00[1]

Sistemi macOS: uno su dieci è infettato col trojan Shlayer

venerdì 24 gennaio 2020
Sistemi macOS: uno su dieci è infettato col trojan Shlayer

Indubbiamente i sistemi operativi Mac sono meno soggetti a cyber attacchi, anche se da tempo, di pari passo con la maggior presenza di SO Mac nel mondo, la situazione sta cambiando… in negativo. Vi sono stati vari casi di malware pensati appositamente per macOS; nel Febbraio 2019 fu individuato CookieMiner un malware per rubare ed esfiltrare i web cookie relativi ai servizi online, insieme a password, messaggi di testo e credenziali vari. Colpiva solo dispositivi Mac. La backdoor EmPyre è una vecchia conoscenza invece, usata per controllo da remoto e persistenza: anche in questo caso il target erano i SO Mac. Vi sono molti altri esempi di malware pensati ad hoc per macOS, ma parliamo comunque di malware la cui diffusione è stata limitata. Non è un caso che sono ancora tantissimi gli utenti che ritengono il MAC sostanzialmente inattaccabile e inattaccato.

Il fatto è che la realtà è cambiata: fino a pochi anni fa gli utenti dei sistemi operativi Mac si contavano sulle dita di una mano (rispetto alla diffusione di massa di Windows). La scarsa diffusione dei Mac rendeva nei fatti poco utile e appetibile per i cyber attaccanti prodigarsi in sforzi per programmare e diffondere malware per questi sistemi operativi. Adesso che il Mac ha raggiunto una platea molto ampia di utenti, l’attenzione dei cyber attaccanti si è di nuovo destata. E la conferma si è avuta con la diffusione raggiunta dal trojan Shlayer, individuato da alcuni vendor di sicurezza sul 10% – 12% dei dispositivi Mac che utilizzano le loro soluzioni. Parliamo di 32.000 campioni del malware e di 143 server di comando e controllo ad essi collegato.

Qualche dettaglio tecnico
Shlayer è un veicolatore di adware, programmi che diffondono annunci illeciti, intercettano e raccolgono le richieste dai browser, modificano i risultati delle ricerche online per diffondere ulteriormente messaggi pubblicitari: tutte operazioni che impattano negativamente sulle performance del sistema operativo e.. sulla pazienza dell’utente.

Shlayer, però, non mostra direttamente gli annunci: l’infezione avviene infatti in due fasi. Nella prima viene installato Shlayer, nella seconda Shlayer avvia l’installazione di diversi tipi di adware.

Come infetta i macOS
Gli autori del malware hanno creato un sistema di diffusione molto intelligente: il malware è presente in siti per il download di torrent o di software gratuiti, ma anche su Wikipedia. La quasi totalità delle infezioni avviene infatti tramite download inconsapevole da parte dell’utente. In alcuni casi viene perfino offerto come strumento di monetizzazione di siti web, in alcune piattaforme di partner program: e la cosa ha successo, tantochè sono oltre 1000 i siti che, in partnership con gli autori, distribuiscono Shlayer per ricevere un compenso per ogni installazione avvenuta tramite il loro sito web.

Uno dei metodi più usati fino ad adesso dal sistema di affiliazione di Shlayer è quello di mostrare ad utenti che ricercano episodi di serie TV o partite di calcio, alcune landing page che mostrano alert indicando all’utente la necessità dell’aggiornamento di Flash Player per procedere alla visualizzazione. E’ da queste pagine che l’utente scarica il malware: per ogni utente che compie questa azione, i gestori delle pagine ricevono un compenso.

Un altro metodo molto diffuso è è quello di mostrare link delle landing page corrotte nelle descrizioni di video su Youtube o nelle pagine di Wikipedia. Sotto un esempio di landing page per il download di Shlayer

00[1]

Report rivela che Avast vende i dati degli utenti a terze parti

mercoledì 29 gennaio 2020
Report rivela che Avast vende i dati degli utenti a terze parti

Appena un mese fa Firefox rimuoveva dal portale degli add-on le estensioni di Avast Online Security, AVG Online Security, Avast SafePrice e AVG SafePrice dopo che il report del ricercatore Vladimir Palant (creatore di AdBlock Plus) aveva scoperto come queste raccogliessero molti più dati sugli utenti di quanti ne servissero realmente per funzionare. Tali estensioni mostravano lo stesso comportamento su Chrome, in aperta violazione delle policy privacy anche del browser targato Google: anche in questo caso Google, pur in ritardo rispetto a Mozilla, aveva proceduto alla rimozione delle app incriminate dal Google Store.

Il report è disponibile qui >> Avast Online Security and Avast Secure Browser are spying on you.

