Antidot-jpg

Antidot, il malware camuffato da finto aggiornamento di Google Play

È stato scoperto un nuovo malware chiamato Antidot che si finge un aggiornamento di Google Play. Vediamo nell’articolo cos’è, cosa fa e come evitare di cadere nella trappola.

 

Antidot, il nuovo malware che prende di mira i dispositivi Android

Gli utenti più attenti sanno bene quanto sia importante mantenere aggiornati i propri dispositivi e applicazioni. Su questa consapevolezza fa leva il trojan Antidot, un nuovo malware apparso per la prima volta il 6 maggio scorso. Antidot si presenta come un aggiornamento legittimo del Google Play Store. Tuttavia, è importante sapere che il Google Play Store si aggiorna automaticamente tramite la propria applicazione, quindi l’utente non deve compiere alcuna azione. Chi non lo sa potrebbe facilmente cadere in questa trappola.

 

Come avviene la truffa?

Il malware Antidot, come detto precedentemente, si maschera da applicazione di aggiornamento di Google Play. Viene visualizzata una pagina di aggiornamento di Google Play contraffatta al momento dell’installazione. Com’è possibile osservare dall’immagine sottostante, la falsa pagina di aggiornamento è stata realizzata in varie lingue, tra cui anche l’italiano. Ciò indica che il malware sta prendendo di mira anche gli utenti Android italiani.

 

Pagina di falso aggiornamento in italiano
Fonte: Cyble.com

Una volta installato, il malware apre un’altra pagina di aggiornamento che induce le vittime a concedere l’accesso alle impostazioni di accessibilità. Se questo accesso viene concesso, Antidot riesce a ottenere il controllo completo del dispositivo stabilendo una comunicazione con i server remoti controllati dai cybercriminali. Inoltre, utilizza attacchi di overlay per raccogliere i dati sensibili delle vittime. Gli attacchi di overlay sono tecniche usate per sottrarre le informazioni di accesso sfruttando i servizi di accessibilità di Android (AAS), progettati per aiutare gli utenti con disabilità uditive o visive.

Antidot è così chiamato per la presenza della stringa “Antidot” all’interno del suo codice sorgente.

 

Stringhe Antidot nel codice sorgente
Fonte: Cyble.com

Questo malware impiega un codice di crittografia personalizzato per l’offuscamento delle stringhe, rendendo in questo modo l’individuazione più difficile, così come l’eliminazione. Inoltre è persistente, ovvero se è in esecuzione e i suoi file vengono eliminati e messi in quarantena dal software di sicurezza, il malware tenterà di riscrivere i file nell’unità.

 

Quali sono le funzionalità del malware Antidot?

Il malware include varie funzionalità, tra queste:

  • keylogging (registrazione dei tasti premuti dall’utente sulla tastiera);
  • registrazione dello schermo;
  • inoltro di chiamate;
  • raccolta di contatti e SMS;
  • blocco e sblocco del dispositivo;
  • gestione delle richieste USSD.

I codici USSD (Unstructured Supplementary Service Data) rappresentano sequenze di numeri che permettono di accedere ai servizi messi a disposizione dagli operatori mobili. Si parla, ad esempio, dei codici per l’attivazione di funzioni extra, come informazioni sul credito residuo, segreteria telefonica, deviazione chiamate eccetera.

 

Dispositivi Android: spesso presi di mira dagli attaccanti 

I dispositivi Android sono spesso presi di mira dagli aggressori. Come mai? Prima di tutto Android è un sistema operativo open-source. Ciò significa che chiunque può studiare il codice e trovare le vulnerabilità. Inoltre, il sistema operativo è frammentato. I produttori spesso personalizzano Android per adattarlo a specifici requisiti hardware, questo però introduce nuove vulnerabilità e rallenta la distribuzione degli aggiornamenti di sicurezza. Inoltre, ci sono più dispositivi Android in circolazione rispetto a iOS e quindi maggiori potenziali obiettivi per gli attaccanti.

Va poi detto che, anche se al momento sono migliorati i controlli di sicurezza sul Google Play Store, in passato sono state molte le applicazioni dannose che li hanno superati.

Per approfondire > Scoperte 28 VPN contenenti malware sul Google Store

Nonostante iOS disponga di un ecosistema più controllato, non significa che sia impenetrabile. Può, a sua volta, contenere bug, subire exploit, e i suoi utilizzatori, come quelli di altri sistemi operativi, possono cadere vittima di attacchi di social engineering. Nessun sistema è immune agli attacchi: la vera differenza sta nella consapevolezza con cui utilizziamo gli strumenti a nostra disposizione.

Per approfondire > LassPass, l’app fake di LastPass, scoperta e rimossa dall’App Store di Apple

 

Come evitare di cadere nella trappola?

Per evitare di abboccare all’amo, è consigliabile avere alcune accortezze, tra cui:

  • mantenere aggiornati i dispositivi, i sistemi operativi e le applicazioni. Prima di effettuare un aggiornamento, però, è importante verificare la fonte dell’app o dell’aggiornamento che si sta per eseguire. Ovviamente, l’aggiornamento che usa Antidot è falso, perché non è stato rilasciato da Google;
  • installare software solo da app store ufficiali (Play Store o iOS App Store);
  • usare password forti e, dove possibile, usare l’autenticazione a più fattori;
  • prestare attenzione all’apertura di link ricevuti via SMS o e-mail inviate al proprio dispositivo mobile;
  • attivare Google Play Protect, la funzione di sicurezza integrata che protegge da minacce quali malware e virus in generale;
  • fare attenzione alle autorizzazioni che si concedono a un’applicazione;
  • implementare un software antivirus (sia sul dispositivo mobile che su tutti i dispositivi ai quali ci si connette) che faccia da barriera contro virus e malware, app dannose e truffe finanziarie, come Quick Heal Total Security.
Ransomware-monti-jpg

Il Ransomware Monti è stato acquistato: quali saranno le conseguenze?

