qbot-wordpad

Il malware Qbot usa Wordpad per infettare Windows

Il malware Qbot, che ben conosciamo in Italia, mostra una nuova tecnica di attacco. Sfrutta l’eseguibile di Wordpad per infettare i dispositivi

Qbot (Qakbot) in breve
Di Qbot, conosciuto anche come Qakbot, abbiamo già parlato varie volte. A cadenza irregolare viene infatti diffuso in Italia e se ne trova spesso traccia nei bollettini settimanali con i quali il CERT informa relativamente ai malware e alle campagne di attacco attive nel cyber spazio italiano.

Per saperne di più > Anatomia di Qakbot, il trojan bancario e infostealer che bersaglia l’Italia

Qakbot è in attività da più di dieci anni. Fu individuato per la prima volta nel lontano 2007, già in uso in attacchi reali. Non è scomparso semplicemente perché in tutti questi anni non ha mai smesso di essere aggiornato, mantenuto e migliorato. Piano piano ha scalato le classifiche dei trojan più diffusi e pericolosi, arrivando ad essere considerato una minaccia di rilievo mondiale. La sua attività principale, per il quale è stato sviluppato fin dall’inizio, è il furto di credenziali bancarie ma le evoluzioni che lo hanno caratterizzato in questi anni hanno portato all’addizione di una vasta gamma di nuove funzioni: dalla possibilità di installare ransomware al fine di massimizzare i profitti da ogni attacco, passando per tecniche di keylogging (furto delle battiture sulla tastiera), tecniche di evasione delle soluzioni di sicurezza, funzionalità di backdoor ecc… Ha anche moduli specifici per il furto di account email dai quali rilanciare ulteriormente le proprie campagne di diffusione.

Nel 2019 viene diffusa una nuova versione, che, rispetto alla precedente dimostra un grande lavoro svolto dai suoi sviluppatori per armarlo ulteriormente e renderlo una minaccia ancora più pericolosa.

Qbot e lo spoofing delle DLL
La novità riguardo Qbot viene dai ricercatori di Cryptolaemus, gruppo di ricercatori di sicurezza che da anni monitora l’attività della famigerata botnet Emotet e di altri malware. Il malware Qbot ha iniziato a sfruttare una vulnerabilità di “DLL spoofing” di Wordpad in Windows 10. Sfruttando questa vulnerabilità Qbot può evadere l’individuazione da parte dei software di sicurezza e infettare i dispositivi.

In dettaglio, quando un applicazione su Windows viene avviata, ricerca e carica tutte le librerie DLL di cui necessita. E’ in questi file DLL infatti che sono contenute le informazioni necessarie e il codice utile ad eseguire le funzionalità dell’app stessa. Le applicazioni Windows sono impostate per caricare prioritariamente le DLL disponibili nella stessa cartella dell’eseguibile dell’app. E’ qui che entra in campo la tecnica del DLL spoofing, che prevede di manipolare o sostituire le DLL originali per portare l’app ad eseguire attività dannosa

.

Tutto inizia con una email di phishing
Il ricercatore di sicurezza ProxyLife, di Criptolaemus, ha spiegato di aver individuato questa nuova campagna di Qbot studiando alcune campagne di phishing. Non ha fornito la mail analizzata, ma ha spiegato che questa conteneva il link per il download di un file. Questo file è un archivio ZIP ospitato su un host remoto e contiene due file: document.exe (l’eseguibile di Wordpad in Windows 10) e una DLL rinominato edputil.dll. Quest’ultima è la libreria usata per il DLL spoofing.

I file contenuti nell'archivio ZIP che avvia l'infezione con Qbot
Fonte: Bleeping Computer
Verificando document.exe emerge come questo non sia altro che il file eseguibile originale di Wordpad rinominato.

L'eseguibile originale di Wordpad appositamente rinominato dagli attaccanti
Fonte: Bleeping Computer
Quando document.exe è eseguito, tenta automaticamente di caricare la DLL legittima chiamata edputil.dll, solitamente raggiungibile nella cartella C:\Windows\System32. Tuttavia, nel ricercare edputil.dll, l’eseguibile non cerca in una cartella specifica. Caricherà invece qualsiasi DLL con lo stesso nome presente nella stessa cartella dove è presente document.exe. Questo consente agli attaccanti di eseguire lo spoofing della DLL semplicemente crerando una versione dannosa di edputil.dll e salvandola nella stessa cartella di document.exe.