Nonostante il precedente, un nuovo report rivela che dalle parti di Avast non hanno imparato nulla dalla lezione: al contrario, si è registrata una netta accelerazione nella raccolta dei dati degli utenti. La notizia si deve ad una inchiesta congiunta da parte di Motherboard e PCMag, che svela come Avast esegua una minuziosa e dettagliatissima raccolta di tutte le attività che gli utenti compiono online tramite i suoi software e servizi antivirus gratuiti, per poi rivendere questi dati, tramite una sussidiaria, a terze parti. La sussidiaria in oggetto si chiama Jumpshot ed è stato proprio mettendo le mani su un documento riservato inviato dalla stessa ad un cliente che le redazioni delle due testate hanno avviato l’inchiesta.

Avast, contattata dalle redazioni, ha spiegato di aver cessato l’invio alla propria sussidiaria dei dati raccolti tramite le estensioni browser sopra citate. Tuttavia, quando si installa la prima volta un antivirus targato Avast, l’utente visualizza una richiesta di autorizzazione alla raccolta di informazioni.

Il testo dice espressamente “Se ci dai il consenso, invieremo alla nostra sussidiaria Jumpshot Inc. una serie di dati de-identificati derivati dalla tua cronologia di navigazione allo scopo di consentire a Jumpshot di analizzare i trend del mercato e altre indicazioni di valore. I dati sono del tutto de-identificati e aggregati e non possono essere usati per identificarti personalmente. Jumpshot potrebbe condividere questi dati aggregati con i suoi clienti”.

Jumpshot inserisce questi dati come parte integrante della propria offerta prodotti. Ad esempio, tramite il suo “All Clicks Feed” un’azienda può avere accesso al tuo comportamento in Internet o a qualsiasi clic che puoi aver fatto su una particolare gamma di domini. Tra i dati che Avast mette a disposizione di Jumpshot ci sono le coordinate GPS di Google Maps, le pagine di Linkedin visitate dagli utenti, i video di Youtube, i contenuti dei siti web visitati e perfino le ricerche e contenuti sui siti pornografici: tutti dati accompagnati da dettagli molto precisi, perfino sul momento esatto della giornata con tanto di marca temporale.

Un esempio di record ottenuto tramite Avast è:
Device ID: abc123x Date: 2019/12/01 Hour Minute Second: 12:03:05 Domain: Amazon.com Product: Apple iPad Pro 10.5 – 2017 Model – 256GB, Rose Gold Behavior: Add to Cart.

Tra le società che hanno accesso ai dati venduti da Jumpshot troviamo nomi del calibro di Yelp, IBM, Microsoft, Google, Unilever e TripAdvisor. Per il settore finanziario invece, Jumpshot offre un prodotto specifico: l’accesso, in termini di attività ovviamente, dei più importanti 10.000 domini del settore, per individuare tendenze e raccogliere informazioni utili per elaborare previsioni di mercato.

La giustificazione che Avast ha fornito a Motherboard e PCmag è che i dati sono completamente anonimizzati e privi delle cosidette publicly identifiable information (PII), ma sono molteplici gli studi e le indagini che, nel corso degli anni, hanno dimostrati come sia possibile de-anonimizzare un dato tramite l’ingegneria inversa. Un esempio: nel 2006 il New York Times identificò una persona alla quale era stato assegnato un numero di ricerca casuale tra 20 milioni di record di ricerca che AOL aveva rilasciato al pubblico. Il caso si applica alla raccolta dati di Avast:

“Uno dei dataset appartenenti a Jumpshot ottenuto da Motherboard e PCMag mostra un timestamp precisissimo, fino al millisecondo, su ogni URL visitato. Una azienda potrebbe semplicemente consultare la banca dati dei propri clienti per individuare l’utente che ha visitato quel sito, quindi seguirlo attraverso altri siti nei dati Jumpshot.” ha commentato Joseph Cox di Vice.

Che cosa dicono gli utenti di Avast?
Avast ha spiegato che sta implementando una procedura di “esplicito opt-out” così da consentire agli utenti di sospendere la condivisione dei dati con Jumpshot.

“Gli utenti hanno sempre la possibilità di non condividere le informazioni con Jumpshot. Da luglio 2019 abbiamo già iniziato ad implementare una scelta di opt-in per tutti i nuovi download dei nostri antivirus, e stiamo ora chiedendo ai nostri esistenti utenti gratuiti di fare una scelta esplicita, un processo che sarà completato a febbraio 2020” ha dichiarato Avast.

