0[1]

L’ultimo Update Patch di Microsoft risolve una grave vulnerablità 0-day in uso in attacchi reali

Con la più recente (e ultima per quest’anno) Patch Tuesday, Microsoft sta avvisando i propri utenti di una nuova vulnerabilità 0-day che gli attaccanti stanno sfruttando attivamente via exploit: se l’exploit ha successo gli attaccanti ottengono il controllo da remoto delle macchine vulnerabili. Pare che tale vulnerabilità venga sfruttata in combinato con un’altra vulnerabilità 0-day, la CVE-2019-13720 di Google Chrome.

La 0-day in oggetto è indicata con CVE-2019-1458 ed è una vulnerabilità che consente l’escalation di privilegi di amministrazione sul sistema. In dettaglio, Microsoft ha spiegato che “Un attaccante che abbia sfruttato con successo questa vulnerabilità potrebbe eseguire codice arbitrario in modalità kernel. Potrebbe, quindi, installare programmi, visionare, modificare o cancellare dati, oppure creare nuovi account con pieni privilegi di utente”.

La vulnerabilità risiede nella maniera in cui la componente Win32k nei SO Windows gestisce gli oggetti in memoria. L’exploit funziona sia sulle ultime versioni di Windows 7 sia su alcune build di Windows 10, mentre la vulnerabilità risiede nei seguenti SO:

Microsoft Windows 10 Version 1607 32-bit
Microsoft Windows 10 Version 1607 64-bit
Microsoft Windows 10 32-bit
Microsoft Windows 10 64-bit
Microsoft Windows 7 32-bit
Microsoft Windows 7 64-bit SP1
Microsoft Windows 8.1 32-bit
Microsoft Windows 8.1 64-bit
Microsoft Windows RT 8.1
Microsoft Windows Server 2008 R2 SP1
Microsoft Windows Server 2008 R2 64-bit SP1
Microsoft Windows Server 2008 32-bit SP2
Microsoft Windows Server 2008 SP2
Microsoft Windows Server 2008 64-bit SP2
Microsoft Windows Server 2012
Microsoft Windows Server 2012 R2
Microsoft Windows Server 2016

Anche Google ha proceduto a “tappare la falla” con il rilascio di un update di emergenza lo scorso mese, quando alcuni ricercatori di sicurezza hanno informato Big G dell’esistenza non solo della vulnerabilità, ma anche dell’uso attivo che già ne stavano facendo alcuni cyber criminali.

Complessivamente gli Update di Sicurezza di Dicembre rilasciati da Microsoft risolvono un totale di 36 vulnerabilità, tra le quali 7 di livello critico e 27 importanti.

01[1]

Ben tre campagne malware in corso contro utenti italiani: ransomware e trojan all’attacco

Non c’è pace per l’Italia: già ieri abbiamo reso notizia di una, ennesima, campagna di distribuzione del ransomware FTCode tramite circuito PEC. Questa è ancora in corso, ma già si sono affiancate a questa attività dannosa addirittura altre due campagne, una per distribuire il malware Emotet e una per il trojan bancario Ursnif.

1. Campagna di distribuzione Emotet
Emotet viene diffuso tramite email di spam: le email hanno vario argomento, ma sono tutte accomunate dal cercare di indurre un certo senso di urgenza nella potenziale vittima, così da renderla meno attenta e prudente. Le email contengono poco testo e un link che riconduce ad un file Word compromesso: questo infatti contiene una macro dannosa che, se abilitata, scarica ed esegue il malware Emotet.

Fonte: https://www.cert-pa.it/

Era da qualche mese che Emotet non calcava le scene: dopo un lungo periodo di silenzio, nel Settembre di quest’anno la botnet relativa si è riattivata, ma non ha registrato molte infezioni in Italia. Al contrario ha registrato impressionanti picchi di distribuzione e infezioni negli Stati Uniti, tanto da indurre il CERT-USA a diramare uno specifico avviso di sicurezza, data anche la pericolosità stessa del malware. La campagna individuata ieri è invece rivolta specificatamente contro utenti italiani.