Una volta che la DLL dannosa è caricata, il malware utilizza C:\Windows\system32\curl.exe per caricare dall’host remoto una DLL “travestita” da file PNG. Poi, usando rundll32.exe, eseguono il comando

“rundll32 c:\users\public\default.png,print”
Qbot che cosa fa?
Il danno è fatto. Qbot inizia, da questo momento, a funzionare in background sul dispositivo bersaglio. Per prima cosa ruberà le email per distribuirsi in ulteriori attacchi di phishing. Potrà anche tentare di scaricare sul dispositivo infetto ulteriori payload, ad esempio Cobalt Strike (un tool post-exploit che gli attaccanti utilizzano ormai comunemente per ottenere l’accesso iniziale sul target).

A questo punto, il dispositivo infetto viene utilizzato come primo accesso alla rete e gli attaccanti cercheranno di eseguire movimenti laterali. La diffusione lungo la rete può aprire le porte a data breach, furto dati e attacchi ransomware.

Questa tecnica di Qbot ha dei limiti
Questa metodologia di attacco, salvo successive modifiche e aggiornamenti, presenta alcuni limiti. Certo, il grande vantaggio di sfruttare un applicazione legittima e affidabile come Wordpad consente di evitare l’individuazione da parte delle soluzioni antivirus meno avanzate. Ciò non toglie che l’uso di curl.exe rende questo malware limitato a windows 10. I sistemi legacy di Microsoft infatti non contengono curl.exe.

Guide utili per rimanere al sicuro da attacchi malware e phishing
Attacchi basati sulle macro di Office: come funzionano? Breve vademecum
Gli allegati email più usati per infettare Windows
L’alert del CERT: in crescita il fenomeno delle campagne di phishing che cambiano i contenuti in base all’indirizzo email della vittima
SOC – Security Operation Center: che cosa, perché, come
Log Management: cosa è e perché è importante

monti_ransomware

Il ransomware Monti colpisce di nuovo in Italia: vediamolo da vicino

Il ransomware Monti torna a colpire in Italia dopo l’attacco all’ASL 1 Abruzzo. Ma cosa sappiamo di questo ransomware?

Ransomware Monti di nuovo all’attacco in Italia
Il post di rivendicazione è degli ultimi giorni di Maggio, il 27 per l’esattezza. Il gruppo ransomware Monti ha rivendicato di aver attaccato l’azienda italiana Servizi Omnia.

I post di rivendicazione sul leak site di Monti
I post di rivendicazione sul leak site di Monti
Gli attaccanti si permettono anche uno sfottò: nel post il gruppo scrive che

“Gli italiani hanno subito nuovamente un data breach dei dati dei propri clienti”.

Il riferimento è all’attacco che ha messo in ginocchio l’ASL 1 Abruzzo, del quale abbiamo già parlato qui e qui.

A riprova dell’avvenuto attacco, gli attaccanti hanno pubblicato un file di testo con l’albero dei contenuti esfiltrati. Si vede la presenza di diverse directory con i nomi dei clienti dell’azienda, i contratti, l’accettazione ecc….

diverse directory con i nomi dei clienti dell'azienda, i contratti, l'accettazione ecc....

Ransomware Monti: quei legami con Conti
Monti è una delle principali operazioni Ransomware as a Service attualmente attiva. Ha natali piuttosto recenti, infatti le prime individuazioni risalgono alla metà del 2022.

La particolarità di Monti è che il suo codice si basa, il larga parte, sul codice di un altro malware, il famigerato ransomware Conti. Conti è stata una nota operazione ransomware i cui gestori sono “implosi” per divergenze politiche sul conflitto russo-ucraino tanto che, pochi giorni prima della chiusura delle operazioni, qualche insider ha fatto trapelare online il codice. Poche settimane dopo iniziava la circolazione di Monti, basato proprio su quel codice. La riprova è venuta dalle analisi condotte sugli indicatori di compromissione: a parte poche novità, quasi tutti gli IoC individuati afferivano a precedenti attacchi di Conti.