E va anche detto che un utente può, effettivamente negare il consenso o rimandare la decisione ad un momento successivo. Gli utenti di Avast contattati da Motherboard e PCMag nell’ambito della inchiesta congiunta hanno tutti però confermato di non essere a conoscenza delle modalità né delle tipologie di dati raccolti, sollevando seri dubbi su quanto un eventuale consenso prestato fosse realmente informato.

d2f3290abcfaa36f1fdeda9bd4461074_a1-2-640-c-90[1]

Campagna di spam contro utenti italiani: il malware sLoad si diffonde via PEC

lunedì 27 gennaio 2020
Campagna di spam contro utenti italiani: il malware sLoad si diffonde via PEC

La segnalazione del Cert-PA è di stamattina, ma l’individuazione di un’ampia campagna di email di spam che diffonde il malware sLoad via circuito PEC risale a domenica sera. L’email di spam coinvolge centinaia di account PEC differenti ed è indirizzata sia verso utenti privati che enti pubblici.

L’email ha come oggetto “Copia Cortesia – PDF Fattura Numero XXXXXXXX“ dove il numero solitamente è RX49712669619, ma sono state individuate anche alcune varianti nelle quali il fantomatico “codice fattura” può anche variare. E’ stato il ricercatore indipendente reecdepp a riportare infatti una variante (visibile qui) “armata” di un archivio .ZIP dentro il quale è contenuto un falso PDF e un file VBS: questa variante mostra un “codice fattura” diverso.

Il testo dell’email è il seguente:

Fonte: https://www.cert-pa.it/notizie/campagna-malspam-sload-veicolata-via-pec/

L’email contiene, come detto, 3 file: nella versione pubblicata dal Cert-Pa i nomi file sono

copia-cortesia-fattura-numero-RX49712669619.zip
copia-cortesia-fattura-numero-RX49712669619.pdf
copia-cortesia-fattura-numero-RX49712669619.vbs

Dall’analisi del codice del file VBS il Cert-PA ha rivelato il download di un ulteriore file al momento non disponibile sul server di archiviazione dei file.

il malware sLoad in breve
sLoad è un malware che si distingue per le particolari tecniche di offuscamento del codice dannoso. Tra le prime informazioni che raccoglie subito dopo l’avvio ci sono tutte le informazioni relative alla macchina infettata (dall’architettura fino al codice UUID, un identificativo univoco universale). Subito dopo pianifica nel tempo il download del codice aggiuntivo necessario al suo funzionamento basilare e per ampliare le funzioni di cui può disporre. Tra le funzioni principali ne troviamo due:

sLoad funge da backdoor sulla macchina infetta. Può essere usato, anche a distanza di molto tempo dall’infezione, per distribuire ulteriori malware nelle macchine già colpite;
sLoad funge da keylogger, ovvero colleziona le battiture sulla tastiera e gli input che arrivano nelle macchine infette;
sLoad ha anche funzioni per il furto periodico di screenshot e di informazioni dal sistema infetto.

00[1]

Data breach e data leak: quali sono le differenze?

E’ indubbio che l’anno 2019 sia stato quello che più ha dimostrato come oggi siano i dati le vere prede dei cyber attaccanti, sia che si tratti di “criminali comuni” che di gruppi sponsorizzati da Stati nella cyber guerra a bassa intensità che ormai contraddistingue le relazioni tra alcune nazioni. Database esposti, dati esfiltrati e pubblicati, dati condivisi con terze parti, dati criptati, dati rivenduti nel dark web… Di queste parole si sono riempiti i giornali, non solo quelli di settore, nel 2019.

Sopratutto sarà capitato a tutti di leggere notizie dove si fa riferimento ai cosiddetti data breach e data leak: due dizioni spessissimo usate come sinonimi, perfettamente intercambiabili. In realtà tra data leak e data breach ci sono differenze di fondo.

In comune, le due definizioni hanno, ovviamente, le conseguenze: dati sensibili vengono esposti online e possono quindi (anche se non necessariamente) essere sfruttati per vari scopi, dalla semplice rivendita dei dati nel dark web al furto di identità, al ricatto ecc… Tecnicamente parlando, però, lo scandalo di Cambridge Analytica, che ha visto la raccolta dei dati di 87 milioni di profili Facebook, è stato un data leak. Al contrario l’esposizione dei dati di 500 milioni di clienti della catena alberghiera Marriot, evento accaduto nel 2018, è un data breach. In cosa consiste la differenza? Il punto non è secondario, perché avere chiari questi concetti aiuta a organizzarsi, approntare le soluzioni più adatte, apprendere “buone prassi” che ci rendano sempre più attenti alla sicurezza dei dati e e capaci di difendere la privacy, nostra personale e di eventuali nostri clienti.

