha riguardato larga parte delle agenzie di stato, compreso l’Ufficio del Governatore, la Motorizzazione, il Dipartimento di Salute, il Dipartimento dei servizi ai bambini e alla famiglia, il Dipartimento dei Trasporti e Sviluppo e altri.
Il governatore della Louisiana John Bel Edwards ha annunciato l’incidente con una serie di tweet, affermando di aver attivato immediatamente il team di cyber sicurezza nazionale per rispondere all’attacco e che lo shutdown dei sistemi è stato deciso dallo stato nell’ambito della risposta all’attacco, quindi non è stato conseguente all’attacco stesso.

“Oggi abbiamo attivato il team di cyber sicurezza statale” ha scritto Edward “in risposta ad un tentativo di attacco ransomware che ha riguardato alcuni server dello Stato. L’ Office of The Technology Services ha identificato una cyber minaccia che ha affetto alcuni, anche se non tutti, server. L’interruzione del servizio è dovuta all’aggressiva risposta dell’OTS volta a impedire ulteriori infezioni sui server statali e non al tentativo di attacco ransomware”

Edward ha fatto anche sapere che non vi sono, per adesso, segnali di perdita di dati e che lo Stato ha deciso di non pagare il riscatto. Il ripristino di tutti i servizi richiederà però parecchi giorni. Il portavoce del segretario di Stato Tayler Brey ha anche fatto sapere che, anche se il sito web del suo ufficio è stato offline brevemente, il conteggio del voto di sabato (nel quale Bel Edwards è stato rieletto a governatore) non è stato influenzato.

La pronta risposta dello Stato si deve al fatto che lo Stato della Louisiana aveva già subito durissimi attacchi a Luglio, tanto da decidere la dichiarazione dello stato di emergenza nazionale in seguito all’ondata di attacchi ransomware che ha bersagliato i distretti scolastici del paese. Vittime i distretti scolastici di Morehouse (23 Luglio), Sabine (21 Luglio), Monroe City (8 Luglio) e Ouachita, tutti colpiti da ransomware che hanno danneggiato i sistemi computer e telefonici.

Per approfondire >> Ransomware & città criptate: cosa sta accadendo negli Stati Uniti?

Ancora Ryuk
Alcuni ricercatori di sicurezza, ma anche una fonte molto vicina alle figure politiche principali della Lousiana, confermano che il ransomware usato in questo attacco coordinato è la vecchia conoscenza Ryuk, che pare essere stato eletto come il ransomware preferito dai cyber attaccanti per portare attacchi contro istituzioni e enti negli Stati Uniti. Il riscatto richiesto solitamente è di 300.000 ad attacco, ma in alcuni casi sono stati richiesti milioni di dollari: non si conosce attualmente, l’entità del riscatto che gli attaccanti hanno richiesto allo Stato della Louisiana.

blog+s-mart[1]

Nuovi attacchi via Posta Certificata PEC

In questi giorni stiamo assistendo a due nuovi attacchi informatici che vengono ancora veicolati attraverso la Posta Certificata PEC. I malware in questione sono una nuova versione di FTCODE e una nuova versione di sLoad.

FTCODE per Android
Di questa campagna, attualmente in corso, abbiamo parlato ieri qui. La novità rispetto alle campagne precedenti è che i cyber attaccanti si sono dotati di un sistema che garantisce loro di compromettere anche i dispositivi mobile Android. In dettaglio, se l’utente legge l’email e clicca sui link in essa contenuti da un dispositivo Android, si avvia automaticamente l’installazione di un file .APK denominato PostaElettronicaCertificata.apk. Questo malware, ancora in analisi, permetterà all’attaccante di leggere SMS, chiamate e contatti della rubrica. Ha anche funzionalità di keylogging, la capacità di inviare SMS dal dispositivo infetto e di ricevere istruzioni dal server C&C per svolgere ulteriori attività dannose.