Secondo l’ultimo post comparso nel data leak site del gruppo ransomware, Monti è stato acquistato. Scopriamo maggiori dettagli all’interno dell’articolo

 

Il ransomware Monti: storia e caratteristiche

Del ransomware Monti abbiamo già parlato: è noto per le sue versioni sia sui sistemi Windows che Linux ed ha attirato l’attenzione a partire da giugno 2022.

Usa come modello di business il Ransomware-as-a-Service (Raas), approccio che permette ai creatori di affittare il loro software ai criminali informatici affiliati ed eseguire gli attacchi in cambio di una percentuale. Basandosi sulle tecniche comportamentali (la lingua utilizzata nelle comunicazioni interne e la scelta delle vittime, che spesso escludono proprio i paesi dell’ex Unione Sovietica) si deduce che il ransomware operi dalla Russia, anche se non si hanno conferme in merito.
Per approfondire > Il Ransomware Monti pubblica i dati dell’ASL 1 Abruzzo

 

Monti e Conti: due ransomware con varie somiglianze

Monti è noto per le sue somiglianze con il ransomware Conti, sia per quanto riguarda il nome che le tattiche utilizzate. Il gruppo Monti ha integrato molti strumenti di Conti e ha sfruttato il codice sorgente trapelato di quest’ultimo. Fin dalla sua scoperta, Monti ha attaccato diverse aziende, esponendo i dati rubati sul proprio Data Leak Site (DLS). Conti ha cessato le operazioni nel maggio 2022, e l’emulazione delle sue tecniche e procedure da parte di Monti sembra rappresentare un tentativo di colmare il vuoto lasciato da Conti.

Per saperne di più > Il ransomware Monti colpisce di nuovo in Italia: vediamolo da vicino

 

Il Ransomware Monti cambia di proprietà

Il cambio di proprietà e il fatto di concentrarsi sui paesi occidentali testimoniano un nuovo approccio da parte del ransomware. Secondo le ultime dichiarazioni rilasciate in merito, i nuovi proprietari che hanno acquistato Monti si pongono l’obiettivo di rinnovare la sua infrastruttura per permettere ulteriori sviluppi del ransomware.

 

Post pubblicato sul Data Leak Site

Nel post che è stato pubblicato sul DLS, il gruppo scrive:

“Ciao Mondo. Questo progetto è stato acquistato. È stato acquistato perché era perfettamente in linea con i nostri obiettivi e non aveva una cattiva reputazione. Vogliamo costruire qualcosa di interessante, l’intera infrastruttura è in fase in completamento. Arriverà presto qualcosa di interessante per voi.”

La conclusione del post è alquanto strana, visto che, a seguito dell’annuncio di sviluppi imminenti, sollecita ad intraprendere uno sforzo comune, affermando:

“Costruiamo insieme il futuro degli USA e dell’Europa”.

Post pubblicato sul DSL del ransomware Monti
Fonte: RedHotCyber

La preoccupazione è che il contenuto del post possa portare a gravi conseguenze geopolitiche, visto che probabilmente si tratta di un gruppo russo.

In seguito dell’annuncio, il gruppo Monti ha sferrato diversi attacchi informatici rivolti al sud della Francia. Nello specifico questi sono avvenuti nella notte del 12 maggio 2024 e hanno riguardato tre organizzazioni importanti: l’aeroporto Pau-Pyrénées, la scuola di commercio di Pau e il campus digitale della città. Gli attacchi hanno interrotto le operazioni e hanno anche sollevato diverse preoccupazioni in merito alle vulnerabilità della sicurezza informatica.

 

Attacchi del ransomware Monti avvenuti in Francia nella notte tra il 12 e il 13 maggio 2024
Fonte: RedHotCyber

 

Proteggersi dai ransomware: step basilari

Premettendo che la sicurezza informatica al 100% non esiste e che gli strumenti, le soluzioni e la postura difensiva variano da azienda ad azienda, da rete a rete, i punti sottostanti sono il minimo indispensabile per raggiungere un livello accettabile di sicurezza informatica.

