01[1]

Google down: interruzioni e disservizi per Gmail, Youtube e tutti gli altri servizi di Big G.

lunedì 14 dicembre 2020
Google down: interruzioni e disservizi per Gmail, Youtube e tutti gli altri servizi di Big G.

Gli utenti Google stanno riscontrando problemi in tutto il mondo: centinaia di migliaia di persone non riescono ad accedere a Gmail, YouTube, Google Drive, Google Maps, Google Calendar e altri servizi Google. Anche centinaia di scuole nel mondo che utilizzano i servizi Google per la Didattica a Distanza (DaD) hanno dovuto sospendere le attività.

Al momento di accedere a YouTube, gli utenti visualizzano una schermata di caricamento e un messaggio di errore “There was a problem with the server (503) – Tap to retry”.

Messaggi di errore simili vengono visualizzati anche per i tentativi di accesso a Gmail da Android e iOS. Interessati dalla problematica anche l’accesso POP3 a Gmail e al sito web di Gmail.

Stando ai dati riportati da DownDetctor, i servizi di Google sono stati in down negli Stati Uniti, in Europa ma anche, piano piano, in tutto il mondo.
Fonte: DownDetctor

Ora, lentamente, stanno tornando raggiungibili.

La pagina https://status.cloud.google.com/, che fornisce una panoramica dello status dei servizi che sono parte della piattaforma Google Cloud, conferma la problematica in corso.

La prima nota ufficiale da parte di Google è arrivata alle 13.20 ora italiana:

“Siamo a conoscenza del problema con Gmail che sta riguardando la maggior parte degli utenti. Gli utenti riguardati dal problema non riescono ad accedere a Gmail. Forniremo un update oggi 14 Dicembre, alle ore 4.12.00 AM PST […]. Invitiamo a ricordare che l’ora di risoluzione della problematica è una stima e potrebbe variare”.

Poco dopo, alle ore 1.3.40, Google ha diramato un aggiornamento specificando che
” I servizi sono già stati ripristinati per una parte degli utenti: ci aspettiamo la risoluzione della problematica per tutti gli utenti nell’immediato futuro. Invitiamo a ricordare che l’ora di risoluzione della problematica è una stima e potrebbe variare”.

Il problema risulta ad ora risolto per quasi tutti gli utenti, anche se ancora sono segnalate problematiche all’infrastruttura di Google Cloud. Nei prossimi giorni, appena saranno disponibili ulteriori dettagli, sarà possibile sapere le cause dietro al down globale.

01[1]

Anatomia di FormBook, uno dei malware infostealer più diffuso in Italia

martedì 15 dicembre 2020
Anatomia di FormBook, uno dei malware infostealer più diffuso in Italia

E’ un nome ricorrente: rimbalza in ognuno dei report che, settimanalmente, il CERT-AgiD pubblica ricostruendo e dettagliando le campagne dannose attive di settimana in settimana nel cyber spazio italiano. Parliamo di FormBook, un malware in diffusione da anni e che ha una funzionalità principale, ovvero quella di infostealer, furto informazioni e dati. E anche un cosiddetto “form grabber” quei malware pensati per rubare le informazioni che gli utenti inseriscono in form di login, di contatto e di pagamento.

E’ un malware as a service, ovvero un servizio malware online tramite il quale utenti malintenzionati possono affittare il malware e distribuirlo, gestendolo tramite la dashboard del servizio: si, proprio come fosse un servizio professionale ad abbonamento. Gli autori non vendono il malware in se, ma il suo pannello tramite il quale viene generato il file eseguibile.
Dashboard, prezzi, informazioni dal servizio FormBook. Fonte: www.fireeye.com

Dettagli tecnici
Il malware funziona per iniezione: inietta se stesso in vari processi di sistema e installa funzionalità per il log delle battiture sulla tastiera (keylogging), per il furto dei contenuti degli appunti, per estrarre dati dalle sessioni HTTP e HTTPS: comunica costantemente col proprio server di comando e controllo e riceve da esso comandi per eseguire funzionalità specifiche utili sulla macchina infetta, per avviare determinati processi, per spegnere o riavviare il sistema, per rubare cookie e password locali.

Una delle caratteristiche più interessanti di questo malware è la sua capacità di leggere il modulo di Windows ntdll.dll dal disco nella memoria e chiamarne direttamente le funzioni esportate, rendendo inefficaci il meccanismo di monitoraggio delle API e lo user-mode hooking. Una tecnica chiamata “Lagos Island method” che, stando a quando dichiarato dai suoi autori, deve il nome ad un rootkit omonimo).

E’ dotato anche di un metodo di persistenza che prevede un continuo cambio random di percorso, nome file, estensione del file e chiavi di registro usate per la persistenza stessa.

Le funzionalità principali
Come detto FormBook cerca di rubare dati, ma ad esempio non ha alcuna funzionalità che miri ai dati bancari: non è possibile cioè definirlo come banking malware. Le principali funzionalità sono:

keylogging;
monitoraggio degli appunti;
furto di dati dai form in HTTP / HTTPS / SPDY, HTTP2 e delle richieste di rete;
furto password dai browser e dai client email
screenshot.