Emotet in breve:
Emotet è un trojan bancario polimorfico capace di evadere l’individuazione basata su firma. E’ dotato di molteplici metodi per il mantenimento della persistenza, incluso l’auto avvio di servizi e chiavi di registro. Usa librerie DLL modulari per evolvere e aggiornare continuamente le proprie capacità. Inoltre è dotato di strumenti di individuazione delle macchine virtuali e può generare falsi indicatori qualora venga avviato in un ambiente virtuale.

Per approfondire >> Emotet riprende le operazioni di diffusione, anche in Italia

2. Campagna di distribuzione Ursnif con false fatture DHL
La terza campagna attualmente in corso in Italia distribuisce invece, ancora una volta, il trojan bancario e per il furto dati Ursnif. E’ la terza campagna di distribuzione di Urnsif, rivolta contro utenti italiani, solo da inizio Dicembre. Le email vettore sono false fatture DHL, indirizzate a pubbliche amministrazioni ma anche a privati. Contengono due allegati, un documento XLS e un PDF. In dettaglio:

09122019_100348_1_001.pdf
MIL0001772313.xls

Il PDF è organizzato per emulare in tutto e per tutto una fattura legittima DHL, compreso il logo ufficiale dell’azienda.

Fonte: https://www.cert-pa.it/

Il testo sollecita il pagamento di una fantomatica fattura non soluta, ma il PDF di per sé non mostra comportamenti dannosi. E’invece il file XLS il vero responsabile dell’avvio della catena di infezione.

Anche in questo caso l’utente viene indotto ad attivare la macro, che avvia lo script dannoso (che agisce solo su sistemi Windows). Prima di procedere all’infezione del sistema, lo script esegue alcune verifiche volte ad accertarsi che il target sia effettivamente italiano, ad esempio tramite verifica della lingua impostata sul sistema.

Se il target è corretto, lo script esegue un altro script powershell composto assemblando vari “pezzi” che sono presenti in varie celle del documento Excel: avviene quindi il download e l’installazione di Ursnif.

Ursnif in breve:
Con Ursnif si indica una famiglia di trojan pensati per rubare informazioni personali e dati relativi alla macchina e al sistema operativo della vittima. Questi dati vengono raccolti e inviati al server di comando e controllo gestito dagli attaccanti. Spesso installa anche backdoor sul sistema infetto, così da garantire all’attaccante la possibilità di eseguire comandi da remoto per svolgere ulteriori attività dannose. Mira sopratutto alle credenziali bancarie/finanziarie e agli accessi su vari tipi di account (social, email o di vari servizi online). Questa famiglia di malware è sotto attento studio da parte della comunità dei ricercatori informatici da tempo: le analisi su attacchi reali hanno indicato che si diffonde non solo via email, ma anche tramite dispositivi removibili e chiavette USB. E’ già stato usato molteplici volte contro utenti italiani.

a[1]

Ancora ransomware FTCode: ennesima campagna di distribuzione via PEC contro utenti italiani

L’alert del Cert-PA è di stamattina, 9 Dicembre: è in corso, sempre solo contro utenti italiani, una nuova campagna di distribuzione del ransomware FTCode. Le email sono veicolate tramite il circuito PEC e contengono un unico link allegato il cui testo è ripreso dall’oggetto di una precedente email. Nella foto sotto la finta fattura TIM contenuta nell’email

Fonte: https://www.cert-pa.it/

Gli utenti Windows che visitano il link, si trovano a scaricare un archivio .ZIP contenente il dropper del ransomware FTCode. In caso invece l’utente apra l’email da smartphone Android, è indotto ad installare un’applicazione dannosa, derivata dal malware bancario per Android Anubis: anche questa variante sottrae credenziali bancarie e altri dati personali delle vittime.

FTCode in breve
FTCcode è un ransomware del 2013, scomparso dalle scene per oltre 6 anni: è stato individuato di nuovo in diffusione lo scorso Settembre. In poche settimane ne sono state registrate 3 nuove versioni, con svariate modifiche per risolvere bug e per migliorare la capacità di passare inosservato agli antivirus. Viene diffuso solo contro utenti italiani, tramite massive campagne di email di spam trasmesse tramite il circuito PEC. Mira principalmente ad aziende, pubbliche amministrazioni e professionisti: sono oltre 500 gli account email PEC compromessi usati per la diffusione del ransomware. Ad ora nessuna delle versioni di FTcode è risolvibile.

