1+28129[1]

Ancora attacchi via PEC: massiva campagna di phishing mira ad aziende e liberi professionisti italiani

Ancora alert da parte del CERT-PA riguardante cyber attacchi mirati contro utenti italiani. E’ stata rilevata una vera e propria ondata di email di phishing indirizzata a indirizzi di posta PEC afferenti a strutture pubbliche, private o a soggetti iscritti a ordini professionali. Le email provengono da account PEC precedentemente compromessi. La campagna è ANCORA IN CORSO.

Le email fanno riferimento a false fatture con firma digitale: il formato è .p7m, solitamente usato da professionisti e funzionari della Pubblica Amministrazione che hanno la necessità di inviare progetti o documenti di testo autenticati. Tale formato permette infatti di accertare l’identità di chi lo utilizza e assicura l’integrità del documento: è collegato all’uso della firma digitale. L’uso di questo formato, del canale PEC e il testo copiato in forma esatta da una comunicazione reale (emessa da Sogei nel Sistema di Interscambio) rendono questa truffa molto molto insidiosa.

L’oggetto delle email è del tipo “Invio File “, l’allegato dal nome tipo “ITYYYYYYYYYY_1bxpz.XML.p7m” è solo menzionato ma non è presente: una delle caratteristiche principali infatti di tale campagna è quella di non veicolare allegati dannosi. L’utente che riceve tale comunicazione potrà ritenere l’assenza di allegato come una banale dimenticanza del mittente: in realtà è solo un elemento che ribadisce e specifica che siamo di fronte ad un attacco di phishing mirato alla raccolta di informazioni.

L’altro elemento che rende chiaro e netto che ci si trova di fronte ad una campagna di phishing è il fatto che, nel testo, si fa riferimento ad un “nuovo indirizzo da utilizzare per inviare le prossime fatture al Sistema di Interscambio”, indirizzo che, guarda caso coincide sempre col mittente della casella compromessa sotto il controllo dell’attaccante.

Ecco l’email di phishing:

Clicca sull’immagine per ingrandire. Fonte: https://www.cert-pa.it/

Il nome del mittente che viene mostrato corrisponde all’indirizzo PEC di un soggetto appartenente ad un ordine professionale e coincide con l’indirizzo del destinatario. Il mittente effettivo è la casella PEC di una società italiana. Sono 500 le caselle PEC compromesse usate per rinviare circa 265.000 email di phishing al giorno, almeno nell’ultima settimana.

Nell’aggiornamento di questa mattina, il CERT-PA ha fatto sapere di aver individuato anche, nel corpo email, un richiamo ad una risorsa remota: in dettaglio è un tracker che si abilita appena l’email viene aperta e che serve all’attaccante a monitorare l’andamento della campagna.

Che cosa fare?
Il metodo migliore per mettersi al riparo da questo attacco è NON RISPONDERE all’email, qualora si dovessero ricevere comunicazioni simili. In generale è consigliabile non rispondere ad indirizzi email non verificati o sconosciuti che invitano a modificare l’indirizzo email per future comunicazioni al Sistema di Interscambio.

In breve – che cosa è il phishing:
Il phishing è una attività fraudolenta pensata per convincere con l’inganno le vittime a rivelare informazioni personali e/o confidenziali. Queste informazioni comprendono, di solito, i dettagli degli account bancari, numeri di carte di credito, indirizzi, numeri di telefono e così via. Ci sono varie modalità tramite le quali un cyber-criminale può lanciare un attacco di phishing contro una vittima designata: i vettorI più utilizzatI sono appunto caselle email compromesse.

1[1]

Grave falla in WhatsApp: aggiornate prima possibile!

E’ stata individuata una falla di sicurezza nella popolare applicazione WhatsApp che potrebbe mettere seriamente a rischio la sicurezza dei dispositivi di utenti che utilizzano e visualizzano immagini in formato .GIF.

A rivelare la falla un utente di GitHub (noto sito di scambio e discussione di esperti di sicurezza e IT), chiamato Awakened, che ha prontamente provveduto ad informare Facebook, proprietario appunto di WhatsApp: la denuncia della falla è avvenuta in Agosto e Facebook ha già provveduto alla patch per risolverla. Per mettersi in sicurezza basta quindi aggiornare WhatsApp all’ultima versione

La falla in questione è stata ribattezzata “double free” e può consentire ad un attaccante di accedere allo smartphone e rubare informazioni, dati personali, password e codici, spiare chiamate e conversazioni sms e sui social, rubare email e perfino svuotare eventuali wallet Bitcoin.