Dal proprio server di comando e controllo, può ricevere ulteriori istruzioni tra le quali:

aggiornamento del bot sul sistema host;
download ed esecuzione di ulteriori file;
rimozione del bot dal sistema host;
esecuzione di comando tramite ShellExecute;
furto dei cookie del browser;
riavvio del sistema;
arresto del sistema;
download e estrazione di archivi .ZIP.

Infrastruttura: qualche dettaglio
I domini di comando e controllo (C2) sfruttano, in genere, domini di primo livello generici e poco diffusi come .site, .website, .tech, .online, info. Nelle campagne recenti, i domini usati sono stati tutti registrati utilizzando il servizio di protezione privacy WhoisGuard. Ogni server ha, in generale, ha installazioni del pannello multiple, cosa che potrebbe indicare che FormBook si basi sul modello affiliativo.

Informazioni di installazione
Il malware è un file RAR autoestraente che avvia un loader Autolt. Il loader compila ed esegue lo script Autolt, che decripta il file payload di FormBook, lo carica nella memoria, quindi lo esegue. Il malware a questo punto copia sé stesso in una nuova location. Se il malware p eseguito con alti privilegi di amministrazione, si copierà in una delle seguenti directories:

%ProgramFiles%
%CommonProgramFiles%

Se invece viene eseguito con privilegi normali, copia sé stesso in una delle seguenti directories:

%USERPROFILE%
%APPDATA%
%TEMP%

FormBook configura la persistenza in una delle seguenti location, a seconda dei privilegi coi quali viene eseguito:

(HKCU|HKLM)\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
(HKCU|HKLM)\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run

Come ogni malware che si rispetti, anche FormBook è dotato di alcune accortezze per impedire a ricercatori ed analisti di “intrappolarlo” in qualche honeypot o debuggarlo, comprese ben 3 blacklist: una per i moduli, una per i processi e una per gli username.

Le campagne di distribuzione
Come stiamo vedendo in Italia ormai da mesi, FormBook viene distribuito tramite campagne email contenenti allegati dannosi di vario formato, ma i più comuni sono:

PDF contenente un link accorciato col servizio “tny.im”, che reindirizza ad un server che contiene il payload di FormBook;
allegati DOC e XLS, contenenti macro dannose che, se abilitate, eseguono il download del payload di FormBook;
allegati ZIP, RAR, ACE, ISO che contengono direttamente l’eseguibile di FormBook.

01[1]

Cosa “gira” in Italia? Malware e campagne di attacco individuate dal CERT

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d’occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un’infezione alla fonte?

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.

I malware della settimana 11/12
La scorsa settimana il CERT-AgID ha individuato e proceduto ad analisi di 25 campagne dannose attive nello scenario italiano: 20 di queste prevedevano esplicitamente obiettivi italiani, 5 invece sono state campagne generiche veicolate anche in Italia. Gli indicatori di compromissione (IoC) pubblicati sono 489,consultabili sul sito ufficiale del CERT.

Le famiglie malware individuate in diffusione sono soltanto 4 e, almeno questa settimana, non figurano novità:

FormBook è stato il malware più individuato, diffuso in 3 diverse campagne email dannose, di cui due a tema Pagamenti, con testo e oggetto in lingua italiana, e una internazionale in lingua inglese a tema Delivery. Le campagne in italiano veicolano allegati .rar e .xlsx, mentre la campagna internazionale ha visto l’uso di allegati archivio .ZIP. Per approfondire: Anatomia di FormBook, uno dei malware infostealer più diffuso in Italia

Dridex è stato individuato in 3 campagne internazionali diffuse però anche nel cyberspazio italiano: tutte e tre sono state a tema Pagamenti e correlate ad allegati .doc e .xlsm;

Avemaria è stato distribuito in 1 sola campagna internazionale, a tema Pagamenti, ma veicolata anche in Italia principalmente contro le Pubbliche Amministrazioni: l’allegato utilizzato è stato in formato .iso, entro il quale è presente il file eseguibile del malware e un file PDF innocuo

AgenTesla è stato distribuito all’inizio della settimana con una campagna mirata contro utenti italiani a tema delivery. Correlati alla campagna allegati dannosi in formato .ZIP e .RAR: il malware contenente potrebbe essere una variante di ASTesla, vista la caratteristica forma di comunicazione via bot Telegram. Per approfondire: ASTesla: l’analisi del CERT-AgID sul nuovo malware per il furto dati diffuso in Italia

Avemaria in breve:
è un malware già conosciuto, individuato in diffusione in Italia nel Luglio di quest’anno: il nome viene da una stringa di codice del malware stesso. E’ un malware infostealer pensato per il furto delle credenziali degli account di posta elettronica da Microsoft Exchange Client o Outlook e dai browser.
Fonte: https://cert-agid.gov.it/

Le campagne di phishing della settimana 11/12
Le campagne di phishing analizzate sono state 9, la maggior parte delle quali è ancora a tema bancario: i brand più sfruttati sono stati Intesa SanPaolo e Unicredit, Poste Italiane al terzo posto:

IntesaSanpaolo, Unicredit e Poste sono stati i brand sfruttati nelle campagne di phishing più attive e massive individuate;
BNL, MPS e Paypal seguono con alcune campagne a tema Banking;
altre campagne veicolate in Italia ma sporadiche hanno visto l’uso del brand Amazon e testi a tema Storage e Premi: tutte queste avevano il solo scopo di rubare le credenziali di accesso ai rispettivi servizi. Gli utenti venivano reindirizzati verso pagine fake tramite abbreviatori di URL.