01[1]

Le estensioni browser di AVAST e AVG spiano gli utenti su Firefox e Chrome

La notizia è di ieri e non è certo rassicurante, dato che parliamo di importantissimi vendor di soluzioni di sicurezza mondiali del calibro di AVAST e della sua sussidiaria AVG: alcune estensioni browser offerte dai due vendor, disponibili per Google Chrome e Mozilla Firefox, raccolgono un eccessivo numero e tipologia di dati sugli utenti, al punto da poter affermare che spiano gli utenti stessi.

Le estensioni incriminate sono:

Avast Online Security
AVG Online Security
Avast SafePrice
AVG SafePrice
Parliamo di estensioni che mostrano avvisi e bloccano la navigazione su siti sospetti o riconosciuti come dannosi (come le pagine di phishing), mentre le ultime due sono estensioni per lo shopping online: comparano prezzi, mostrano sconti, offerte e coupon. Molti potrebbero non ricordarsi di averle mai scaricate, perchè vengono installate automaticamente nel browser predefinito dagli antivirus AVG e AVAST al momento dell’installazione stessa.

La ricerca di Palant che inchioda Avast
Il creatore di AdBlock Plus Vladimir Palant ha iniziato ad analizzare Avast Online Security e AVG Online Security alla fine di Ottobre e ha scoperto come queste raccogliessero molti più dati di quelli davvero necessari per espletare le proprie funzioni: tra i dati raccolti, anche la cronologia dettagliata del browser, una pratica nettamente vietata dalle policy sia da Mozilla che di Google. Qualche giorno dopo sempre Palant ha fatto sapere, con un altro post, di aver individuato il medesimo problema anche con Avast SafePrice e AVG SafePrice.

Il report è disponibile qui >> Avast Online Security and Avast Secure Browser are spying on you.

Quali dati sono inviati ad Avast?
> URL esteso della pagina che stai visitando,
> l’identificativo unico dell’utente (UID) generato dall’estensione per il tracciamento dell’utente;
> il titolo della pagina
> come si accede alla pagina (cliccando su un link, digitando direttamente l’indirizzo, usando i segnalibri impostati sul browser);
> un valore che indica se si era già vistata o meno quella data pagina;
> il codice della nazione dal quale si connette l’utente;
> il nome del browser e l’esatta versione in uso;
> il sistema operativo e il seriale.

“Il tab di tracciamento e gli identificatori di finestre e azioni consentono ad Avast di ricostruire piuttosto precisamente quasi tutto il comportamento di navigazione di un utente: quante schede ha aperto sul browser, quali siti ha visitato, quando e per quanto tempo, quanto tempo ha speso per leggere / vedere il contenuto di una pagina, cosa ha cliccato sulla pagina e quando è passato ad un’altra schda. Tutto questo viene corrisponde a precisi attributi che consentono ad Avast di riconoscere un utente in maniera inequivocabile, al punto da prevedere un identificatore univoco per ogni utente” afferma Palant nel suo report.

Mozilla ha preso, per adesso, la decisione più drastica rispetto a questa vicenda: ha deciso di rimuovere queste estensioni dal proprio portale degli add-on. La motivazione è semplice e stringata “questi add-on violano le policy di Mozilla sulla raccolta dati senza consenso dell’utente e senza che questo ne sia a conoscenza”. Mozilla non ha però inserito queste estensioni in blacklist, il che significa che finché l’utente non provvederà alla disinstallazione, queste continueranno a funzionare e a raccogliere dati. Queste estensioni restano invece ancora disponibili nel Chrome Web Store, nonostante Palant abbia provveduto a segnalare il problema anche a Google.