Indicatori di compromissione
Per le specifiche clicca qui >>> .txt

Il malware sLoad
Il CERT-PA ha rilevato inoltre una campagna di distribuzione di sLoad, un altro malware inviato tramite Posta Certificata PEC. L’attaccante invia una mail che si riferisce ad una falsa fattura, con oggetto un ipotetico “Invio documentazione BCR XXX”, in cui XXX è una sequenza numerica.

Fonte: https://www.cert-pa.it/

Allegato alla mail è presente un archivio .ZIP che ha all’interno un finto PDF e un file .WSF che, una volta eseguito, fa partire la catena di infezione.
Il malware installato è sLoad, che permette all’attaccante di creare un accesso remoto alla macchina della vittima ma, al momento, non si conoscono le intenzioni degli attaccanti. Una vecchia versione di sLoad era stata utilizzata per rubare le credenziali salvate su alcuni browser come Chrome o quelli della famiglia di Internet Explorer.

blog+s-mart[1]

Ultimi aggiornamenti sul ransomware FTCODE

Oggi 18 novembre 2019 il CERT-PA ha diffuso un nuovo alert di una nuova campagna di spam volta a diffondere il ransomware FTCODE. Come già in passato per la diffusione del malware viene utilizzata una e-mail PEC con all’interno un unico link. Il link punta ad un file .ZIP, che attualmente si trova su Dropbox, all’interno del quale si trova un file .VBS, che contiene l’eseguibile del ransomware. Il testo dell’email è preso da una precedente conversazione email della vittima, così da indurla a credere di essere di fronte al proseguo di uno scambio già avviato.

Per sembrare affidabile il malware mostra l’immagine che segue:

Fonte: https://www.cert-pa.it/

Al momento sono in corso analisi dettagliate. In diffusione una nuova versione del ransomware, la 1117.1: anche questa versione, come la precedente, cripta la chiave inviata al C&C, genera tutti i parametri usati per il meccanismo di criptazione in maniera causale ed esfiltra i dati personali dell’utente, ad esempio le password. Un’altra somiglianza con la versione precedente è che anche la nuova versione viene distribuita insieme alla backdoor JasperLoader.

Qualche accenno su JasperLoader
Questo malware, che colpisce solo gli utenti italiani, viene continuamente implementato dagli attaccanti per sfuggire alle attività di controllo intraprese dalle aziende antivirus. Gli esperti di Cisco ci dicono che “Le campagne attualmente in corso per la distribuzione di JasperLoader continuano a colpire vittime italiane e dimostrano ulteriormente che, sebbene JasperLoader sia una minaccia relativamente nuova nello spazio di distribuzione del malware, gli sviluppatori che lo gestiscono continuano a perfezionare e migliorare attivamente questo malware ad un ritmo sempre più veloce e con una sofisticazione senza precedenti nell’ambito dei malware a sfondo finanziario”.
Le versioni più recenti di JasperLoader infatti, mostrano l’implementazione di strumenti volti all’elusione dei controlli dei software antivirus (ad esempio l’offuscamento del codice) e meccanismi antisandbox / antihoneypot per impedire ai ricercatori la possibilità di analizzare il codice dannoso.

JasperLoader è una backdoor che garantisce agli attaccanti l’accesso remoto ad una macchina: questo significa che, anche in caso di risoluzione di un’infezione malware, gli attaccanti conservano comunque un accesso remoto al sistema infetto. Per questo viene utilizzano nella diffusione di più malware, dal trojan Gootkit al ransomware Maze (per limitarci agli ultimi mesi).

Ad ora non esiste una soluzione per recuperare i file una volta cifrati senza pagare il riscatto, quindi dobbiamo, SEMPRE, prestare molta attenzione prima di cliccare su un link o aprire l’allegato a una mail.

1+28129[1]

Mega Cortex: il ransomware, diffuso anche in Italia, ha una nuova versione

Non abbiamo parlato molto di Mega Cortex, un ransomware che non è mai stato nella “top 10” di questo tipo di malware, ma che comunque è regolarmente distribuito da qualche mese ed ha messo a segno alcune centinaia di infezioni anche nel nostro paese.