Cosa è un data breach
Un data breach è un attacco diretto su dati privati operato da una entità non autorizzata. Un attaccante che penetra in un database o che riesce ad estorcere (magari con una email di phishing) credenziali di accesso ai dati della vittima dell’attacco di phishing ecc… Nel caso della catena Marriot International, gli attaccanti hanno installato un malware nei sistemi probabilmente nel 2014, e questo è rimasto non individuato fino al 2018: la conseguenza diretta è stata l’esposizione dei dati di milioni di clienti. In dettaglio gli attaccanti hanno installato un Remote Access Trojan (RAT) per avere accesso ai sistemi e il tool Mimikatz, specializzato nell’individuazione di username e password nei sistemi di memoria. Se da Marriot avessero provveduto ad effettuare audit riguardanti il rispetto degli standard di sicurezza è molto probabile che il malware sarebbe stato individuato molto prima.

Cosa è un data leak?
Un data leak invece è la trasmissione non autorizzata di dati da dentro una organizzazione ad un destinatario esterno. Il termine può essere usato sia per indicare trasferimenti fisici di dati che digitali, anche se la quasi totalità dei data leak avviene online. Questo tipo di eventi possono dipendere da varie cause, anche se la principale è l’errore umano: ad esempio l’invio di email al destinatario sbagliato oppure l’esposizione accidentale di informazioni in risposta a una richiesta. La maggior parte dei data leak insomma è involontaria e accidentale. Sono data leak anche quegli incidenti dovuti a vulnerabilità o ad errati processi aziendali di conservazione dei dati.

Una delle distinzioni chiave è quindi l’intenzionalità, l’attacco volontario vs l’errore umano ad esempio. L’altra è che il data leak avviene dall’interno all’esterno, mentre un data breach ha “direzione opposta”, dall’esterno all’interno.

Perchè questa distinzione è così importante?
La differenza aiuta a comprendere alcune cose, prima di tutto il fatto che talvolta i dati finiscono esposti come risultato della maniera con cui sono progettati determinati servizi. La situazione classica è il database mal configurato, rintracciabile coi comuni motori di ricerca o specifici strumenti di ricerca. In altri casi invece politiche di sviluppo incorenti permettono debolezze nel sistema: Cambridge Analytica era una entità di dubbia legittimità che è riuscita a insinuarsi nelle incoerenze delle politiche di Facebook.

Se un’azienda, contro un data breach, può approntare le misure difensive necessarie e adatte, con soluzioni di sicurezza per endpoint, reti, server e dispositivi mobile, quel che può fare invece per impedire data leak è molto più vasto: si va dalla formazione dei dipendenti alla concezione di politiche coerenti tra loro di gestione dei dati, fino alla valutazione approfondita delle parti terze con le quali condividere i dati (e come e per quanto e per quale finalità).

Come clienti/utenti di un servizio invece non abbiamo alcuna possibilità di prevenire violazioni o fughe di informazioni, a parte tenere presenti le ovvie e necessarie necessità di riservatezza e privacy riguardo le nostre stesse informazioni sensibili, che troppo spesso siamo disposti a rendere pubbliche o a condividere prestando poca attenzione. Un esempio? E’ preferibile non condividere la data di nascita sui social se poi utilizziamo quella combinazione di numeri in alcune delle nostre password. Anche informarsi su come un preciso servizio raccoglie e gestisce i dati è importante: possiamo scegliere, leggendo le informative privacy e sicurezza che il GDPR ha reso obbligatorie, tra servizi diversi a seconda della sicurezza e riservatezza che ci garantiscono.

02ccb4a40d86df6d9b965f826a5e8902_11-2-640-c-90[1]

Il Cert-Pa individua una campagna di spam contro utenti italiani: diffonde il temibile malware TrickBot

L’alert del Cert-Pa è di ieri: hanno rilevato direttamente una campagna di email di spam in italiano che diffonde, tramite il solito allegato compromesso, una versione piuttosto recente di TrickBot, un malware molto pericoloso sul quale forniremo, in questo testo, alcuni aggiornamenti.

La campagna di email di spam
Le email di spam, veicolo dell’infezione, sono scritte in italiano e provengono da caselle email realmente esistenti (quindi non create ad hoc per l’attacco): molto probabilmente siamo di fronte a diverse centinaia di account email violati, impiegati per veicolare il malware.