01[1]

StrandHogg: la devastante falla su Android già usata dai cyber criminali

E’ stata individuata dai ricercatori di Promon, che hanno scritto un dettagliato report disponibile qui in inglese, una grave vulnerabilità che affligge tutte le versioni esistenti di Android. Rendiamo un breve estratto del report, data la gravità della falla scoperta (che consente di prendere totale controllo sul dispositivo Android senza necessità di eseguire il root) e dato il fatto che è già in uso da diversi gruppi di cyber criminali.

Come funziona
Gli attaccanti stanno usando un exploit specifico che sfrutta questa falla di livello critico di Android: in dettaglio parliamo di una vulnerabilità nel sistema multitasking che può essere usata per consentire ad un’app dannosa di camuffarsi da qualsiasi altra app attiva sul dispositivo. L’exploit si basa sull’impostazione di controllo chiamata “taskAffinity” che consente a qualsiasi app (anche quelle dannose, evidentemente) si assumere liberamente qualsiasi identità nel sistema multitasking.

Che cosa può accadere se l’exploit ha successo?
La vulnerabilità rende possibile, come detto, ad un’app dannosa di travestirsi da una seconda app attiva nel dispositivo. In pratica al momento in cui l’utente esegue un’applicazione legittima, l’app compromessa gli mostrerà una schermata identica a quella dell’app originale e, a questo punto, inizierà a richiedere molteplici permissioni. L’utente ingannato penserà di concedere tali permissioni ad un’app legittima.

Nel caso studiato da Promon l’app dannosa ha richiesto permissioni per accedere agli SMS, alle foto, al microfono e alla fotocamera (con possibilità di attivarli in qualsiasi momento), al GPS (rendendo geolocalizzabile la vittima) ecc.. ma le possibilità di utilizzo di questa falla sono potenzialmente infinite. Ad esempio gli attaccanti potrebbero mostrare false schermate di login, ottenendo le credenziali inserite ma anche i codici utilizzati per l’autenticazione a due fattori.

Il meccanismo insomma, fa si che l’app dannosa possa richiedere sempre più permissioni, chiedendone di nuove all’utente mano a mano che si rendono utili: finchè infatti sarà possibile per l’attaccante fare profitto sul dispositivo della vittima, questo cercherà di scavare in tutti gli anfratti del dispositivo stesso.

Cosa può fare in breve:
ascoltare l’utente tramite microfono;
scattare foto tramite la telecamera del dispositivo;
leggere e inviare SMS;
chiamare o registrare chiamate;
rubare credenziali di login;
accedere a foto e altri file privati nel dispositivo;
geolocalizzare il dispositivo;
accedere alla rubrica e sottrarre i contatti;
accedere ai log del dispositivo.

Come colpisce i dispositivi Android
La versione analizzata da Promon non risiede nel Google Play, ma viene installata tramite molteplici app compromesse presenti nel Google Play: sono app che fungono semplicemente da dropper, trasportano cioè il codice dell’exploit. Molte di queste app sono già state rimosse dal Google Play, ma è ovvio pensare che molte altre saranno sfuggite ai controlli e molte ancora saranno adesso in upload sul Play Store. Un esempio: tra le app compromesse è risultata CamScanner app, un PDF creator, che però contiene un modulo col codice dell’exploit. Questa app risulta scaricata più di 100 milioni di volte. Parliamo di un app legittima, è bene intendersi, che però ha subito un cambio della versione in download qualche tempo fa. I proprietari ne sono venuti a conoscenza solo su segnalazione di alcuni ricercatori di sicurezza e hanno provveduto a sostituire l’APK compromesso, disponibile su Google Play. Promon, nell’ambito della propria ricerca, ha analizzato le 500 app più scaricate in assoluto dal Google Play, trovandone ben 36 infette con questo exploit.

Quali versioni sono afflitte da questa vulnerabilità?
Qui arriva la brutta, bruttissima notizia. Tutte, compresa la versione 10 di Android. Insomma, finché Google non rilascerà una patch adatta gli utenti saranno vulnerabili e la caccia alle app compromesse potrebbe essere infinita. Oltre a ciò, è molto molto difficile per una vittima rendersi conto che c’è qualcosa che non va sul proprio smartphone: a parte richieste di permissioni incongruenti rispetto alle funzionalità dell’app e schermate di login che di solito non compaiono, non ci sono molte posibilità di capire che il proprio telefono è stato hackerato.