  • Predisponi un piano di backup:
    è fondamentale dotarsi di soluzioni di backup e di organizzarsi per eseguire backup di tutti i dati a cadenza regolare. I backup stessi andranno testati regolarmente, per verificare che i dati siano integri. Disporre di backup integri e il più recenti possibile consente di minimizzare la perdita dei dati e accelerare i processi di rispristino. È fondamentale isolare dalla rete i backup critici per evitare che, in caso di attacco ransomware, finiscano criptati anche i backup. A tale scopo, ti consigliamo di valutare la nostra soluzione Strongbox Cloud PRO, appositamente pensata per le PMI.
  • Mantieni sempre aggiornato il sistema operativo, i software e gli applicativi in uso:
    le vulnerabilità sono le porte di accesso che consentono agli attaccanti di accedere alle reti. Verifica che questi software siano sempre aggiornati all’ultima versione disponibile ed installa le patch consigliate dal vendor. La suite di soluzioni di sicurezza aziendali Seqrite ha funzionalità specifiche a tale scopo: dalla gestione centralizzata delle patch alla scansione delle vulnerabilità.
  • Scegli una solida soluzione antivirus e mantienila sempre aggiornata:
    sempre più soluzioni antivirus si sono dotate di strumenti specifici per il contrasto agli attacchi ransomware. Scopri di più sulla funzionalità antiransomware di Quick Heal / Seqrite, tecnologia brevettata negli Stati Uniti.
  • Adotta l’approccio zero trust:
    applica il principio del “privilegio minimo” per tutti gli utenti: imposta cioè, utente per utente, solo i permessi che gli sono effettivamente necessari per svolgere le proprie mansioni. Fai sì che ogni utente possa accedere soltanto alle informazioni che gli sono indispensabili.
    Per approfondire > Approccio di cybersecurity Zero Trust: perchè, come e quanto è importante per le aziende con forza lavoro remota
  • Evita di scaricare file o cliccare su link contenuti nelle email:
    spesso l’accesso alle reti da parte degli attaccanti non avviene tramite sofisticate tecniche di attacco, ma anzi l’attaccante fa breccia nel punto più debole della catena della cyber sicurezza: l’utente. È fondamentale non cliccare su link né scaricare allegati contenuti in email inaspettate, sospette, improvvise. Infine, non abilitare mai le macro contenute nei documenti circolanti via email, a meno che non ci sia l’assoluta certezza della legittimità della comunicazione.
    Per approfondire > Attacchi basati sulle macro di Office: come funzionano? Breve vademecum
  • Forma i dipendenti, i collaboratori e chiunque acceda alla rete:
    come detto, l’anello debole della catena di cyber sicurezza e sicurezza dei dati è l’utente. Forma dipendenti e collaboratori, rendili partecipi dei protocolli di sicurezza e consapevoli e sensibili rispetto ai rischi, almeno quelli più diffusi. Stabilisci un protocollo di reazione in caso di incidente informatico, così che tutti sappiano cosa fare in caso dovesse verificarsi un attacco ransomware.
    Per approfondire > Data Breach Investigations Report 2024: come minimizzare il rischio dovuto al fattore umano
  • Non esporre mai direttamente in internet le connessioni Remote Desktop Protocol. Se proprio hai necessità di usare l’RDP, fallo sempre tramite una VPN.
  • Implementa un modello di sicurezza stratificato (multi livello):
    nella scelta di un approccio stratificato alla sicurezza, consigliamo di valutare attentamente:
    > sicurezza delle reti e dei server;
    > gestione degli endpoint;
    > gestione dei dispositivi mobile.
    Per approfondire > Implementa un modello di sicurezza stratificato con Seqrite!
  • Implementa sistemi di protezione preventiva:
    come l’Intrusion Prevention Sistem (IPS) e il Web Application Firewall. Saranno utili protezioni perimetrali, se posti a difesa dei servizi esposti su Internet.
  • Adotta un SOC – Security Operation Center:
    un SOC è un vero e proprio centro operativo dedicato alla sicurezza informatica il cui scopo, nel complesso, è monitorare costantemente la rete aziendale in cerca di attività anomale o sospette.
microsoft-scuola

Scandalo Microsoft: violazione della privacy nelle scuole europee

Il colosso tecnologico Microsoft è stato accusato di violazione della privacy dei bambini durante l’apprendimento online con Office 365 Education. Un’indagine ha rivelato pratiche discutibili e una mancanza di trasparenza nella gestione dei dati degli studenti.

 

Microsoft accusata dall’ONG Noyb

In seguito alla pandemia da Covid 19, il nostro modo di lavorare e di studiare è cambiato totalmente: non potendo uscire di casa, la tecnologia ci è venuta in soccorso, inaugurando lo smart working e l’apprendimento online. Le scuole dei Paesi membri dell’UE hanno adottato i propri servizi digitali per insegnare online e questo ha portato i colossi tecnologici a competere nel settore educativo. Tra questi, Microsoft, con i suoi servizi 365 Education, è stata denunciata al Garante della privacy austriaco dall’organizzazione no-profit Noyb (None of Your Business). L’organizzazione, specializzata nell’applicazione delle leggi europee sulla protezione dei dati, ha accusato Microsoft di presunta violazione del Regolamento generale sulla protezione dei dati (GDPR) riguardo alla privacy dei bambini.

 

Le accuse rivolte a Microsoft

Quali sono state le responsabilità di Microsoft? Microsoft, secondo la ong Noyb, avrebbe trasferito la responsabilità della conformità al GDPR alle scuole. Queste però, non avrebbero modo di gestire e controllare i dati degli utenti. È Microsoft a detenere tutte le informazioni chiave sul trattamento dei dati e questo approccio, secondo Maartje de Graaf, avvocato di Noyb, sta spostando tutte le sue responsabilità alle scuole. Le scuole, di conseguenza, si sono ritrovate in una posizione scomoda, in cui dovevano rispettare i requisiti del Regolamento per la protezione dei dati (GDPR) senza avere i mezzi per farlo.

Il lavoro di Noyb mette in luce come i termini e le condizioni di Microsoft per i suoi servizi 365 Education rendano quasi impossibile per le scuole rispettare i requisiti del GDPR. Ad esempio, le richieste di accesso indirizzate a Microsoft spesso rimangono senza risposta, impedendo alle scuole di chiarire i loro dubbi e lasciandole in una condizione di incertezza. Uno dei problemi più importanti riguarda la documentazione sulla privacy di Microsoft: le politiche sulla privacy, i termini e i contratti associati a Microsoft 365 Education sono confusi e non forniscono informazioni chiare e dettagliate.