Mittente, oggetto, corpo email, nome dell’allegato sono variabili: tendenzialmente l’allegato contiene un file chiamato “Documento_doganale_XXXXXXX.doc”. Sotto due campioni email analizzate dal Cert-Pa:

Fonte: https://www.cert-pa.it/

L’allegato dannoso ha, come nome, una parte fissa “documento_doganale_”, seguita da una serie numerica che varia, ma comunque sempre di 7 cifre: alcuni file dannosi riscontrati dal Cert-Pa sono:
documento_doganale_1693507.doc
documento_doganale_4644896.doc
documento_doganale_3009002.doc
documento_doganale_5288883.doc
documento_doganale_2535400.doc
documento_doganale_3647173.doc
documento_doganale_4648739.doc
documento_doganale_4769863.doc
documento_doganale_6570725.doc
Qualora un utente riceva una email contenente questi file o file con nome simile, è molto importante NON APRIRE L’ALLEGATO e, sopratutto, NON ATTIVARE LA MACRO contenuta.

Quel che colpisce è che questi allegati compromessi presentano, per adesso, un bassissimo livello di individuazione da parte degli antivirus più popolari e diffusi, quindi ad ora gli utenti sono esposti all’attacco, a meno che non siano in grado di individuare l’email di spam e quindi non procedere ad apertura dell’allegato.

TrickBot: parliamone ancora
Il trojan Trickbot è una vecchia conoscenza, individuato la prima volta nel 2016: conosciuto anche come Trickster o TheTrick, ha debuttato sulle scene dal cyber crime esclusivamente come trojan bancario, ma è stato aggiornato costantemente con nuove funzioni, moduli e tecniche di offuscamento sempre più complesse. Inizialmente aveva solo funzionalità da trojan bancario “classico”, ovvero la capacità di estrapolare dalla macchina infetta quante più informazioni finanziarie possibili. Recentemente ha “mutato pelle”, diventando anche un malware dropper, capace cioè di scaricare sulle macchine compromesse anche altre famiglie di ransomware.

L’ultima, recentissima, evoluzione risale a poco meno di una settimana fa: gli attori TrickBot, anziché usare tool già conosciuti, hanno deciso di sviluppare un proprio tool, chiamato PowerTrick, che ha la capacità di diffondere il malware lateralmente lungo una rete. In breve, quando gli attaccanti riescono ad ottenere l’accesso ad una rete, tentano di trovare le credenziali di amministratore e dei singoli utenti quindi diffondono il malware lungo la rete. Questo tipo di movimento laterale viene solitamente eseguito con framework o tool post-exploit appositi, che facilitano la raccolta delle credenziali, l’esecuzione di comandi, la distribuzione di malware.

PowerTrick in dettaglio è un framework post-exploit file less (cioè non necessita di installare file sul sistema per funzionare – è, questa, una tecnica anti individuazione) che consente agli operatori di TrickBot di eseguire ricognizioni silenziose in cerca di dati, garantirsi la persistenza sulla rete e propagare lateralmente il malware.

Non meno importante: il tool procede all’installazione di backdoor che garantiscono agli attaccanti accesso in tempo reale ai sistemi e alla rete. La necessità di sviluppare in proprio un tool, anche se ve ne sono decine simili e molto popolari, origina probabilmente dalla necessità per gli attori di TrickBot di poter ridurre ancora il tasso di individuazione da parte delle soluzioni anti virus e anti malware, ma anche di costruire un tool più adatto alle loro specifiche esigenze.

00[1]

2020: tutti i software Microsoft che arriveranno a FINE VITA

Il 2020 vedrà scattare il fine vita per molteplici software sviluppati da Microsoft: Windows 7 è quello di cui si è più parlato, sia perchè è un sistema operativo, nelle sue varie versioni, ancora estremamente diffuso sia perchè è sicuramente il software più importante e famoso tra quelli che arrivano al cosiddetto EOL, ossia End of Life.

Cosa significa EOL, end of life
Arrivare a fine vita vuol dire, per un software, che la casa madre, in questo caso Microsoft appunto, non fornirà più patch di sicurezza per le vulnerabilità, fix per i bug e supporto tecnico. Inutile, forse, ribadire quanto sarà rischioso per gli utenti non provvedere al passaggio alle versioni più recenti o più aggiornate di un software: questi sistemi operativi vedranno aumentare sempre di più il numero di falle presenti, con un aumento della superficie di attacco che crescerà costantemente.

Windows 7 e Server 2008
Le scadenze per questi due sistemi operativi sono:
Windows 7: 14 gennaio 2020
Windows 7 Professional for Embedded Systems: 14 gennaio 2020
Windows Embedded Standard 7: 13 ottobre 2020
Windows Server 2008 e 2008 R2: 14 gennaio 2020

Per Windows Server 2008 e Windows 7 sarà comunque possibile, ancora per qualche tempo, ricevere update ESU, ma questi sono riservati a chi ha disponibilità economica, quindi aziende e enti governativi. Se avete necessità di informazioni riguardanti il fine vita di Windows 7 e di Windows server 2008, anche quest’ultimo destinato a scadere nel 2020, rimandiamo a questo dettagliato articolo > Gennaio 2020: Windows 7 e Windows Server 2008 R2 arrivano a fine vita. Che fare?