01[1]

Black Friday e Cyber Monday: attenti alle truffe!!

+ 15% attacchi ai siti e-commerce per rubare i dati dei clienti
+ 24% attacchi di phishing per sottrarre le credenziali bancarie

Questi due dati mostrano l’altro volto, l’altra faccia della medaglia dei due giorni di “shopping pazzo”, sempre più spesso online, del Black Friday e del Cyber Monday. Parliamo dell’aumento percentuale di attacchi rispetto allo scorso anno. Si conferma intanto una tendenza, già vista gli scorsi anni: sempre più spesso gli attaccanti prendono di mira i siti di e-commerce, perchè vi transita una grande mole di dati. Si mira sopratutto alle credenziali di accesso degli account degli utenti (login e password), carte di credito, numeri di telefono ecc..

La modalità più utilizzata è quella della “classica” pagina fake di phishing: un attaccante riproduce più fedelmente possibile la pagina di login di un e-commerce molto popolare, poi cerca di attrarvi più utenti possibili (spesso lanciando massive campagne di email di spam) e di indurli a inserirvi credenziali e altri dati. Senza che l’utente si accorga di nulla quindi, anzi, molto probabilmente convinto di essere sul sito legittimo, consegna spontaneamente tutti i dati al truffatore.

Per approfondire >> 5 modi per riconoscere subito un attacco di phishing

Insomma, questo è un periodo dell’anno, così come durante tutte le festività natalizie, nel quale il cyber crime lavora assiduamente dato che è un periodo molto ghiotto per rubare dati e soldi.

Non c’è però bisogno di eccessivi allarmismi, anzi, basta seguire alcune buone pratiche e prestare un pò di attenzione per poter fare acquisti online senza incorrere in truffe o furto di dati. Anche le aziende, poi, devono svolgere il loro ruolo di garanti della sicurezza dei dati dei clienti, perché la sicurezza generale di un sito di e-commerce, di un database di dati, di una piattaforma di pagamento non è responsabilità dell’utente. Spetta alle aziende una ridefinizione della strategia di sicurezza informatica e la formazione dei dipendenti tenendo di conto dei nuovi rischi.

Ecco qui alcuni consigli utili che, se seguiti, ti consentiranno di trascorrere serenamente questi giorni di ghiotte occasioni:

per prima cosa è fondamentale tenere aggiornati il sistema operativo e i software in uso nel pc / dispositivo. Più un software è aggiornato, meno è esposto a attacchi che sfruttano vulnerabilità e bug (exploit);
utilizza password uniche (una password diversa per ogni account) e più complesse possibili. Anche se difficili da ricordare, sono però più sicure di password intuibili o deboli, facilmente aggirabili e individuabili;
attiva e paga soltanto tramite autenticazione a due fattori. Questo sistema rende molto più sicure le transazioni: ad un attaccante non basterà detenere, ad esempio, le credenziali di accesso all’home banking per eseguire un pagamento, ma dovrà occuparsi anche di intercettare il vostro numero di telefono ecc…
presta maggiore attenzione quando acquisti via mobile: gli URL abbreviati sono spesso usati perché sono molti comodi per gli smartphone, ma possono nascondere accessi a siti rischiosi o compromessi;
non fare mai click su link ricevuti via email o via chat sui social, anche se provengono da persone conosciute. Potrebbe essere una truffa;
non fidarti di siti che si comportano in maniera strana o che sembrano difettosi. Probabilmente fai bene a sospettare e continua ad essere sospettoso sopratutto se le offerte e i saldi per il Black Friday sembrano incredibilmente vantaggiosi;
organizza un solido backup: fare regolari backup dei dati ti consente di metterti al riparo da attacchi come quelli ransomware, che criptano i dati rendendoli inaccessibili, per poi richiedere un riscatto per riportarli in forma leggibile;
limita il numero di tentativi di transazione dalla tua carta di credito;
stabilisci un tetto massimo per le singole transazioni online e non superarlo: potrai individuare facilmente transazioni che non hai effettuato;
riduci la liquidità sui conti bancari oppure, ancora meglio, utilizza una carta prepagata. Più liquidità è disponibile, più sono i soldi che i truffatori potrebbero rubare.