 

Cookie non a norma

Inoltre, Noyb ha evidenziato che, nonostante gli utenti non abbiano acconsentito al tracciamento, Microsoft 365 Education avrebbe installato cookie che raccolgono dati sul comportamento degli utenti e informazioni sul browser, utilizzandoli per scopi pubblicitari. Ricordiamo che, per il Garante, i cookie e, in generale, qualsiasi strumento di tracciamento per finalità diverse da quelle meramente tecniche, possono essere usati solo e soltanto dopo aver acquisito regolare consenso (quindi esplicito e informato) da parte dell’utente.

Felix Mikolasch, avvocato per la protezione dei dati presso la noyb ha affermato: “La nostra analisi risulta essere molto preoccupante. Microsoft 365 Education sembra tracciare gli utenti indipendentemente dalla loro età. È probabile che questa pratica riguardi centinaia di migliaia di alunni e studenti nell’UE. Le autorità dovrebbero intervenire e far rispettare efficacemente i diritti dei minori“.

Al momento, Noyb sta esortando l’autorità austriaca per la protezione dei dati a indagare e chiarire la situazione.

Per approfondire > Garante Privacy: in una pagina a tema le nuove linee guida sui cookie

s-mart-articolo-jpg

CERT-AGID: crescono in Italia le campagne che diffondono il malware Adwind/jRAT

Da poco più di una settimana si stanno diffondendo in Italia varie campagne che veicolano il malware Adwind/jRAT, tramite email con file ZIP. Scopriamo i dettagli nell’articolo

 

Malware Adwind/jRAT: i dettagli delle campagne in corso

L’Italia sta osservando da poco più di una settimana una serie di campagne mirate alla diffusione dei malware Adwing/jRAT.

Le email che veicolano il malware generalmente includono un archivio ZIP contenente file HTML chiamati FATTURA.html o DOCUMENTO.html. A volte viene utilizzata la doppia estensione file (ad esempio: .pdf.html.).

Campagna Adwing/jRAT del 12/06/2024
Fonte: CERT-AGID

 

Il file HTML contiene un codice JavaScript che verifica la lingua impostata sul browser in cui è stato aperto.

Codice JavaScript che verifica la lingua impostata sul browser in cui è stato aperto
Fonte: CERT-AGID

Se la lingua è l’italiano, allora viene mostrato il contenuto della pagina malevola, altrimenti viene visualizzata una pagina vuota. Nel caso in cui la lingua fosse impostata su italiano, come compare nella foto sottostante, viene visualizzato un messaggio che avverte che si sta utilizzando una versione obsoleta di Adobe. Se l’utente clicca su “OK” viene rilasciato il file FATTURA.jar.

 

Contenuto mostrato nel caso in cui la lingua del browser fosse italiana
Fonte: CERT-AGID

 

Analisi file FATTURA.JAR

Il file FATTURA.JAR contiene diverse stringhe cifrate con vari algoritmi. È presente l’uso di Blowfish e DES. Per procedere con la decifratura delle stringhe le condizioni sono due: la lingua deve essere impostata su italiano e il file non deve essere eseguito in un ambiente virtuale.

Stringhe cifrate in FATTURA.jar
Fonte: CERT-AGID

Se si bypassano le verifiche preliminari è possibile ottenere le stringhe in chiaro.

Stringhe decifrate
Fonte: CERT-AGID

Com’è possibile vedere dall’immagine, viene scaricato un file dal nome Imagem.jpg e successivamente viene eseguito grazie al comando java-jar. Ciò significa che il file camuffato da jpg è un nuovo file JAR (un file archivio contenente Java).

 

Analisi File Imagem.jar

Secondo VirusTotal, il file al momento non risulta malevolo. Di seguito l’analisi del codice:

Codice file Imagem.jar
Fonte: CERT-AGID

Il file, prima di decifrare le stringhe, esegue vari controlli, come nel caso del file FATTURA,JAR. Nello specifico, viene scaricato un altro file da un URL specifico che corrisponde alla stringa llI[lll[2]].

L’output ottenuto per la URL cifrata è il seguente:

URL decifrato
Fonte: CERT-AGID

Di nuovo, siamo di fronte ad un file JAR mascherato da immagine.

 

Analisi del malware Adwind/jRAT

Arrivati a questo punto il file ottenuto viene identificato come Adwind/jRAT. Avendo superato i due stadi precedenti, il codice effettua soltanto azioni dannose, senza contenere controlli particolari.

Di seguito la configurazione crittografata che utilizza AES in modalità Electronic Code Book (ECB):

Configurazione
Fonte: CERT-AGID

Adwind/jRAT: il malware RAT

Adwind/jRAT è un malware e nello specifico un trojan di accesso remoto (RAT). Attivo nel panorama italiano a partire dal 2018 con campagne mirate a tema “Delivery”, è noto per la sua modularità. Nel corso degli anni si è evoluto nelle funzionalità, fino a diventare uno dei più noti RAT modulari e multipiattaforma. Come nelle varianti osservate negli anni precedenti, si concentra sui dispositivi Windows e sulle applicazioni comuni. Inoltre, sfrutta Java per entrare nel sistema delle vittime e assumere il controllo dei loro dispositivi.