Gli altri software in “scadenza”
Oltre a Windows 7 e Server 2008 vanno già in (baby) pensione anche alcune versioni di Windows 10: è una caso particolare di prodotti coperti dalla “Modern Policy” di Microsoft. La Modern Policy prevede che alcuni prodotti e servizi vengano costantemente supportati e che Microsoft fornisca una specifica notifica almeno 1 anni prima di interrompere il supporto nel caso in cui non sia disponibile alcun software o servizio sostitutivo.

Ecco la lista dei più importanti prodotti che saranno ritirati in corso del 2020, ma coperti dalla Modern Policy.
Windows Server 1809 (Datacenter Core, Standard Core): 14 aprile 2020
Windows Server 1903 (Datacenter, Standard, IoT Enterprise): 8 dicembre 2020
Windows 10 1709 (Enterprise, Education, IoT Enterprise): 14 aprile 2020
Windows 10 1809 (Home, Pro, Pro for Workstation, IoT Core): 14 aprile 2020
Windows 10 1803 (Enterprise, Education, IoT Enterprise): 10 novembre 2020
Windows 10 1903 (Enterprise, Home, Pro, Pro for Workstations, IoT Enterprise): 8 dicembre 2020

Sotto invece l’elenco dei software che andranno in EOL quest’anno, ma che sono coperti dalla cosiddetta “Fixed Policy”: parliamo di software disponibili al dettaglio o in forma di licenza a volumi, che vedono garantiti almeno 10 anni di supporto.

Office 2010 (tutte le edizioni), Word 2010, Excel 2010, Excel Home and Student 2010, Office Home & Business 2016 per Mac, Office Home & Student 2016 per Mac e Office Standard 2016 per Mac: 13 ottobre 2020
Hyper-V Server 2008, Hyper-V Server 2008 R2 : 14 gennaio 2020
Internet Explorer 10: 31 gennaio 2020

Fine del supporto e assenza del programma ESU per:
SharePoint Server 2010: 13 ottobre 2020
Office 2010: 13 ottobre 2020
Exchange Server 2010: 14 gennaio 2020

Rimandiamo ovviamente alle pagine ufficiali dei prodotti Microsoft per ulteriori informazioni e approfondimenti e anche per l’individuazione delle migliori soluzioni sostitutive.

01[1]

Cyber rischi: previsioni 2020 by Seqrite

Il 2020 si preannuncia come un anno molto molto impegnativo per aziende, governi e anche semplici cittadini: si apre infatti una nuova era di minacce emergenti. Gli attaccanti hanno a disposizione (fortunatamente non solo loro) una nuova arma, l’intelligenza artificiale. L’AI infatti è già stata, e sarà sempre più, molto utile per la costruzione di strategie di cyber guerriglia che massimizzino l’impatto degli attacchi e per neutralizzare le difese informatiche dei target.

Oltre all’impiego dell’AI, si prevedere che i cyber criminali useranno nuove tecniche di attacco, i cui primordi sono già stati visibili negli ultimi mesi del 2019. Ecco le previsioni degli esperti di Seqrite per il 2020.

1. Aumento degli attacchi di “web skimming”
Per web skimming si intende il tentativo di furto dei dati delle carte di credito che gli utenti inseriscono nei form di pagamento dei siti di e-commerce al momento dell’acquisto di un bene o servizio. L’attaccante inietta nel sito una stringa di codice (Javascript), che si “impossessa” dei moduli di pagamento: tutti i dati inseriti dall’utente saranno quindi catturati e inviati all’attaccante.

Il 2019 ha visto il protagonismo assoluto di Magecart, un gruppo di cyber attaccanti specializzato proprio in furto dei dati delle carte di credito: centinaia sono stati i siti di e-commerce colpiti, centinaia di migliaia i dati rubati. Tra le vittime illustri anche British Airways, Ticketmaster e diverse catenee alberghiere e di ristorazione internazionali.

2. A.A.A BlueKeep cercasi
Di BlueKeep, vulnerabilità di livello critico dei sistemi RDP di Windows abbiamo già parlato, qui e qui. Per adesso i codici exploit dei quali si ha notizia consentono di portare attacchi DoS solo sulla macchina della vittima, ma è quasi sicuramente solo questione di tempo prima che gli attaccanti scoprano nuovi modi per sfruttare appieno questa vulnerabilità: ricordiamo che BlueeKeep consente la creazione di malware “wormable”, cioè che possono diffondersi lateralmente nelle reti. Quando ciò sarà possibile, i cyber attaccanti potranno quindi, con un solo punto di accesso colpire l’intera rete e anche più reti.