Fonte: https://cert-agid.gov.it/

Fonte: https://cert-agid.gov.it/

Tipologia di file di attacco
Per quanto riguarda le tipologie di file allegati per veicolare i malware, sono stati individuate 6 diverse tipologie: i più utilizzati sono stati i formati archivio .ZIP, .RAR e il file Excel .XLSM. Altri formati usati sono stati .DOC, .ISO, .XLSX.
Fonte: https://cert-agid.gov.it/

r

01[1]

Si scatena lo shopping online…e i truffatori: campagna malware per rubare le carte di credito prende di mira gli e-commerce che usano Magento

mercoledì 9 dicembre 2020
Si scatena lo shopping online…e i truffatori: campagna malware per rubare le carte di credito prende di mira gli e-commerce che usano Magento

Si sono mossi per tempo, iniziando a bersagliare e infiltrare store online basati su Magento fino dall’Aprile 2020: parliamo del gruppo di cyber truffatori famosi per il loro attacco Magecart. E’ così che sono riusciti a compromettere un altissimo numero di store online in tempo per quella stagione matta degli acquisti che inizia col Black Friday e si conclude con le festività natalizie. Scopo dell’attacco? Rubare le carte di credito di quelle migliaia e migliaia di persone che, anche spinte dal contesto pandemico, decideranno di acquistare regali online.

Magecart in breve
Ufficialmente MageCart è il nome di un gruppo di cyber criminali specializzato nel furto di informazioni relative alle carte di credito degli utenti di siti e-commerce. La tecnica con la quale rubano questi dati è ormai molto famosa (e famigerata), tantoché la tipologia di attacco ha assunto il nome del gruppo, attacco MageCart ovvero “il carrello dei maghi”.

Il gruppo prende di mira i siti e-commerce di grandi aziende (British Airways, Ticketmaster, diverse catene alberghiere come Marriot, la Warner Music Group (WMG) ecc…) e li compromette tramite processi automatizzati: tra gli obiettivi più gettonati ci sono gli Amazon S3 Buckets (servizi di storage molto usati dalle aziende) non correttamente configurati. Una volta compromesso un dominio, le pagine web vengono inondate di malvertising: gli utenti rimbalzano di annuncio in annuncio e sono convinti con varie tecniche ad inserire quanti più dati personali possibili, che vengono immediatamente ricevuti dagli attaccanti. Un codice Javascript fa poi il resto ed è qui il cuore dell’attacco, tecnicamente definito come “web skimming”: il Javascript resta attivo sull’e-commerce e sottrae tutte le informazioni sensibili che gli utenti inseriscono nei moduli di pagamento. Spesso un sito resta compromesso per mesi, poiché le violazioni MageCart sono molto difficili da individuare

La campagna di attacco: qualche dettaglio in più

Gli attaccanti hanno preso di mira store online basati su Magento dalla v. 2.2.3 alla 2.2.7 e, sfruttando molteplici falle di sicurezza presenti in queste versioni obsolete di Magento, sono riusciti ad infiltrarli distribuendo due script: una backdoor per garantire l’accesso allo store e uno script specializzato nel furto di carte di credito che consente loro di intercettare e ricevere i dati della carta di debito / credito usata dall’utente.
Questi “skimmer” sono solitamente basati su JavaScript e, per quanto specializzati nel furto dei dati delle carte di credito, in alcune versioni rubano anche dati personali degli utenti (nome e cognome, account email e credenziali di accesso al sito di pagamento, geolocalizzazione…). L’attacco è comunque possibile solo perché permangono online molti, anzi troppi, store online obsoleti, fallati e con scarse misure di sicurezza.

In questo caso risulta utilizzata una complessa infrastruttura che utilizza un malware che agisce sia nel back end che nel front end e non solo: i malware sono protetti da una lunga serie di contromisure che, in pratica, hanno consentito di evitare la rimozione dagli archivi, anche nel caso in cui siano stati individuati. Si, quello usato dal gruppo Magecart è praticamente un malware che non si può rimuovere. Oltre a garantirsi, via backdoor, possibilità infinite di reinstallazione, questo malware funziona in maniera tale da far sembrare legittima una transazione fraudolenta: lo script mostra infatti un form di pagamento personalizzato che imita l’interfaccia del form del sito compromesso quindi invia i dati rubati agli attaccanti. Le misure di sicurezza e monitoraggio del sito di e-commerce avranno grosse difficoltà a cogliere l’attività fraudolenta dietro una transazione apparentemente legittima.