MegaCortex in breve: cosa è, come si diffonde
questo ransomware è stato individuato a Maggio scorso dai ricercatori di sicurezza di Sophos: mira principalmente alle reti e alle workstation aziendali. Una volta penetrati nella rete, gli attaccanti che controllano il ransomware infettano l’intera rete aziendale usando domain controller Windows. La prima versione era distribuita secondo confini geografici precisi: si registrarono casi di infezione negli Stati Uniti, in Canada, in Francia, nei Paesi Bassi, in Irlanda e, come detto, in Italia.

I ricercatori di Sophos puntualizzarono anche che MegaCortex era stato individuato in reti aziendali già compromesse con i trojan Emotet e Qakbot, elemento che suggeriva che gli attaccanti avessero pagato alcuni operatori di trojan per avere accesso a sistemi già infetti: questa tecnica, quella cioè di pagare altri cyber attaccanti per avere accesso a reti e sistemi già infettati con altri trojan, è ormai una consuetudine nel mondo dei ransomware. Perchè hackerare un sistema per ottenere un accesso se c’è già, magari, una backdoor aperta sullo stesso?

In ogni caso MegaCortex ha anche un proprio meccanismo di accesso alla rete: molti utenti hanno denunciato come l’infezione sia iniziata con la compromissione di domain controller Windows. Su questi controller gli attaccanti copiano e installano Cobolt Strike, creando così una reverse shell verso l’host dell’attaccante. E’ così che gli attori dietro Mega Cortex ottengono l’accesso remoto al domain controller e lo sfruttando per distribuire l’eseguibile principale del ransomware. A quel punto, dopo aver terminato 44 differenti processi e quasi 200 servizi di Windows (tutti potenzialmente avversi all’infezione: parliamo di antivirus, backup, database ecc…), inizia la criptazione dei file presenti sulle macchine connesse in rete.

Tra le altre cose, MegaCortex si assicura che non sia possibile recuperare i file in forme diverse rispetto al pagamento del riscatto: col comando vssadmin delete shadows /all /for=c:\ cancella tutte le Shadow Volume Copies impedendo il ripristino del sistema. Col comando Cipher /w invece sovrascrive i file cancellati, in maniera tale da renderli non recuperabili neppure con software di recupero dati.

Come cripta i file
Anzitutto, quel che colpisce, è che MegaCortex ha il proprio codice certificato. I certificati utilizzati variano, spesso sono rubati o ottenuti in altre forme illecite. In questo modo non è necessario fornire codice criptato per il payload del ransomware: la DLL può essere direttamente decompressa e iniettata in memoria: è un tipico meccanismo di elusione dei controlli delle soluzioni antivirus e antimalware. L’eseguibile viene quindi avviato e inizia la criptazione.

Fonte: bleepingcomputer.com

La nuova versione
La nuova versione, individuata qualche giorno fa, non si limita più a criptare solo i file e richiedere un riscatto, ma ha funzioni aggiuntive: oltre a minacciare le vittime di pubblicare i file online, è in grado di modificare la password di accesso al dispositivo. In dettaglio, se l’utente prova a riavviare il sistema operativo dopo l’infezione di MegaCortex, non riuscirà più ad accedervi, perchè la password sarà stata modificata.

E’ cambiata anche l’estensione di criptazione, che per la nuova versione è .m3g4c0rtx. Il Cert-PA fa comunque sapere che, almeno ad ora, non risultano infezioni della nuova versione in Italia.

1[1]

Attacchi BlueKeep in corso! E’urgente installare la patch!

La CVE-2019-0708 (qui qualche dettaglio), conosciuta come vulnerabilità BlueKeep, è una vulnerabilità pre-autenticazione del Remote Desktop Protocol: se sfruttata, può consentire ad un attaccante di compromettere il sistema senza il bisogno di alcuna interazione da parte dell’utente. Questo exploit è anche “wormable”, ovvero può diffondersi in altri sistemi vulnerabili come fosse un worm: questo problema non è affatto nuovo, la propagazione globale del ransomware WannaCry nel 2017 fu conseguenza proprio di un sistema molto simile di diffusione. E’ interessante notare che BlueKeep, che affligge i sistemi operativi Windows, riguarda anche sistemi “inaspettati”: ad esempio questa vulnerabilità influisce anche su servizi sanitari come radiografie, raggi-x ecc.. perchè i software di imaging usati per le immagini diagnostiche in molteplici paesi del mondo vengono eseguiti su sistemi Windows.