Per saperne di più > Il Ransomware Conti si schiera a difesa del governo russo e un ricercatore ucraino pubblica il suo codice sorgente. Il top ransomware sta per scomparire?
Per saperne di più > Buone notizie: il ransomware Conti chiude i battenti

Ransomware Monti: il debutto sui BlackBerry sfruttando Log4Shell
Il gruppo Monti si è fatto notare, la prima volta, con un giro di attacchi mirati contro utenti BlackBerry. In quel caso Monti è riuscita criptare 20 host di utenti BlackBerry e circa 20 server. Per farlo, Monti ha sfruttato la vulnerabilità di Apache Log4j per acccedere al server VMware Horizon Connection Broker delle vittime.

Per approfondire > Alert di Microsoft: ancora in corso l’ondata di attacchi che sfruttano le vulnerabilità di Apache Log4j

Da quel momento il ransomware è entrato ufficialmente nella lista delle operazioni RaaS più famose. Portando una novità rispetto a Conti, ovvero l’uso di una piattaforma cloud RMM (Remote Monitoring and Maintenance) chiamata Action1. Action1 è uno dei tanti tool commerciali legittimi che sono spesso utilizzati a fini illegali dal cybercrime. Non si ha però traccia, fino adesso, dell’uso di Action1 in campagne ransomware. Monti invece lo utilizza e per farlo riferisce ad uno dei materiali interni dell’operazione Conti. In dettaglio, il documento interno “CobaltStrike MANUALS_V2 Active Directory” dettagliava per gli affiliati Conti le modalità di installazione di Anydesk

La guida per l'installazione di AnyDesk dai documenti interni di Conti Ransomware
La guida per l’installazione di AnyDesk dai documenti interni di Conti Ransomware. Fonte: BlackBerry
Nel caso di Monti l’unica differenza è l’impiego degli eseguibili dell’agent di Action 1, ovvero action1_agent.exe” e “action1_remote.exe.”.

Tra gli altri tool usati da Monti, secondo l’elenco fornito da BlackBerry, troviamo

WinRAR: utilizzato per comprimere i file raccolti prima di esfiltrarli dal sistema colpito;
WinSCP e PuTTy: usati per esfiltrare i dati dalla rete;
Mimikatz: utile per ottenere le credenziali di accesso (dump delle credenziali, pass-the-hash attack ecc…)
AnyDesk e Action1 RMM per l’accesso remoto alla rete bersaglio;
Avast Anti rootkit driver usato, paradossalmente, per rimuovere i prodotti di sicurezza endpoint / antivirus / soluzioni EDR ecc…
Proteggersi dai ransomware: step basilari
Premettendo che la sicurezza informatica al 100% non esiste e che gli strumenti, le soluzioni e la postura difensiva variano da azienda ad azienda, da rete a rete, i punti sottostanti sono il minimo indispensabile per raggiungere un livello accettabile di sicurezza informatica.