N.B: la patch per BlueKeep è disponibile: installatela per voi e per i vostri clienti, mettendovi al riparo da una minaccia che ha, almeno in teoria, lo stesso potenziale di infezione e attacco del celeberrimo ransomware WannaCry (che, ricordiamo, si diffuse grazie a EternalBlue, una vulnerabilità molto simile a BlueKeep).

Qui le linee guida di Microsoft sulla problematica >> https://bit.ly/2WcJ7rI

3. Deepfake per le cyber truffe
Per deepfake si intende la creazione di video o audio fake / manipolati riguardanti una persona tramite l’impiego di tecnologie di deep learning: uno strumento dal grande potenziale per i cyber attaccanti. Immaginate quanto diverrà facile, con questa tecnologia, organizzare una truffa del CEO, nella quale grazie ad un video deepfake un attaccante potrà convincere un dirigente o un dipendente di una azienda a trasferire somme di denaro. Il problema in realtà si è già posto, tanto da obbligare la Polizia Postale Italiana a lanciare l’allarme.

Per approfondire >> Deepfake: manipolazione video e intelligenza artificiale al servizio del crimine

4. Attacchi APT contro infrastrutture critiche
APT sta letteralmente per “Advanced Persistent Threat”: trattasi di una specifica tipologia di attacchi mirati e persistenti. Recentemente, ha avuto risalto sulla stampa globale un attacco APT molto pericoloso, quello che ha colpito la centrale nucleare di Kudankulam in India. Ci aspettiamo un incremento di attacchi di questo tipo, sopratutto contro infrastrutture pubbliche come reti di trasporti, centrali elettriche e di energia in generale, sistemi di telecomunicazione ecc…

Una caratteristica specifica di questi attacchi è che possono rimanere nascosti per giorni, persino mesi mentre vengono trafugate ingenti quantità di dati critici e confidenziali.

5. Il 5G porta con sé..nuovi attacchi!
Con la rete 5G tutto, proprio tutto, dalla macchina al frigorifero, avrà accesso ad una connessione ad alta velocità. Non serve neppure elencare gli enormi vantaggi che deriveranno da questa nuova tecnologia, mentre può essere utile ricordare che, di contro, i cyber attaccanti potranno contare su nuovi potenziali punti di accesso ad alta velocità. Il problema è aggravato dal fatto che le funzioni principali del 5G dipendono dal software piuttosto che dall’hardware, fatto che lo rende vulnerabile a molteplici tipologie di attacco. La sicurezza dei dati e la privacy degli utenti saranno messe a dura prova.

6. Aumento degli attacchi contro Windows 7
Il 14 Gennaio 2020 cesserà ufficialmente il supporto di Microsoft per Windows 7: non vi saranno quindi più update e patch di sicurezza per gli utenti. Eppure Windows 7 resta uno dei sistemi operativi più diffusi al mondo. Sono nell’ultimo trimestre del 2019 abbiamo registrato che il 67% degli attacchi ha colpito Windows 7 e siamo piuttosto certi che il livello andrà a crescere nel 2020, mano a mano che verranno a mancare gli aggiornamenti di sicurezza.

Vedi il resto delle previsioni per il 2020 nel report completo di Seqrite >> http://bit.ly/2rngji4

01[1]

Report delle minacce – anno 2019: i malware per Android

GIOVEDÌ 9 GENNAIO 2020
Nel 2019 i Quick Heal Security Labs hanno individuato circa 639.000 malware per Android, una media di 73 orari. Tra questi, le categorie malware più individuate sono stati gli adware (125.000 nel 2019) e le cosiddette PUA (applicazioni potenzialmente indesiderate), 360.000 l’anno.

In questo articolo rendiamo una breve panoramica dei malware per Android più pericolosi, individuati nel 2019. Il report completo, comprese alcune previsioni per il 2020 stante i dati emersi sul 2019, è disponibile qui >> http://bit.ly/2Qzziic

Highlights

Statistiche di individuazione per categorie di malware

La top 10 dei Malware per Android
Il grafico mostra i malware col più alto numero di individuazioni registrate nel 2019: sotto, in breve, la descrizione dei top 10 malware per Android