Per approfondire > OneNote per veicolare malware: l’alert del CERT

 

Funzionalità

È difficile fornire una valutazione precisa delle sue capacità e degli obiettivi attuali degli attaccanti senza un’analisi dettagliata del codice e del comportamento del malware. Ciò che sappiamo è che nelle sue versioni precedenti ha avuto capacità di keylogging, furto password e dati dai web form, trasferimento file, registrazione di suoni dal microfono e delle sequenze di tasti, furto dati dei wallet di criptovalute, furto dei certificati VPN, intercettazione e gestione SMS e cattura schermo.

 

Come proteggersi? 

È importante adottare le seguenti misure di sicurezza:

  1. Formare il personale aziendale su come riconoscere e gestire le email sospette.
  2. Effettuare aggiornamenti regolari su tutti i software e sui sistemi operativi.
  3. Realizzare regolarmente il backup dei dati critici per prevenire la perdita di informazioni in caso di attacco malware.
  4. Adottare soluzioni di sicurezza avanzata che includano il rilevamento di minacce basato su firma e comportamento e il rilevamento in tempo reale, come Quick Heal Total Security.

Per facilitare le azioni di contrasto, riportiamo qui gli IoC identificati dall’analisi.

Phishing-kit--jpg

Phishing kit, usati dai cyber criminali per automatizzare le truffe online: cosa sono e come difendersi

Un phishing kit è un software utilizzato dai cybercriminali per automatizzare le frodi informatiche. Vediamo nell’articolo cosa sono e come proteggersi. 

 

Phishing e phishing kit

Il phishing rimane una delle tecniche preferite dai criminali informatici per truffare le persone. Questo metodo di ingegneria sociale sfrutta la curiosità delle vittime, convincendole a fornire informazioni personali fingendosi un ente affidabile per poi sfruttarle in diversi modi. È sufficiente un’email che sembra essere stata inviata dalla nostra banca o dal nostro e-commerce preferito per farci cadere nella trappola.

I criminali possono avvalersi di kit già predisposti da altri malintenzionati per semplificare e automatizzare l’attacco. In questo caso si parla di phishing kit, ovvero software progettati per facilitare la realizzazione di frodi informatiche, automatizzando il più possibile tutte le fasi dell’attacco. In questo modo, offre una piattaforma pronta all’uso anche per quei criminali meno esperti che non possiedono competenze tecniche avanzate, permettendogli di diventare phisher di successo.

Per approfondire > Phishing adattivo: un fenomeno in crescita anche in Italia

 

Scoperto un phishing kit V3B in vendita su Telegram

E’ da poco stato scoperto un gruppo di criminali informatici che vende su Telegram un kit di phishing V3B. Ad avviare la campagna, nel marzo 2023, è stato un membro del gruppo che utilizza lo pseudonimo di “Vssrtje”. Il suo costo varia dai 130 ai 450 al mese. Ha già attirato più di 1.255 cyber criminali che svolgono truffe di ingegneria sociale, frodi bancarie e scambio di SIM.

Fonte:Red Hot Cyber

Per saperne di più > Che cosa è il phishing? Come difendersi?

 

Cos’è in grado di fare il kit di phishing V3B?

Il kit di phishing V3B può intercettare informazioni sensibili di vario tipo: credenziali e codici OTP (one-time-password) grazie all’utilizzo di tecniche di ingegneria sociale. Gli elementi che la compongono sono diversi: sistema di intercettazione delle credenziali e pagine che permettono di effettuare l’accesso all’online banking.

Il kit si basa su un CMS personalizzato: comprende modelli in diverse lingue. V3B dispone di funzionalità avanzate come token, misure anti-bot, interfacce mobili e desktop, chat dal vivo e supporto OTP/TAN/2FA.

Il codice, per evitare che venga rilevato dai motori di ricerca e anti-phishing e proteggere i codici sorgenti dall’analisi delle firme, viene offuscato in vari modi (usando Javascript).

Il kit di phishing V3B permette ai truffatori di ottenere l’accesso non autorizzato e facilitare transazioni fraudolente. Usa le API di Telegram come canale di comunicazione per trasmettere i dati intercettati al truffatore, avvisandolo che l’attacco è andato a buon fine.

Una delle sue caratteristiche più importanti è la generazione di una richiesta di codice QR. Molti servizi, tra cui WhatsApp, Discord e TikTok offrono un modulo di accesso tramite codice QR, il che li rende vulnerabili a questo tipo di attacco. V3B sfrutta un’estensione del browser per intercettare i codici QR dal sito Web del servizio e successivamente reindirizza la vittima a un sito di phishing. Se la vittima scansiona il codice, l’aggressore ottiene l’accesso all’account.

 

Come difendersi dal phishing

La formazione e la consapevolezza sono cruciali per rilevare casi di phishing. E’ molto importante verificare il reale mittente delle email, così come l’URL, evitare di inserire informazioni personali su siti sconosciuti e abilitare l’autenticazione a più fattori (MFA) per una maggiore sicurezza.

Ovviamente, questo non è sufficiente a scongiurare attacchi phishing: è consigliabile implementare anche soluzioni di sicurezza: ad esempio i filtri anti-phishing e anti-spam. Oltre a ciò, le aziende possono contare anche sui sistemi di rilevamento preventivo delle minacce, grazie all’aiuto dell’Intelligenza Artificiale.