Predisponi un piano di backup:
è fondamentale dotarsi di soluzioni di backup e di organizzarsi per eseguire backup di tutti i dati a cadenza regolare. I backup stessi andranno testati regolarmente, per verificare che i dati siano integri. Disporre di backup integri e il più recenti possibile consente di minimizzare la perdita dei dati e accelerare i processi di rispristino. E’ fondamentale isolare dalla rete i backup critici per evitare che, in caso di attacco ransomware, finiscano criptati anche i backup. A tale scopo, ti consigliamo di valutare la nostra soluzione Strongbox Cloud PRO, appositamente pensata per le PMI.
Mantieni sempre aggiornato il sistema operativo, i software e gli applicativi in uso:
le vulnerabilità sono le porte di accesso che consentono agli attaccanti di accedere alle reti. Verifica che questi software siano sempre aggiornati all’ultima versione disponibile ed installa le patch consigliate dal vendor. La suite di soluzioni di sicurezza aziendali Seqrite ha funzionalità specifiche a tale scopo: dalla gestione centralizzata delle patch alla scansione delle vulnerabilità.
Scegli una solida soluzione antivirus e mantienila sempre aggiornata:
sempre più soluzioni antivirus si sono dotate di strumenti specifici per il contrasto agli attacchi ransomware. Scopri di più sulla funzionalità antiransomware di Quick Heal / Seqrite, tecnologia brevettata negli Stati Uniti.
Adotta l’approccio zero trust:
applica il principio del “privilegio minimo” per tutti gli utenti: imposta cioè, utente per utente, solo le permissioni che gli sono effettivamente necessarie per svolgere le proprie mansioni. Fai si che ogni utente possa accedere soltanto alle informazioni che gli sono indispensabili.
Per approfondire > Approccio di cybersecurity Zero Trust: perchè, come e quanto è importante per le aziende con forza lavoro remota
Evita di scaricare file o cliccare su link contenuti nelle email:
spesso l’accesso alle reti da parte degli attaccanti non avviene tramite sofisticate tecniche di attacco, ma anzi l’attaccante fa breccia nel punto più debole della catena della cyber sicurezza: l’utente. E’ fondamentale non fare click su link né scaricare allegati contenuti in email inaspettate, sospette, improvvise. Infine non abilitare mai le macro contenute nei documenti circolanti via email, a meno che non ci sia l’assoluta certezza della legittimità della comunicazione.
Per Approfondire > Attacchi basati sulle macro di Office: come funzionano? Breve vademecum
Forma i dipendenti, i collaboratori e chiunque acceda alla rete:
come detto, l’anello debole della catena di cyber sicurezza e sicurezza dei dati è l’utente. Forma dipendenti e collaboratori, rendili partecipi dei protocolli di sicurezza e consapevoli e sensibili rispetto ai rischi, almeno quelli più diffusi. Stabilisci un protocollo di reazione in caso di incidente informatico, così che tutti sappiano cosa fare in caso dovesse verificarsi un attacco ransomware.
Non esporre mai direttamente in internet le connessioni Remote Desktop Protocol. Se proprio hai necessità di usare l’RDP, fallo sempre tramite una VPN.
Implementa un modello di sicurezza stratificato (multi livello)
nella scelta di un approccio stratificato alla sicurezza, consigliamo di valutare attentamente:
> sicurezza delle reti e dei server;
> gestione degli endpoint;
> gestione dei dispositivi mobile.
Per approfondire > Implementa un modello di sicurezza stratificato con Seqrite!
Implementa sistemi di protezione preventiva:
come l’Intrusion Prevention Sistem (IPS) e il Web Application Firewall. Saranno utili protezioni perimetrali, se posti a difesa dei servizi esposti su Internet.
Adotta un SOC – Security Operation Center:
un SOC è un vero e proprio centro operativo dedicato alla sicurezza informatica il cui scopo, nel complesso, è monitorare costantemente la rete aziendale in cerca di attività anomale o sospette.
Per approfondire > SOC – Security Operation Center: che cosa, perché, come

telemarketing_selvaggio

Telemarketing selvaggio: il Garante Privacy confisca banche dati irregolari

Telemarketing selvaggio: il Garante Privacy e la Guardia di Finanza confiscano banche dati irregolari usate da società che operavano attività di telemarketing illegale

Il procedimento nasce da segnalazione della Guardia di finanza
Il Garante privacy ha confiscato banche dati irregolari nella disponibilità di 4 aziende che le utilizzavano per attività di telemarketing selvaggio. L’attivazione del Garante consegue ad una segnalazione del Nucleo Speciale Tutela Privacy e Frodi Tecnologiche di Roma in collaborazione con la Guardia di Finanza di Verona. L’operazione, avvenuta fisicamente nelle sedi delle 4 aziende, ha avuto anche lo scopo di notificare una serie di provvedimenti del Garante, oltre la mera confisca delle banche dati.

Il contesto
Nel Febbraio del 2021 la Guardia di Finanza rilevava, nel corso di ordinarie attività di verifica in periodo pandemico, la presenza di due persone che, nel comune di Soave (veronese), si aggiravano nel territorio nonostante le restrizioni sanitarie del periodo. I due dichiaravano di star svolgendo la propria mansione lavorativa, ovvero quella di procacciatori di affari per conto di due aziende, la Mas s.r.l e Mas s.r.l.s.

La Guardia di Finanza svolgeva quindi attività ispettive nelle sedi aziendali e comprovava che le due aziende svolgevano attività promozionali per conto di compagnie del settore dei servizi energetici in condivisione di uffici e dipendenti. Attività che sono risultate in aperto contrasto con le previsioni normative in fatto di trattamento dati personali.