Usa una solida soluzione antivirus
Quick Heal ad esempio ha, tra le tante, una funzionalità di sicurezza specifica per le transazioni online: parliamo del Safe Banking. Safe Banking crea uno schermo per l’utente in tutte quelle situazioni in cui la sua identità e le sue credenziali possono essere compresse. Safe Banking lancia l’intera sessione di banking in un ambiente sicuro, in modo da proteggere i dati di importanza critica.

01[1]

Privacy online: arriva il tracker che nessun (o quasi) antitracker può bloccare

Tutti i browser più diffusi, Firefox tra i primi, mettono a disposizione degli utenti alcune funzionalità anti tracciamento che non solo bloccano i cookies, ma anche altre tipologie di tracciamento e profilazione dell’utente. A queste funzionalità si affiancano estensioni specifiche (uBlock Origin è un esempio, così come Privacy Badger ecc..) che permettono un maggior livello di protezione.

Nella vicenda che raccontiamo non c’entra molto il cyber crimine: il contesto in cui si inserisce è quello di una corsa continua tra le agenzie di marketing, che cercano di carpire più informazioni possibili sull’utente che visita un determinato sito web, e gli sviluppatori di software che, al contrario, cercano di ridurre l’invasività (talvolta apertamente contro la legge) delle stesse. Per adesso gli anti tracker esistenti, free o a pagamento, garantiscono buoni risultati e comunque danno la possibilità sia di bloccare completamente le visualizzazioni delle pubblicità e il tracciamento dei cookie o di impostar livelli intermedi di protezione.

La novità però, proprio di questi giorni, è l’utilizzo da parte del sito di news Liberation di un tracker capace di aggirare tutte le forme di protezione fino ad ora esistenti: il tracker, sviluppato dall’agenzia di marketing Eulerian, fa leva sulla distinzione tra cookie dell’editore e cookie di terze parti e si “insinua nella terra di mezzo” tra queste due tipologie di cookie.

I cookie dell’editore sono spesso considerati uno strumento essenziale e indispensabile per il funzionamento di un sito: sono ritenuti uno strumento positivo perchè raccolgono dati sull’esperienza di navigazione del visitatore al solo scopo di migliorare la navigazione stessa. I cookie di terze parti, al contrario, sono uno strumento di monitoraggio della navigazione che aziende terze usano a scopo di lucro o per profilare l’utente e indirizzare pubblicità mirata. Tutte le tecniche di protezione della privacy si basano su questa distinzione: consentono i cookie dell’editore e bloccano quelle di terze parti.

Il tracker usato sul sito Liberation invece aggira la questione: viene creato un sottodominio che, a livello di DNS, viene collegato al principale con un record CNAME. In questa maniera il tracker nasconde la sua vera origine, riuscendo a passare per “tracker dell’editore”. Dal punto di vista tecnico l’espediente funziona perfettamente, ma dal punto di vista normativo, è in aperto conflitto con il GDPR. Il GDPR infatti prevede un consenso esplicito da parte dell’utente per consentire la raccolta di dati secondo queste modalità ed è inutile dire che non è prevista nessuna richiesta di consenso esplicito alla raccolta dati da parte del tracker di Eulerian, ne una tipologia tale di tracker potrebbe prevederne.

C’è un solo modo per adesso…
di bloccare questo tracker. uBlock Origin ha rilasciato una nuova versione dell’estensione capace di bloccare anche questa tipologia di tracker, ma, per adesso, funziona solo su Firefox. Questo perché Firefox è ad ora l’unico browser che, grazie ad alcune API, permette ad una estensione di risolvere i DNS e di individuare quindi questo tracker. Ma le cose potrebbero cambiare presto, visto che, GDPR o meno, sono sempre di più le aziende che usano questa tecnica “furbetta” di tracciamento. da parte dei vari vendor di browser però, si sta già correndo ai ripari.