Lo script Magecart Skimmer – Fonte Sansec

Tutto il potere alle backdoor
Perno della persistenza dell’attacco è la backdoor nascosta: tramite questa gli attaccanti sono riusciti a reinfiltrare il server e reinstallare il malware a pochi giorni dalla pulizia completa di quegli store che, accortisi della violazione, hanno tentato di ripulire i server. Non solo: la backdoor è anche il perno su cui poggiano ulteriori attività dannose. Al momento di infiltrare un server infatti gli attaccanti distribuiscono:

una backdoor usata per distribuire ulteriori payload dannosi;
una backdoor “di controllo” in esecuzione come processo di sistema nascosto, necessaria al ripristino della backdoor nel caso in cui questa venga rimossa dal proprietario o amministratore del sito;
lo script di Magecart, con le componenti back end e fronte end, per il furto dei dati degli utenti;
una logger di password usato per individuare le credenziali di amministrazione. Il logger è estremamente insidioso perchè continuerà a intercettare e inviare agli attaccanti le credenziali di admin anche nel caso in cui gli operatori di Magecart dovessero perdere completamente l’accesso al server del sito di e-commerce violato e non riuscissero a ripristinarlo.

Il logger delle password di Admin – Fonte Sansec
r

01[1]

Anatomia di Egregor, il nuovo top ransomware (che ha già colpito in Italia)

venerdì 4 dicembre 2020
Anatomia di Egregor, il nuovo top ransomware (che ha già colpito in Italia)

E’ piuttosto nuovo, è accreditato come il successore del temibile ransomware Maze (che ha annunciato il cessata attività poche settimane fa), ha già colpito bersagli di peso estremamente rilevante (il sistema metropolitano di Vancover, la catena di rivendita libri statunitense Barnes & Noble, la catena di grandi magazzini Kmart, la famosa casa produttrice di videogiochi Ubisoft ecc…) soprattutto negli Usa, ma si contano attacchi e violazioni anche in Europa. In Italia ha colpito duramente il Gruppo Carraro che, paralizzato dall’attacco, ha addirittura dovuto mettere in cassa integrazione 700 dipendenti per il tempo necessario a mitigare gli effetti dell’attacco.

Il nome deriva da “eggregora” che, nel mondo dell’occulto, indica quell’entità incorporea che si produce dall’unione delle energie di singole persone unite collettivamente nel perseguimento di uno scopo comune: si, descrive perfettamente un gruppo di operatori ransomware. E’ attivo da pochissimo tempo, individuato la prima volta in diffusione a metà Settembre del 2020, e specializzato in attacchi mirati contro target aziendali. Non risultano, ad ora, infezioni o attacchi contro utenti non aziendali.

Come tutti i ransomware di nuova generazione, è orientato al modello del doppio riscatto: nella foto sotto è possibile vedere il sito di leak che i suoi sviluppatori utilizzano per pubblicare i dati rubati di quelle aziende che rifiutano di pagare il riscatto o anche solo di avviare una trattativa.

Qualche info tecnica
Eregor sembra collegato alla famiglia del ransomware Sekhmet, poichè sono usate le stesse note di riscatto, siti di pagamento simili e c’è la condivisione di parte dello stesso codice. Per la criptazione utilizza diversi algoritmi, tra i quali i solidissimi AES, RSA-2048 e ChaCha (esattamente come in uso con Maze), combinati tra loro: questo rende estremamente complicata (se non impossibile) la ricerca di una soluzione e la decriptazione dei file senza disporre della chiave privata. ChaCha è un algoritmo di criptazione recente e meno noto, successore di Salsa20 e gode della stessa fama di cui gode AES in termini di solidità: né AES né ChaCha/Salsa20 sono mai stati crackati.

Egregor non si limita, come ormai è comune per i ransomware, a criptare i file, anzi bersaglia funzioni e file specifici in Windows, tra i quali:

%Windows%
%SystemDrive%
%Local%
%LocalLow%
%ProgramData%
%system32%
%Roaming%
%Temp%
allo scopo specifico di ottenere la persistenza sui sistemi infetti. Può anche eseguire alcune funzionalità specifiche, prima tra tutti una funzionalità di verifica che gli permette di testare l’ambiente in cui si sta eseguendo: nel caso il test riveli l’esecuzione in SandBox o VirtualMachine il malware si auto termina e si cancella. E’ una comunissima tecnica che molti operatori ransomware utilizzano per impedire che il codice del malware finisca intrappolato in qualche “falso bersaglio” approntato da ricercatori a finalità di analisi e ricerca: insomma, uno strumento di anti debugging.

Ne ha molti altri: ad esempio presenta un alto livello di offuscamento del codice e un payload “impacchettato” appositamente ed esegue anche una API Windows che rende ancora più complessa l’individuazione, come si può vedere sotto

Può anche ottenere i privilegi di amministrazione sulla macchina colpita poi diffondersi lungo la rete, esfiltrando tutte le password e tutte le credenziali di accesso che trova sulla sua strada.

Ha la capacità di modificare il registro di sistema di Windows, in dettaglio:

CurrentVersionRun;
CurrentVersionRunOnce;
LogonUIBackground;
WindowsPersonalization;
Control PanelDesktop;
CurrentVersionRun.
Esegue anche una verifica in cerca di Logmein nel log eventi, nel tentativo di criptare anche gli eventuali file che dovessero essere presenti su machine remote o server connessi alla macchina bersaglio.