In dettaglio emergeva:

l’uso di banche dati contenenti dati personali di utenti che non avevano mai prestato consenso al trattamento dei dati per attività di telemarketing;
attività fraudolente finalzziate a ingannare gli utenti, convincerli a passare ad altro operatore energertico con false offerte, per poi proporre il rientro al vecchio operatore così da garantirsi continue provvigioni.
L’attività di telemarketing era svolta sia per telefono sia in incontri fisici con i clienti.

Le modalità di svolgimento delle attività di telemarketing
La Guardia di Finanza ricostruiva anche, grazie alle testimonianze di alcuni dipendente, una serie di modalità assolutamente illegali e illegittime nello svolgimento delle attività promozionali. In dettaglio le due aziende impiegavano banche dati contenenti dati personali di interessati che mai avevano prestato consenso al trattamento dei dati. Ad ogni dipendente era richiesto di contattare almeno 50 utenti di queste liste e fissare 8 appuntamenti nelle giornate successive. Lo scopo era proporre un cambio di gestione dell’operatore energetico per poi riporre, poco tempo dopo la prima bolletta ricevuta, un ritorno al vecchio operatore. Lo scambio avveniva tra clienti Hera Comm e Enel Energia e viceversa, così la Mas s.r.l e Mas s.r.l.s si garantivano continue provvigioni.

I contratti sottoscritti da Mas s.r.l per Enel Energia finivano, per l’attivazione dei servizi, nelle disponibilità di Sesta Impresa s.r.l, una società fiorentina anch’essa poi soggetta ad accertamenti ispettivi. Emergeva quindi che Sesta operava come sub-mandataria per diverse compagnie energetiche

“in forza di contratti (di prestazione d’opera o di procacciamento di affari) stipulati con diverse agenzie, a loro volta legate contrattualmente con le compagnie energetiche. I contratti di cui sopra, acquisiti nel corso delle operazioni, non recavano alcun riferimento alla designazione di Sesta Impresa quale responsabile dei trattamenti svolti per conto delle compagnie energetiche, né tantomeno per conto delle due agenzie da cui origina l’intera istruttoria”.

Il titolare di Sesta dichiarava di

“non conoscere le modalità delle attività promozionali e di non essersi mai occupato di problematiche connesse alla protezione dei dati in quanto la Società non forniva liste di soggetti da contattare né si occupava dell’inoltro delle proposte contrattuali, le quali venivano direttamente inviate ad un diverso soggetto”.

Sesta Impresa infatti trasferiva i dati ad una ulteriore società cooperativa fiorentina che si occupava poi delle operazioni successive alla firma dei contratti da parte dei clienti.

Insomma tutto il sistema si basava su un sistema di contratti che però non prevedevano alcun formale incarico e che anzi si basavano su una distribuzione di responsabilità in tema privacy del tutto fittizio e solo formale. Inoltre le misure di protezione dei dati sono risultate del tutto insufficienti.

Il Garante sanziona le aziende e ribadisce il problema del telemarketing selvaggio
A conclusione di tutte le verifiche e dell’istruttoria, il Garante ricostruiva quindi l’assoluta illegittimità delle banche dati in uso (costruite illegittimamente con dati “pescati” da Facebook) e delle modalità di trattamento dei dati.

Attività che, in sintesi – si legge nel comunicato stampa del Garante – costituiscono una delle varie forme del c.d. “sottobosco”, più volte indicato dal Garante quale causa dell’odierna espansione del telemarketing illegale: un fenomeno che si alimenta con affidamenti ed attività al di fuori delle norme, ma anche per un insufficiente controllo da parte delle grandi aziende committenti.

Per approfondire > Telemarketing selvaggio: finalmente operative le nuove regole
Per saperne di più > Telemarketing: novità normative per il Registro delle Opposizioni

Oltre al divieto di ulteriore trattamento dati e al sequestro delle banche dati, le aziende coinvolte dovranno pagare sanzioni che vanno dai 200.000 agli 800.000 euro.

Qui è consultabile il provvedimento completo del Garante

logHD1

YOTTA WEB - Via Don F. Cabrio 14/D - 13900 Biella (BI)

P.IVA 02552590024 - C.F. SNTSVR77S27A859C - REA BI 194613

Copyright 2017 © YOTTA WEB All Rights Reserved

Privacy Policy