Nonostante questa vulnerabilità sia stata patchata da Microsoft parecchi mesi fa, sono numerosi i cosiddetti Proof of Concept (bozza di codice) che girano online per sfruttarla. A Settembre, ad esempio, un codice di exploit di questa vulnerabilità fu aggiungo al popolare framework per exploit Metasploit: il tentativo, probabilmente, è quello di poter eseguire attacchi su larga scala contro host vulnerabili che hanno la porta RDP aperta su Internet. Vi sono anche report recenti che riportano come BlueKeep venga sfruttata su macchine vulnerabili per eseguire miner di criptovaluta, sopratutto Monero.

Abbiamo riscontrato un aumento degli attacchi collegati a BlueeKeep anche nella nostra telemetria: ecco la distribuzione degli attacchi di questo tipo che abbiamo bloccato negli ultimi 6 mesi, suddivisa per sistemi operativi.

Patch!Patch!Patch!
Dato il livello di gravità di questa vulnerabilità (il livello assegnato è critico, il più grave nella scala con la quale sono classificate le vulnerabilità) è assolutamente consigliabile installare la patch relativa a BlueKeep prima possibile.
Qui le linee guida ufficiali di Microsoft per risolvere la problematica:
Linee guida per il cliente per CVE-2019-0708 | Servizi Desktop remoto vulnerabilità
Oltre all’installazione della patch, è consigliabile:
disabilitare l’accesso RDP dall’esterno della rete aziendale;
per le macchine ospitate in cloud, è importante consentire l’accesso RDP soltanto a IP espressamente indicati in whitelist.
Quick Heal blocca tentativi di attacco con questo exploit con le seguenti firme IPS:
Remote Desktop Services RCE Vulnerability CVE-2019-0708
RDP/CVE-2019-0708.UN!SP.34961

a[1]

FTCODE Ransomware: una nuova versione in diffusione in Italia

In passato abbiamo già avuto modo di parlare di FTCODE, un ransomware che prende di mira, esclusivamente l’Italia, soprattutto professionisti e aziende, tramite posta certificata PEC. Le vittime ricevono una email, con un’allegato infetto in formato .ZIP, che reca come oggetto false comunicazioni ufficiali da parte della Pubblica Amministrazione o di altri professionisti / aziende.

Segnaliamo inoltre che alcuni utenti vittime del ransomware hanno denunciato il mancato invio del tool di decriptazione da parte degli attaccanti ANCHE DOPO IL PAGAMENTO del riscatto: consigliamo quindi di NON PAGARE alcuna somma agli attaccanti, perché non c’è garanzia di ricevere il tool.

Lista delle estensioni per versione:
V.1 –> .Ftcode
V.2 –> 6 caratteri casuali (es. 3e6134)

Sono il download e l’apertura dell’allegato infetto che danno l’avvio alla criptazione dei file.

La nuova versione
Dopo la nuova e massiccia, campagna di email infette a fine ottobre, sembrava che potesse esserci la speranza per la risoluzione delle infezioni da questo ransomware, grazie ad un tool, all’epoca in fase di sviluppo, che sfruttava quello che sembrava un bug di FTCODE. Il bug riguardava la comunicazione della chiave privata di criptazione di ogni utente tra la macchina infetta e il server di comando e controllo del ransomware, che avveniva sia in forma criptata che in chiaro. Con il tool si sarebbero potute intercettare le comunicazioni tra il ransomware sulla macchina infetta e il server C&C e individuare la password necessaria a riportare in chiaro i file.

Questa speranza è però svanita. Una nuova variante di FTCODE ha risolto questo bug e reso impossibile l’individuazione in chiaro della chiave: questa infatti ora viene trasmessa in forma criptata al server C&C.