Infine ha una funzionalità specifica per impedire il ripristino dei sistemi infetti usando le copie shadow di Windows o i backup: per farlo interrompe servizi come WinDefend o usa comandi come C:WindowsSystem32cmd.exe” /C vssadmin.exe Delete Shadows /All /Quiet per le copie Shadow.

Modalità di ricatto
Come già accennato, Egregor ha adottato la tecnica del doppio riscatto che gli ha tramandando Maze: un riscatto è richiesto per ottenere il tool di decriptazione necessario a riportare in chiaro i file, uno invece per far distruggere i file rubati e scongiurarne la pubblicazione.

A qualche giorno fa risale invece al scoperta di una nuova narrazione estorsiva, dove le vittime diventano clienti e i riscatti dei contratti: la nuova tecnica è stata scoperta dall’esperto di cyber sicurezza MalwareHunterTeam. Gli autori del malware hanno anche stabilito delle regole, tra le quali l’assicurazione che non procederanno alla pubblicazione o divulgazione dei file rubati finché la vittima non avrà comunicato la propria volontà in merito allo stipulare o meno un “contratto” con gli attaccanti. Se però entro 3 giorni la vittima non avrà contattato gli attaccanti, le informazioni rubate saranno pubblicate nella misura dell’1-3% del totale, salvo poi ovviamente aumentare col passare del tempo. Nel caso in cui una vittima decida di “sottoscrivere un contratto” on gli attaccanti e pagare il riscatto, gli attaccanti garantiscono la non pubblicazione dei dai rubati e anzi, la completa cancellazione senza possibilità di recupero di tutti i file rubati in loro possesso: l’operazione verrà garantita con uno specifico log di cancellazione che il gruppo avrà cura di inviare al proprio “cliente”.

D’altra parte, sarà invece durissima la linea che verrà adottata verso i “clienti ribelli” che si rifiuteranno di sottoscrivere il contratto o non lo rispetteranno: in questo caso gli attaccanti annunciano che illustreranno la struttura dei dati rubati a terze parti, così che queste possano scegliere quali dati comperare. Su questo, specifica la nota recentemente rilasciata, gli attaccanti non si porranno alcun limite: non si interesseranno minimamene sul chi vorrà comprare questi dati e per quale finalità.

01[1]

Cosa “gira” in Italia? Malware e campagne di attacco individuate dal CERT la scorsa settimana

venerdì 11 dicembre 2020
Cosa “gira” in Italia? Malware e campagne di attacco individuate dal CERT la scorsa settimana

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d’occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un’infezione alla fonte?

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.

I malware della settimana 11/12
Nel corso della scorsa settimana il CERT-AGiD ha individuato e analizzato 25 diverse campagne dannose, rivolte contro utenti italiani e veicolate nello spazio italiano: 3 erano generiche campagne, veicolate anche in Italia, 22 invece hanno mirato precisamente obiettivi italiani. Ne sono risultati 386 indicatori di compromissione, disponibili sul sito ufficiale del CERT.

Sei le famiglie di malware individuate in diffusione, poche novità e tante conferme:

Ursnif si conferma il malware più distribuito, rilevato in 3 diverse campagne: una che ha sfruttato il brand Vodafone, altre due a tema Energia e Informazioni. Gli allegati correlati sono in formato .zip e .xlsm;
Dridex si piazza al secondo posto della classifica, individuato in due campagne internazionali a tema Delivery distribuite anche in Italia. Gli allegati correlati sono in formato .xls e .xlsm;
XmRig è la novità della settimana: è la prima volta che il CERT-AGiD rileva la presenza di questo miner di criptovaluta. Non è ovviamente distribuito via email, ma tramite browser injection o in conseguenza di precedenti compromissioni;
Lokibot, Qabot e MassLogger completano il quadro, in distribuzione con sporadiche campagne a tema Documenti e Delivery. Lokibot e Qabot sono correlati ad allegati in formato .zip, MassLogger invece ad allegati in formato .7z.
XMrig in breve: il miner
XMRig non è, di per sé, un malware ma un legittimo strumento open source utilizzato per il mining di valuta Monero. Molti antivirus però lo individuano e bloccano come malware perché questo strumento è molto usato in modalità illegale per minare cripto valute sfruttando la potenza di elaborazione delle macchine delle vittime. Questa tendenza si deve al fatto che, per minare criptovaluta, ormai occorre enorme potere di calcolo: gli attaccanti così si sono spinti a cercare di ottenere più potere di elaborazione possibile infettando illegalmente macchine di altri utenti. Le vittime riscontrano gravi riduzioni delle performance del pc, crash di sistema, surriscaldamento, danni alla CPU.

Le campagne di phishing della settimana 11/12
Ancora una volta il brand più sfruttato per gli attacchi di phishing è stato IntesaSanPaolo: d’altronde la campagne a tema Banking si confermano le più diffuse. In diminuzione il phishing via SMS. Tra le campagne phishing, le principali sono:

Intesa San Paolo ha visto ben 10 diverse campagne sfruttarne il brand;
Poste Italiane è stata sfruttata in ben 4 diverse campagne a tema Riattivazione Account, Pagamenti, Banking: tutte e 4 miravano alle credenziali di accesso degli utenti Poste Italiane;
Zimbra e Outlook sono stati sfruttati in due campagne diverse.