1. Android.Agent.GEN14722
Livello di Rischio: alto
Categoria: malware
Metodo di propagazione: app store di terze parti
Comportamento:
una volta eseguito, nasconde la propria icona ed opera in background;
scarica ulteriori app dannose dal proprio server C&C;
alcune delle app dannose scaricate dal malware rubano i dati delle vittime.
2. Android.Bruad.A
Livello di Rischio: medio
Categoria: PUA
Metodo di propagazione: app store di terze parti
Comportamento:
una volta installato, nasconde la propria icona;
mostra numerosi ads;
sottrae informazioni come codice IMEI, IMSI, numero del modello e location e le invia ad un server remoto.
3. Android.Smsreg.EH
Livello di Rischio: medio
Categoria: PUA
Metodo di propagazione: app store di terze parti
Comportamento:
invia IMEI e IMSI del dispositivo a numeri a pagamento via SMS;
raccoglie le informazioni del dispositivo come tipo e versione di SDK, compagnia telefonica, numero di telefono ecc…
tutti i dati raccolti sono inviati ad un server C&C
Segnalazioni importanti
WhatsApp: falla nelle chat di gruppo manda in crash l’app e fa sparire la cronologia
Pegasus, lo spyware che ficca il naso ovunque (ma non se hai Quick Heal!)

00[1]

Report delle minacce – anno 2019: i malware per Windows

MERCOLEDÌ 8 GENNAIO 2020
Nel 2019 i Quick Heal Security Labs hanno individuato 2.979.000 malware per Windows, una media di 124,136 malware all’ora. Tra questi, 4.5 milioni erano ransomware, 125 gli exploit, 16 milioni gli attacchi di cryptojacking (l’infezione di macchine per generare criptovaluta), 114 milioni i worm. I trojan si confermano la categoria di malware più individuata, rappresentando il 45% del totale delle individuazioni e confermando il trend degli scorsi anni.

In questo articolo rendiamo una breve panoramica dei malware per Windows più pericolosi, individuati nel 2019. Il report completo, comprese alcune previsioni per il 2020 stante i dati emersi sul 2019, è disponibile qui >> http://bit.ly/2Qzziic

Highlights

Statistiche di individuazione per categorie

Statistiche di individuazione per funzione di protezione

° Scansione in Tempo Reale:
la scansione in tempo reale verifica i file in cerca di virus e malware ogni volta che questo viene ricevuto, aperto, scaricato, copiato o modificato.
° Scansione On Deman
scansiona i dati a riposo, o i file non usati attivamente.
° Sistema di Individuazione Comportamentale:
individua e elimina le minacce sconosciute in base al comportamento che mostrano sulla macchina.
° Scansione di Memoria:
scansiona la memoria in cerca di programmi dannosi in esecuzione e li elimina.
° Scansione Email:
blocca le email che distribuiscono allegati infetti o link compromessi, siti fake o di phishing.
° Scansione Sicurezza Web:
individua automaticamente siti web potenzialmente dannosi e vi impedisce la navigazione.
° Scansione di Rete:
la scansione di Rete (IDS / IPS) analizza il traffico di rete per individuare cyber attacchi e bloccare pacchetti distribuiti verso il sistema.

La top 3 dei malware
Il grafico mostra i malware col più alto numero di individuazioni registrate nel 2019: sotto, in breve, la descrizione dei top 3 malware per Windows.

1. LNK.Cmd.Exploit.F
Livello di Rischio: alto
Categoria: trojan
Metodo di propagazione: allegati email, siti web compromessi
Comportamento:
usa cmd.exe per eseguire ulteriori file dannosi;
esegue simultanamente un file VBS con un file dannoso .exe. Il file VBS usa il protocollo di mining Stratum per generare criptovaluta Monero.
2. Trojan.Starter.YY4
Livello di Rischio: alto
Categoria: trojan
Metodo di propagazione: allegati email, siti web compromessi
Comportamento:
crea processi per eseguire il file eseguibile del malware;
modifica le impostazioni del registro e, talvola, porta al crash di sistema;
scarica ulteriori malware, sopratutto keylogger;
rallenta l’avvio del sistema e termina processi legittimi in esecuzione;
consente agli attaccanti di rubare informazioni sensibili dal sistema: mira sopratutto ai dettagli delle carte di credito e debito.
3. W32.Pioneer.CZ1
Livello di Rischio: medio
Categoria: file infector
Metodo di propagazione: drive di rete o removibili
Comportamento:
il malware inietta il codice nei file presenti sul disco o sulle condivisioni di rete;
decripta una DLL dannosa contenuta nel file quindi la salva sul sistema;
la DLL avvia una serie di attività dannose e raccoglie informazioni che poi invia al proprio server di C&C.

logHD1

YOTTA WEB - Via Don F. Cabrio 14/D - 13900 Biella (BI)

P.IVA 02552590024 - C.F. SNTSVR77S27A859C - REA BI 194613

Copyright 2017 © YOTTA WEB All Rights Reserved

Privacy Policy