01[1]

Italia sotto attacco: truffa di phishing ai danni degli utenti Agenzia Italiana del farmaco

L’alert del CERT-PA è di poche ore fa: gli esperti del nostro Computer Emergency Response Team hanno individuato una campagna di phishing via email volta alla sottrazione degli account di posta elettronica degli utenti di AIFA (Agenzia Italiana del Farmaco).

Il testo è scritto in italiano corretto e cerca di convincere l’utente della imminente necessità di aggiornare il proprio account AIFA facendo click su un link incorporato nel testo. E’, questo, un classico dell’ingegneria sociale: cercare di convincere l’utente bersaglio a compiere un’azione (cliccare su un link, scaricare un allegato) facendo leva su un problema da risolvere con una certa urgenza. Nel testo infatti si minaccia la chiusura definitiva dell’account AIFA a quegli utenti che, entro 4 ore, non avranno “aggiornato” l’account.

Corpo email. Fonte: https://www.cert-pa.it/

Il link reindirizza ad una pagina ospitata su weebly.com, un sito che permette agli utenti di costruire gratuitamente il proprio sito web. La pagina contiene un form il cui scopo è chiarissimo: sottrarre all’utente gli accessi al proprio account AIFA.

Il form per il furto dati. Fonte: https://www.cert-pa.it/

Alcuni consigli:

è importante diffidare sempre di email che richiedono l’inserimento in form oppure la scrittura in risposta di dati riservati, sopratutto password;
è importante diffidare di email che, creando un clima di allarme e gravità, richiedono di scaricare allegati o fare click su link. E’ un tentativo di ridurre l’attenzione della vittima e trarla in inganno;
nel caso specifico, Weebly è una piattaforma che viene ripetutamente utilizzata per attacchi di questo tipo, dato che consente di creare gratuitamente e molto velocemente landing page truffaldine. In generale quindi sconsigliamo di inserire dati sensibili in qualsiasi pagina web ospitata su questo dominio.

Il Cert-PA sollecita anche a segnalare a Weebly le pagine di phishing individuate. L’indirizzo per le segnalazioni di questo tipo è https://www.weebly.com/it/spam

1[1]

Città criptate: attacco ransomware coordinato obbliga allo shut down dei sistemi informatici del governo della Louisiana

Lo denunciamo ormai da qualche tempo e la questione viene ribadita da svariati eventi, dei quali potete trovare traccia in alcuni articoli di questo blog: gli attacchi contro istituzioni governative e sanitarie o contro infrastrutture critiche sono in costante crescita.

L’ultimo episodio, in ordine di tempo, risale giusto a ieri: il governo della Louisiana è stato colpito da un attacco ransomware coordinato su larga scala, che ha costretto il Governo a mettere offline i server di molte agenzie di Stato, compreso il sito del Governo, i sistemi email e le applicazioni interne, al fine di mitigare e impedire la diffusione del ransomware.

L’attacco è avvenuto Lunedì scorso ed è stato seguito da una sequenza di shut down che ha riguardato larga parte delle agenzie di stato, compreso l’Ufficio del Governatore, la Motorizzazione, il Dipartimento di Salute, il Dipartimento dei servizi ai bambini e alla famiglia, il Dipartimento dei Trasporti e Sviluppo e altri.
Il governatore della Louisiana John Bel Edwards ha annunciato l’incidente con una serie di tweet, affermando di aver attivato immediatamente il team di cyber sicurezza nazionale per rispondere all’attacco e che lo shutdown dei sistemi è stato deciso dallo stato nell’ambito della risposta all’attacco, quindi non è stato conseguente all’attacco stesso.