Tipologia di file di attacco
Sono state individuate 4 diverse tipologie di allegato dannoso correlate alle campagne analizzate: il formato più utilizzato è il .ZIP, seguito da quello .XLSM

01[3]

ATM e Postamat hackerati: truffatori rubano 800.000 Euro in Italia

mercoledì 2 dicembre 2020
ATM e Postamat hackerati: truffatori rubano 800.000 Euro in Italia

Un’organizzazione di (cyber)criminali ha sottratto denaro da almeno 35 ATM bancari e Postamat usando una tecnica di attacco chiamata Black Box. La truffa è stata scoperta dai Carabinieri di Monza: sono 12 le persone identificate, 6 sono già state tradotte in arresto, 4 sono ancora all’estero mentre 2 non sono attualmente rintracciabili.

Le indagini si sono svolte in più città (Monza e Brianza, Milano, Bologna, Modena, Vicenza, Mantova e Parma) a seguito di un decreto di fermo emesso dalla Procura della repubblica di Monza verso un indiziato: le accuse sono di associazione a delinquere finalizzata alla commissione di furti aggravati. 800.000 euro sarebbe l’ammontare complessivo dei soldi sottratti dagli ignari utenti degli sportelli bancomat italiani in appena 7 mesi.

L’attacco Black Box, qualche dettaglio tecnico
L’attacco detto “Black Box” è tipologia di attacco piuttosto recente che, però, sta riscontrando già grande successo nel mondo criminale: l’idea di fondo è quella di hackerare un sistema ATM e forzarlo a erogare soldi col semplice invio di una serie di comandi tramite scheda Raspberry Pi, smartphone o laptop. Raspberry Pi / laptop / smartphone che, in questo attacco, sono usati all’unico scopo di inviare comandi da remoto all’ATM: una volta che gli attaccanti si sono accreditati come “amministratori di sistema”, hanno la possibilità di continuare a controllare la macchina pur senza la presenza fisica.

E’ uno degli attacchi detti di “jackpot”, intendendo con questa definizione tutte quelle tipologie di attacco che costringono a “sputare soldi” macchine contenenti denaro contante. Il modus operandi della banda è risultato essere sempre lo stesso: per prima cosa viene rimosso il pannello della luce di cortesia (per i Postamat) oppure viene creato un foto di lato alla tastiera (per ATM degli istituti di credito) allo scopo di individuare il multicavo seriale: tramite questo, l’ATM viene collegato al dispositivo scelto (Raspberry Pi / laptop / smartphone) e ad un router esterno. Un operatore della banda procede poi ad installare un malware capace di ottenere i privilegi di amministrazione del SO dell’ATM e il gioco è fatto: con un semplice comando la macchina inizia ad erogare denaro.

Va detto che l’attacco era già conosciuto e almeno una parte dei produttori di ATM e Postamat era già corso ai ripari per mitigare i rischi, ma sono ancora moltissimi i modelli con deboli protezioni che non riescono ad impedire questo attacco. Tutte le macchine infette in questo caso sono risultate essere Diebold Nixdorf ProCash 2050xe.

La lista degli ATM Compromessi:

UFF PP TT 12/07/2020 BELLUSCO
BANCA POPOLARE DI NOVARA 07/16/2020 CRODO
BPM 07/18/2020 SETTALA
BPM 07/20/2020 MORAZZONE
UFF PP TT 03/08/2020 SANT’ILARIO D’ENZA
CASSA SAVINGS 04/08/2020 SAONARA
UFF PP TT 08/05/2020 CARUGATE
UFF PP TT 08/08/2020 PESSANO CON BORNAGO
UFF PP TT 08/18/2020 SEVESO
UFF PP TT 08/19/2020 FAGNANO OLONA
BBPM 08/21/2020 COMO
BANCA INTESA 08/27/2020 GRONTARDO
BBPM 01/09/2020 BREMBATE DI SOPRA
UFF PP TT 01/09/2020 SIZIANO
UFF PP TT 02/09/2020 MELZO
UFF PP TT 09/04/2020 CARATE BRIANZA
UFF PP TT 07/09/2020 SENAGO
UFF PP TT 11/09/2020 BRESCIA
BPM 11/09/2020 PARMA
UFF PP TT 09/14/2020 BUSNAGO
BBPM 09/18/2020 ROZZANO
BBPM 09/18/2020 CARONNO PERTUSELLA
UFF PP TT 21/09/2020 GHEDI
BBPM 09/22/2020 CASARILE
BBPM 09/24/2020 MACHERIO
BBPM 09/30/2020 RESCALDINA
BBPM 09/30/2020 LIMENA
VOLKS 21/10/2020 VILLAVERLA
UNICREDIT 22/10/2020 GRISIGNANO DI ZOCCO
BANCO S. MARCO 10/28/2020 SPINEA
BANCA CAMBIANO 10/30/2020 MONTELUPO FIORENTINO
BBPM 11/06/2020 BIASSONO
BBPM 11/8/2020 SANTO STEFANO TICINO
BCC 10/11/2020 BIVIO DI CAPANNELLE (RM)
OFFICE PP. TT. 11/11/2020 VERMICINO – FRASCATI