Nel dettaglio, questa variante evolutiva di FTCODE compie queste operazioni attraverso codice PowerShell:
Cifra la chiave prima di comunicarla al C&C
Genera un Vettore di inizializzazione casuale per AES256
Genera un salt per l’algoritmo PBKDF1

Cifratura della chiave.

Invio delle informazioni al server C&C.

01[1]

Report delle minacce – 3° trimestre 2019: i malware per Android

Report delle minacce – 3° trimestre 2019: i malware per Android
– MERCOLEDÌ 6 NOVEMBRE 2019

Nel terzo trimestre del 2019 sono state oltre 130.000 le individuazioni di malware o app dannose per Android. Nel mese di Agosto i Quick Heal Security Labs hanno individuato e segnalato a Google oltre 27 app compromesse e dannose, pubblicate ufficialmente sul Play Store. Pochi giorni dopo abbiamo segnalato altre 29 app dannose, con oltre 10 milioni di download raggiunti. A metà Settembre invece è stato individuato, sempre sul Google Play Store, un intero filone di app antivirus false, con oltre 100.000 download raggiunti in pochi giorni. Si registra anche il ritorno dei ransomware diffusi via SMS.

In questo articolo rendiamo una breve panoramica dei malware per Android più pericolosi, individuati nel periodo Luglio, Agosto e Settembre 2019. Il report completo è disponibile qui >> http://bit.ly/2WrSj8C

Highlights

Statistiche di individuazione: suddivisione per categorie

La top 3 dei malware

1. Android.Necro.A
Livello di rischio: alto
Categoria: malware
Metodo di propagazione: Google Play
Comportamento:
il dropper di questo malware è stato trovato in CamScanner, app legittima per la creazione di PDF con oltre 100 milioni di download;
ha un modulo dannoso criptato nella directory delle risorse. Lo decodifica in fase di esecuzione in background;
l’attività dannosa si avvia quando il malware si connette al server di C&C;
mostra ads insistenti e sottoscrive servizi a pagamento.
2. Android.Bruad.A
Livello di rischio: medio
Categoria: Applicazione Potenzialmente Indesiderata (PUA)
Metodo di propagazione: app store di terze parti
Comportamento:
nasconde la propria icona dopo l’installazione;
si connette a URL contenenti pubblicità;
invia ad un server remoto informazioni sul dispositivo quali IMEI, IMSI, location e numero del modello.
3. Android.Agent.GEN14722
Livello di rischio: alto
Categoria: malware
Metodo di propagazione: app store di terze parti
Comportamento:
dopo l’esecuzione, nasconde la propria icona e lavora in background;
in background, scarica ulteriori app dannose dal proprio server C&C;
esegue più attività dannose in contemporanea, ruba le informazioni dell’utente.
Trend e novità:
Torna il ransomware per Android via SMS
Si registrano meno individuazioni di ransomware per Android rispetto allo scorso trimestre, ma ne abbiamo tracciati molti che vengono diffusi via link contenuto come testo in SMS. Se l’utente che riceve l’SMS fa clic sul link, visualizzerà un prompt di installazione: se l’utente concede le permissioni, si avvierà l’infezione. Oltre a criptare i file, Andorid Ransomware invia lo stesso SMS dannoso a tutti i contatti della rubrica della vittima.
Agent Smith
Un malware che ha avuto notevole diffusione è Agent-Smith, diffuso via app store di terze parti. E’ contenuto in app legittime infettate prima dell’installazione: è stato rinvenuto in WhatsApp, Opera, MXplayer ecc… Il payload contiene ben 6 moduli, decriptati i quali Agent Smith inizia la propria attività dannosa, mostrando insistenti ads pubblicitari.

Per approfondire >> ALERT: il malware Agent Smith fa strage di smartphone Android

logHD1

YOTTA WEB - Via Don F. Cabrio 14/D - 13900 Biella (BI)

P.IVA 02552590024 - C.F. SNTSVR77S27A859C - REA BI 194613

Copyright 2017 © YOTTA WEB All Rights Reserved

Privacy Policy