Per saperne di più > (Cyber) Threat Intelligence

Bitrat-lumma-stealar-jpg

BitRAT e Lumma Stealer spacciati per finti aggiornamenti del browser

Individuata una campagna malevola in cui vengono distribuiti il trojan BitRAT e il malware Lumma Stealer (o LummaC2) mascherati da finti aggiornamenti per il browser. Vediamo nell’articolo i dettagli della campagna e come fare per difendersi.

 

BitRAT e Lumma Stealer: una breve presentazione

BitRAT e Lumma Stealer sono già noti nel panorama delle minacce informatiche. In particolare il malware Lumma Stealer, che è sempre più popolare, probabilmente a causa della sua alta percentuale di riuscita nell’esfiltrazione di dati sensibili (senza essere rilevato).

BitRAT è un trojan, nello specifico un RAT, che consente agli attori delle minacce di raccogliere dati, minare criptovalute, scaricare binari e comandare a distanza gli host infetti.

Il malware Lumma Steler, invece, attivo da agosto 2022, è specializzato nel furto di informazioni. È in grado infatti di rubare informazioni dal web, dai portafogli di criptovalute ecc.

 

Finti aggiornamenti per diffondere BitRAT e Lumma Stealer: come avviene l’infezione

Prima di BitRAT e Lumma Stealer, sono state diverse le campagne malevole che hanno causato infezioni malware, trojan e ransomware sfruttando i finti aggiornamenti del browser. Tra queste, ad esempio, quella che ha diffuso Magniber, di cui abbiamo già parlato.

In questa nuova campagna malevola, la catena di attacco inizia quando viene visitato un sito web compromesso, che contiene codice JavaScript. Questo è progettato per reindirizzare le vittime a una pagina di aggiornamento del browser fasulla.

La pagina in questione contiene un link di download a un file ZIP che viene scaricato in maniera automatica sul dispositivo della vittima. Nel file archivio ZIP, ovviamente, non è presente nessun aggiornamento del browser, bensì un ulteriore file JavaScript. Questo file avvia l’esecuzione di script PowerShell che scaricano payload da un server remoto, mascherati da file immagine PNG.

Oltre a ciò, gli script PowerShell scaricano anche un loader basato su .NET e altri codici dannosi (indispensabili per stabilire la persistenza sui sistemi della vittima).

 

Discord: la piattaforma usata come vettore di attacco

Discord, la popolare piattaforma di VoIP e messaggistica istantanea, è sempre più utilizzata come vettore d’attacco tra i criminali informatici.

Nello specifico, le indagini condotte dagli esperti nel periodo che va dal 1° settembre 2023 al 1° marzo 2024, hanno rilevato più di 35 milioni di URL sulla piattaforma. Nei mesi in esame sono stati rilevati più di 50.000 link dannosi usati per distribuire phishing, malware, spam ecc. Questi hanno preso di mira soprattutto Stati Uniti e Europa.

 

Come difendersi?

Discord, essendo al corrente del problema, è già intervenuto per rendere la piattaforma più sicura, modificando le condizioni d’uso. Tra queste, ad esempio, troviamo la scadenza dopo 24 ore dei file ospitati. Nonostante questi accorgimenti però, gli aggressori continuano ad essere attivi sulla piattaforma: rubano credenziali, usano metodi come promettere regali ed effettuare ricatti diretti.

Per mitigare il rischio, consigliamo di adottare la massima cautela nel cliccare su qualsiasi link. Rimane poi sempre attuale il consiglio di investire nella formazione dei dipendenti, dato che il fattore umano è uno dei più altri fattori di rischio. Infine, è fondamentale adottare valide e avanzate soluzioni di sicurezza in grado di rilevare e bloccare le minacce, ma anche di prevenirle in maniera proattiva, come Seqrite.

Anatsa_trojan-jpg

Anatsa: il trojan bancario che è stato diffuso su app Android del Play Store

Il trojan bancario Anatsa è stato scoperto nel 2021 ed è in grado di rubare le credenziali del banking e intercettare i codici di autenticazione a due fattori. Com’è stato diffuso? Tramite due applicazioni presenti sul Play Store che sono riuscite a sfuggire al processo di revisione di Google.

 

App malevole sul Play Store di Google

Sono sempre di più le app Android non legittime che circolano sul Play Store di Google: secondo i dati hanno superato quota 90 e contano 5,5 milioni di installazioni.

Luigi Martire, Responsabile tecnico del CERT ha affermato che, di recente, tra queste minacce spicca Anatsa, conosciuto anche come Teabot. Anatsa è stato scoperto nel 2021 ed è diventato in poco tempo uno dei malware bancari più diffusi nel mondo Android.

Per approfondire > Scoperte 28 VPN contenenti malware sul Google Store

 

Trojan bancario Anasta: presentazione e funzioni

Anasta è un trojan bancario, ovvero un malware progettato per rubare le credenziali dell’online banking delle persone e rubare denaro. Mira a compromettere oltre 650 applicazioni di istituzioni finanziarie in Europa. Stati Uniti, Regno Unito e Asia.

Tra le sue funzioni principali troviamo la capacità di keylogging (registrazione dei tasti premuti sulla tastiera ad insaputa della vittima), di effettuare screenshot e rubare i codici di autenticazione a due fattori (2FA).

Dalla fine dell’anno scorso, Anatsa ha registrato ben 150.000 infezioni via Google Play. Per farlo ha sfruttato varie applicazioni che si mascheravano da app software, di personalizzazione, fotografia, tool, produttività e applicazioni fitness.