8f24ffa08fd293ec2b4c47ebdf6a8243_11-3-640-c-90[1]

Dentro Ursnif, il trojan bancario più diffuso in Italia

martedì 1 dicembre 2020
Dentro Ursnif, il trojan bancario più diffuso in Italia

Da qualche tempo abbiamo cercato di dare spazio e risalto ai report riguardanti le utilissime analisi che il CERT-AgID svolge ogni settimana sui malware e le campagne di phishing più diffuse contro gli utenti italiani e nello spazio italiano. Cambiano i malware in diffusione, le tecniche di attacco, i contenuti delle truffe ma da mesi ormai c’è una presenza fissa, quella di Ursnif, un malware che nel Giugno del 2020 è entrato per la prima volta nella top 10 delle minacce rilevate, ottenendo uno stabile 5° posto. In Italia invece è stato il malware più diffuso nel primo semestre del 2020, con un impatto sulle aziende del 14% (mentre a livello mondiale si ferma al 2%): per fare un esempio, solo tra il 28 e il 30 Luglio 2020 sono stati inviati oltre 40.000 messaggi fake compromessi con Ursnif ad aziende italiane di ogni tipo. La campagna successiva contro utenti italiani, durata solo 1 giorno e mezzo dal 4 al 6 Agosto 2020, ha generato un flusso di oltre 25.000 email.

Insomma, abbiamo ritenuto utile un piccolo approfondimento, nella consapevolezza che questo malware non ha alcuna intenzione di andarsene e prenderà di mira aziende e professionisti ancora per molto tempo.

URSNIF: che cosa fa
Ursnif è a tutti gli effetti un efficace, letale e silenzioso malware finalizzato inizialmente al furto di informazioni finanziarie e bancarie: si è poi evoluto nel tempo, iniziando a prendere di mira molti altri tipi di dati tra i quali le credenziali email e di altri account e i dettagli della macchina utilizzata dalla vittima bersaglio. Una volta acceduto ad un account di posta, Ursnif cerca la rubrica contatti, continuando a diffondere l’email a tutti i nuovi indirizzi.

URSNIF: come si diffonde
La prima individuazione di Ursnif risale al 2018, quando fu messo in distribuzione attraverso campagne di malspam e phishing. Per essere precisi, è un trojan bancario il cui scopo principale è l’esfiltrazione delle credenziali bancarie e finanziarie dalle macchine infette. Nel tempo si è evoluto ed ha raggiunto un livello medio-alto di sofisticazione, accrescendo costantemente anche il numero di domini di comando e controllo registrati: questi sono identificabili a causa della presenza di diversi Domain Generation Algorithms (DGA) in diverse reti, la maggior parte dei quali registrati pochi giorni prima dell’avvio di una nuova campagna. Questi DGA altro non sono che algoritmi impiegati solitamente dai gestori di malware per generare periodicamente un grande numero di domini da usare per le campagne dannose.

Il metodo di attacco non è affatto fantascientifico, ma anzi, è piuttosto banale e fa leva sull’anello più debole della catena della cybersecurity, ovvero l’essere umano. La maggior parte delle email di phishing che recano questo malware infatti superano i filtri antispam, sia perimetrali che delle soluzioni antivirus, così molto spesso finiscono nella casella di posta dei dipendenti: basta un solo dipendente non necessariamente malintenzionato, ma semplicemente distratto o poco consapevole di questa tipologia di rischio, che scarica e apre l’allegato dannoso (solitamente un file Office di formato .xls, .xlm, .doc), abilita la macro ed il gioco è fatto.

Per approfondire > Attacchi basati sulle macro di Office: come funzionano? Breve vademecum
Uno dei file Excel compromessi utilizzati in una campagna Ursnif. Fonte: Yoroi

Il download dell’eseguibile, ospitato in un server C&C, viene avviato dal codice contenuto nella macro: l’eseguibile sarà camuffato da file .CAB. Le tecniche di attacco sono poi andate variando nel tempo: ad esempio, in alcuni casi, il file .CAB viene sostituito da file VBS o JS, così come varia il livello di offuscamento del codice del file. In tutti i casi comunque, la prima operazi0ne che il malware compie è quella di eseguire tutte le azioni necessarie per garantirsi la persistenza sul sistema.

Un dato interessante è che il malware utilizza anche nuovi User Agent che imitano le famose piattaforme Zoom e Webex, in quello che pare essere un chiaro tentativo di integrarsi nel traffico di rete legittimo. Infatti, dopo il download, molteplici dispositivi avviano connessioni usando gli User Agent di Zoom o Webex verso domini che però non sono assolutamente correlati ai domini ufficiali di Zoom e Webex.