“Oggi abbiamo attivato il team di cyber sicurezza statale” ha scritto Edward “in risposta ad un tentativo di attacco ransomware che ha riguardato alcuni server dello Stato. L’ Office of The Technology Services ha identificato una cyber minaccia che ha affetto alcuni, anche se non tutti, server. L’interruzione del servizio è dovuta all’aggressiva risposta dell’OTS volta a impedire ulteriori infezioni sui server statali e non al tentativo di attacco ransomware”

Edward ha fatto anche sapere che non vi sono, per adesso, segnali di perdita di dati e che lo Stato ha deciso di non pagare il riscatto. Il ripristino di tutti i servizi richiederà però parecchi giorni. Il portavoce del segretario di Stato Tayler Brey ha anche fatto sapere che, anche se il sito web del suo ufficio è stato offline brevemente, il conteggio del voto di sabato (nel quale Bel Edwards è stato rieletto a governatore) non è stato influenzato.

La pronta risposta dello Stato si deve al fatto che lo Stato della Louisiana aveva già subito durissimi attacchi a Luglio, tanto da decidere la dichiarazione dello stato di emergenza nazionale in seguito all’ondata di attacchi ransomware che ha bersagliato i distretti scolastici del paese. Vittime i distretti scolastici di Morehouse (23 Luglio), Sabine (21 Luglio), Monroe City (8 Luglio) e Ouachita, tutti colpiti da ransomware che hanno danneggiato i sistemi computer e telefonici.

Per approfondire >> Ransomware & città criptate: cosa sta accadendo negli Stati Uniti?

Ancora Ryuk
Alcuni ricercatori di sicurezza, ma anche una fonte molto vicina alle figure politiche principali della Lousiana, confermano che il ransomware usato in questo attacco coordinato è la vecchia conoscenza Ryuk, che pare essere stato eletto come il ransomware preferito dai cyber attaccanti per portare attacchi contro istituzioni e enti negli Stati Uniti. Il riscatto richiesto solitamente è di 300.000 ad attacco, ma in alcuni casi sono stati richiesti milioni di dollari: non si conosce attualmente, l’entità del riscatto che gli attaccanti hanno richiesto allo Stato della Louisiana.

blog+s-mart[1]

Nuovi attacchi via Posta Certificata PEC

In questi giorni stiamo assistendo a due nuovi attacchi informatici che vengono ancora veicolati attraverso la Posta Certificata PEC. I malware in questione sono una nuova versione di FTCODE e una nuova versione di sLoad.

FTCODE per Android
Di questa campagna, attualmente in corso, abbiamo parlato ieri qui. La novità rispetto alle campagne precedenti è che i cyber attaccanti si sono dotati di un sistema che garantisce loro di compromettere anche i dispositivi mobile Android. In dettaglio, se l’utente legge l’email e clicca sui link in essa contenuti da un dispositivo Android, si avvia automaticamente l’installazione di un file .APK denominato PostaElettronicaCertificata.apk. Questo malware, ancora in analisi, permetterà all’attaccante di leggere SMS, chiamate e contatti della rubrica. Ha anche funzionalità di keylogging, la capacità di inviare SMS dal dispositivo infetto e di ricevere istruzioni dal server C&C per svolgere ulteriori attività dannose.

Indicatori di compromissione
Per le specifiche clicca qui >>> .txt

Il malware sLoad
Il CERT-PA ha rilevato inoltre una campagna di distribuzione di sLoad, un altro malware inviato tramite Posta Certificata PEC. L’attaccante invia una mail che si riferisce ad una falsa fattura, con oggetto un ipotetico “Invio documentazione BCR XXX”, in cui XXX è una sequenza numerica.

Fonte: https://www.cert-pa.it/

Allegato alla mail è presente un archivio .ZIP che ha all’interno un finto PDF e un file .WSF che, una volta eseguito, fa partire la catena di infezione.
Il malware installato è sLoad, che permette all’attaccante di creare un accesso remoto alla macchina della vittima ma, al momento, non si conoscono le intenzioni degli attaccanti. Una vecchia versione di sLoad era stata utilizzata per rubare le credenziali salvate su alcuni browser come Chrome o quelli della famiglia di Internet Explorer.

logHD1

YOTTA WEB - Via Don F. Cabrio 14/D - 13900 Biella (BI)

P.IVA 02552590024 - C.F. SNTSVR77S27A859C - REA BI 194613

Copyright 2017 © YOTTA WEB All Rights Reserved

Privacy Policy