 

Le app sul Play Store di Google che hanno diffuso Anasta

La figura sottostante mostra le applicazioni dannose che, una volta installate, hanno avviato il processo di infezione. Si chiamano PDF Reader & File Manager e QR Reader & File Manager. Le app hanno raggiunto più di 70.000 installazioni.

Attualmente sono già state rimosse dal Play Store.

App fraudolente presenti sul Play Store di Google che diffondono Anasta
Fonte: Zscaler

 

Come agisce il trojan bancario Anatsa

Quando il trojan bancario Anatsa è attivo sul dispositivo infettato, carica la configurazione del bot e i risultati della scansione delle app, per poi scaricare le iniezioni specifiche per la posizione e il profilo della vittima.

Anatsa mostra un ulteriore livello di sofisticazione tramite una tecnica multilivello per il caricamento del codice. L’app iniziale richiede al proprio server di comando e controllo (C2) un codice intermedio compilato nel formato DEX, usato dal sistema operativo Android per l’esecuzione delle applicazioni. Dopo aver scaricato questo codice, Anatsa esegue controlli per individuare strumenti utilizzati dagli analisti di malware. Se i controlli vengono superati, viene autorizzato il download del payload finale di Anatsa, un file APK, che è il formato standard dei pacchetti di applicazioni Android. A questo punto, l’infezione è completa e l’attaccante ottiene il pieno accesso al dispositivo della vittima.

 

Quali misure adottare per evitare di essere infettati?

La prima arma di difesa sono la consapevolezza e la formazione (awareness). Spesso gli utenti forniscono i permessi alle applicazioni senza leggere cosa stanno accettando. Oltre a ciò è necessaria anche una postura di sicurezza. Nello scaricare nuove app è fondamentale controllare quali autorizzazioni vengono richieste e rifiutare tutto ciò che comprende l’accesso agli SMS e alla Rubrica. È fondamentale scaricare app solo da sviluppatori di fiducia con recensioni positive. Inoltre, è consigliabile utilizzare soluzioni di sicurezza mobile in grado di rilevare e bloccare attività sospette.

emotet_botnet

“Cambiare Rotta”: la nuova minaccia ransomware che lancia un messaggio politico

Cambiare Rotta è un nuovo ransomware particolare: non chiede nessun riscatto e non fornisce istruzioni su come recuperare i file crittografati. Scopriamo nell’articolo cosa sappiamo sul ransomware.

 

Cambiare Rotta: presentazione

Il CERT-AGID, nel Report della settimana 17-24 Maggio, mostra per la prima volta la comparsa di un nuovo ransomware chiamato “Cambiare Rotta”.

Cambiare Rotta sembra essere stato creato utilizzando il generatore di ransomware Chaos basato su GUI, che consente di personalizzare un ransomware attraverso una serie di opzioni. Il campione è stato scoperto da SonicWall e l’eseguibile è un file.NET molto simile agli altri campioni Chaos Ransomware.

Non è ancora chiaro come venga distribuito sui computer delle vittime.

Sebbene tecnicamente sia un derivato del ransomware, non sarebbe propriamente corretto definirlo come tale nel contesto attuale. Questo particolare tipo di malware, infatti, non richiede un riscatto economico (o di altro tipo). Pertanto, sarebbe più appropriato considerarlo semplicemente un malware crittografico.

 

Funzionamento

Il malware, una volta avviato, controlla se è già in esecuzione. In caso contrario, inizia a cercare i file da crittografare. Scansiona tutte le unità del sistema, escludendo l’unità C:. Rileva determinate directory che possono essere crittografate in modo ricorsivo (utilizzando la funzione encryptDirectory) senza danneggiare il sistema operativo. Se l’unità scansionata non è la C:, crittografa l’intero contenuto di quell’unità.

 

Scansione dei file da crittografare da parte di Cambiare Rotta
Fonte: Red Hot Cyber

 

Nel metodo encryptDirectory è presente un’eccezione che verifica le dimensioni del file: se il file supera i 2.117.152 byte, viene sovrascritto con byte casuali rendendolo irrecuperabile; se è più piccolo, viene utilizzato il metodo EncryptFile.

Quest’ultimo riceve il percorso di un file come input, verifica che l’estensione sia valida e lo cripta utilizzando l’algoritmo AES.

Il malware verifica se viene eseguito con privilegi di amministratore grazie alla funzione checkAdminPrivilage. In caso affermativo:

  • elimina le copie shadow;
  • disabilita le modalità di ripristino;
  • tenta di rimuovere il catalogo di backup.

 

Dati non recuperabili

I file, una volta cifrati, non possono più essere recuperati. La nota di riscatto, infatti, non fornisce informazioni su come contattare gli attaccanti né su come procedere per recuperare i file, ma rimanda ad un messaggio politico, in particolare al conflitto israelo-palestinese.

Nel dettaglio, afferma: “L’Italia dev’essere punita per la sua alleanza con lo stato fascista di Israele, questo malware è stato programmato da marxisti-leninisti-maoisti per diffondere il pensiero antisionista. Dei palestinesi stanno morendo per le tue azioni, io ucciderò i tuoi file. Non c’è modo di recuperarli. Palestina libera. Italia unita rossa e socialista”

Nota di riscatto di Cambiare Rotta
Fonte: Red Hot Cyber

 

Ciò testimonia il fatto che il ransomware è stato creato non per ottenere una ricompensa economica, ma per promuovere un’azione ideologica. Si distingue quindi per la sua natura ideologica (e distruttiva) piuttosto che per finalità di estorsione.