Questo rientra, insieme ad altri, in una lista di escamotage che il malware utilizza per evadere gli strumenti di individuazione delle soluzioni antivirus e di sicurezza presenti nei dispositivi e sulla rete: va detto che questi accorgimenti hanno, nel tempo, perso efficacia sia perché ormai sono migliaia gli indicatori di compromissione collegati a questo malware che sono già stati pubblicati, sia perchè almeno i principali vendor hanno provveduto a migliorare la capacità di individuazione delle proprie soluzioni grazie alla conoscenza, ormai piuttosto dettagliata salvo novità, di questo malware.

01[1]

Cosa “gira” in Italia? Malware e campagne di attacco individuate dal CERT la scorsa settimana

giovedì 3 dicembre 2020
Cosa “gira” in Italia? Malware e campagne di attacco individuate dal CERT la scorsa settimana

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d’occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un’infezione alla fonte?

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.

I malware della settimana 27/11
La scorsa settimana il CERT-AgID ha individuato e analizzato 14 campagne dannose attive, di cui 2 veicolate anche in Italia mentre 12 erano apertamente rivolte verso obiettivi italiani. 243 sono stati gli indicatori di compromissione individuati,disponibili sul sito ufficiale del CERT.

Le famiglie malware individuate in diffusione sono state 7, con Ursnif che, senza alcuna novità, occupa di nuovo il primo posto, seguito da QnodeService e sLoad che ritorna sulla scena dopo mesi di assenza

Urnsif è stato rilevato in quattro diverse campagne, a tema Agenzia Entrate e Delivery. Gli allegati correlati sono stati di tipo .zip e .xlsm. Riguardo a Urnsif segnaliamo questo approfondimento;
QnodeService è stato individuato in diffusione in campagne in lingua inglese a tema Delivery contenente lo stesso allegato .jar;
sLoad è stato rilevato in diffusione in una massiva campagna di spam contro account di posta PEC. L’oggetto contiene la ragione sociale della vittima e la dicitura “Fattire scadute”, mentre l’allegato veicolo del malware è un archivio .ZIP.
AgenTesla, Lokibot e Azorult sono stati diffusi con campagne sporadiche e di entità di poco conto, a tema Pagamenti e Delivery: le tipologie di file correlati sono .zip e .xls.

sLoad in breve:
sLoad è in diffusione ormai da anni e ha fatto dell’Italia un bersaglio prediletto: scopo principale è quello di raccogliere quante più informazioni possibile dal sistema infetto, compresi screenshot, inviando tutto quello che viene raccolto ad un server di comando e controllo. Tramite il server 2C gli attaccanti ricevono le informazioni e inviano comandi al malware sulle mosse successive da eseguire. Spesso sLoad viene usato come mero malware downloader: una volta raccolte le informazioni sul sistema, viene usato come tramite per installare un secondo payload malware in base al tipo di sistema e quanto può far guadagnare gli attaccanti.

App fake Immuni: parte 2°
Qualche riga a parte il CERT-AgID la dedica ad una campagna a tema Immuni pensata per veicolare un APK dannoso, ben nascosto dentro una versione fake dell’App di Contact Tracing scelta dal Governo italiano. E’ la seconda volta in due settimane, a ribadire che il Covid è un tema ancora molto molto interessante e profittevole per i cyber criminali.

QnodeService in breve:
QNodeService è un trojan recente, individuato in diffusione a partire dal Maggio di quest’anno. E’ programmato in Node.js, un linguaggio di programmazione usato solitamente per sviluppare per Web Server ed usato in rarissime occasioni per produrre malware. In questo caso, per gli attaccanti, è stata una scelta vincente perchè ha dotato il malware di un’alta probabilità di restare invisibile alle verifiche delle soluzioni antivirus. E’ un trojan modulare, quindi può ricevere più “moduli” e ampliare il numero e la tipologia di funzioni dannose che può eseguire. La funzione basilare è quella di rubare le credenziali salvate nei browser.

Le campagne di phishing della settimana 27/11
Di nuovo settore bancario e finanziario preso di mira, mentre aumentano i tentativi di affiancare lo smishing (il phishing via SMS) al phishing classico via email. Tra gli istituti bancari, i brand più sfruttati sono stati IntesaSanPaolo, BNL e Credem, sfruttati in campagne a tema Banking.

Il brand Aruba è stato utilizzato per veicolare una campagna di phishing finalizzata al furto di credenziali di accesso alle caselle email: l’utente riceve un messaggio contenente un falso avviso di sicurezza che reindirizza su una pagina che chiede i dati dell’utente.

Tra i temi più sfruttati troviamo “Delivery” al primo posto, seguito da Pagamenti e Banking, quindi Agenzia delle Entrare, Salute e Avvisi di sicurezza.

Tipologia di file di attacco
Sono state individuate 4 diverse tipologie di allegato dannoso correlate alle campagne analizzate: il formato più utilizzato è il .ZIP, seguito da quello .XLSM

logHD1

YOTTA WEB - Via Don F. Cabrio 14/D - 13900 Biella (BI)

P.IVA 02552590024 - C.F. SNTSVR77S27A859C - REA BI 194613

Copyright 2017 © YOTTA WEB All Rights Reserved

Privacy Policy