Una volta terminato tutto il processo, viene cambiato automaticamente lo sfondo del desktop con una foto degli studenti dell’Università di Bari aderenti all’associazione Cambiare rotta. Inoltre, compare la nota informativa citata precedentemente.

Sfondo del dekstop che mostra gli studenti dell'Università di Bari aderenti all'associazione Cambiare Rotta e nota di riscatto
Fonte: CERT-AGID

 

IoC del ransomware Cambiare Rotta

Per contrastare la campagna dannosa, il CERT-AGID ha reso disponibile gli indicatori di compromissione (IoC), che riportiamo nell’immagine. Le Pubbliche amministrazioni ne sono già al corrente, così come il Flusso IoC del CERT-AGID, mentre le autorità italiane stanno già lavorando per contrastare la minaccia.

Indicatori di compromissione (IoC) del ransomware Cambiare Rotta
Fonte: CERT-AGID

 

Proteggersi dai ransomware: step basilari

Premettendo che la sicurezza informatica al 100% non esiste e che gli strumenti, le soluzioni e la postura difensiva variano da azienda ad azienda, da rete a rete, i punti sottostanti sono il minimo indispensabile per raggiungere un livello accettabile di sicurezza informatica.

  • Predisponi un piano di backup: è fondamentale dotarsi di soluzioni di backup e di organizzarsi per eseguire backup di tutti i dati a cadenza regolare. I backup stessi andranno testati regolarmente, per verificare che i dati siano integri. Disporre di backup integri e il più recenti possibile consente di minimizzare la perdita dei dati e accelerare i processi di rispristino. E’ fondamentale isolare dalla rete i backup critici per evitare che, in caso di attacco ransomware, finiscano criptati anche i backup. A tale scopo, ti consigliamo di valutare la nostra soluzione Strongbox Cloud PRO, appositamente pensata per le PMI.
  • Mantieni sempre aggiornato il sistema operativo, i software e gli applicativi in uso: le vulnerabilità sono le porte di accesso che consentono agli attaccanti di accedere alle reti. Verifica che questi software siano sempre aggiornati all’ultima versione disponibile ed installa le patch consigliate dal vendor. La suite di soluzioni di sicurezza aziendali Seqrite ha funzionalità specifiche a tale scopo: dalla gestione centralizzata delle patch alla scansione delle vulnerabilità.
  • Scegli una solida soluzione antivirus e mantienila sempre aggiornata: sempre più soluzioni antivirus si sono dotate di strumenti specifici per il contrasto agli attacchi ransomware. Scopri di più sulla funzionalità antiransomware di Quick Heal / Seqrite, tecnologia brevettata negli Stati Uniti.
  • Adotta l’approccio zero trust: applica il principio del “privilegio minimo” per tutti gli utenti: imposta cioè, utente per utente, solo le permissioni che gli sono effettivamente necessarie per svolgere le proprie mansioni. Fai si che ogni utente possa accedere soltanto alle informazioni che gli sono indispensabili. Per approfondire > Approccio di cybersecurity Zero Trust: perchè, come e quanto è importante per le aziende con forza lavoro remota
  • Evita di scaricare file o cliccare su link contenuti nelle email: spesso l’accesso alle reti da parte degli attaccanti non avviene tramite sofisticate tecniche di attacco, ma anzi l’attaccante fa breccia nel punto più debole della catena della cyber sicurezza: l’utente. E’ fondamentale non fare click su link né scaricare allegati contenuti in email inaspettate, sospette, improvvise. Infine non abilitare mai le macro contenute nei documenti circolanti via email, a meno che non ci sia l’assoluta certezza della legittimità della comunicazione. Per Approfondire > Attacchi basati sulle macro di Office: come funzionano? Breve vademecum
  • Forma i dipendenti, i collaboratori e chiunque acceda alla rete: come detto, l’anello debole della catena di cyber sicurezza e sicurezza dei dati è l’utente. Forma dipendenti e collaboratori, rendili partecipi dei protocolli di sicurezza e consapevoli e sensibili rispetto ai rischi, almeno quelli più diffusi. Stabilisci un protocollo di reazione in caso di incidente informatico, così che tutti sappiano cosa fare in caso dovesse verificarsi un attacco ransomware.
  • Non esporre mai direttamente in internet le connessioni Remote Desktop Protocol. Se proprio hai necessità di usare l’RDP, fallo sempre tramite una VPN.
  • Implementa un modello di sicurezza stratificato (multi livello). Nella scelta di un approccio stratificato alla sicurezza, consigliamo di valutare attentamente:
    > sicurezza delle reti e dei server;
    > gestione degli endpoint;
    > gestione dei dispositivi mobile. Per approfondire > Implementa un modello di sicurezza stratificato con Seqrite!
  • Implementa sistemi di protezione preventiva: come l’Intrusion Prevention Sistem (IPS) e il Web Application Firewall. Saranno utili protezioni perimetrali, se posti a difesa dei servizi esposti su Internet.
  • Adotta un SOC – Security Operation Center: un SOC è un vero e proprio centro operativo dedicato alla sicurezza informatica il cui scopo, nel complesso, è monitorare costantemente la rete aziendale in cerca di attività anomale o sospette. Per approfondire > SOC – Security Operation Center: che cosa, perché, come
logHD1

YOTTA WEB - Via Don F. Cabrio 14/D - 13900 Biella (BI)

P.IVA 02552590024 - C.F. SNTSVR77S27A859C - REA BI 194613

Copyright 2017 © YOTTA WEB All Rights Reserved

Privacy Policy