Lo schema di diffusione è piuttosto basilare: si diffonde un messaggio con allegata la GIF compromessa, il cui testo serve ad attirare l’attenzione e convincere gli utenti ad aprire la GIF .

La GIF colpevole
La falla viene sfruttata tramite un exploit kit contenuto in una immagine: per exploit kit si intende un codice capace di sfruttare una vulnerabilità per violare un sistema. In questo caso quindi WhatsApp è solo un vettore: è la GIF, o meglio il codice contenuto al suo interno che viola il sistema sfruttando la famosissima app come tramite. L’exploit sfrutta una vulnerabilità nella libreria immagini “libpl_droidsonroids_gif.so” per ottenere l’accesso al sistema da remoto.

E’ una tipologia di attacco detta di “corruzione della memoria”: il programma per gestire le immagini va in crash e tenta quindi di eseguire una porzione di codice che gli consenta di riavviare la propria attività. Solo che, al posto del codice legittimo che lo farebbe “ripartire”, trova il codice dannoso ben nascosto nell’immagine. Qui avviene l’infezione.

Come risolvere il problema
Come detto, Facebook, proprietario di WhatsApp ha già risolto il problema rilasciando una apposita patch di sicurezza che va a “tappare la falla”. Per mettersi al sicuro da questo bug quindi occorre che gli utenti Android che usano versioni del SO mobile 8.1 e 9.0 scarichino l’ultima versione disponibile di WhatsApp, o almeno una versione a partire dalla 2.19.244.

Per altre versioni del sistema operativo Android non corrono alcun rischio, perchè la GIF compromessa manda in crash l’applicazione e non ne permette l’apertura.

a[1]

Dopo le città criptate, ecco gli ospedali criptati: il ransomware Ryuk scatenato in USA e Australia

Qualche settimana fa avevamo parlato, in ben due approfondimenti, del problema delle “città criptate”: in breve era in corso e, incredibilmente lo è tutt’ora, una vera e propria offensiva ransomware (certe volte perfino con attacchi coordinati contro più città o strutture) contro svariate tipologie di istituzioni pubbliche e private statunitensi. Il problema si è fatto così grave da aver costretto, ad esempio, lo Stato della Lousiana a dichiarare emergenza nazionale a Luglio, ma anche l’FBI a diramare svariate informative e alert. Addirittura, poco meno di due settimane fa, il Senato degli Stati Uniti ha approvato una legge ad hoc per arginare il problema dei dilaganti attacchi ransomware. L’ondata di attacchi non solo non si è fermata, ma sta mettendo in ginocchio decine di strutture ospedaliere e sanitarie.

Un breve riepilogo
– La strage texana di Agosto >> leqqi qui
– Ransomware & città criptate: cosa sta accadendo negli Stati Uniti? >> leggi qui

Cosa sta accadendo?
L’ondata di attacchi ransomware ancora in corso indica una nuova strategia dei cyber criminali: colpire non l’utente privato, dal quale sicuramente si può ricavare una modesta somma di denaro, ma “mirare alto” verso istituzioni pubbliche, ospedali e scuole (principalmente) per potere chiedere riscatti esorbitanti. E che la scelta sia stata intelligente (per i cyber criminali purtroppo) è dimostrato dai dati:

L’ammontare medio dei riscatti richiesti dopo un attacco ransomware, infatti, è quasi raddoppiato nel secondo trimestre di quest’anno: i dati indicano che gran parte della responsabilità risiede nei ransomware Ryuk e Sodinokibi.

Per approfondire >> I ransomware Ryuk e Sodinokibi fanno lievitare le richieste di riscatto

E’ ovvio che colpire organizzazioni e aziende rende molto più probabile riuscire ad ottenere il pagamento di riscatti molto alti rispetto a colpire utenti home. E il motivo non è soltanto il fatto che le aziende e le istituzioni pubbliche necessitano più urgentemente di rientrare in possesso dei propri file, ma anche che lo stallo operativo conseguente ad un attacco di questo tipo comporta ulteriori costi economici e reputazionali e, in caso delle PA, problemi amministrativi e perfino di ordine pubblico.

Gli ultimi, gravissimi, episodi
Facciamo una breve carrellata degli ultimi attacchi, che vedono ancora protagonista il famigerato ransomware Ryuk (tutt’ora non risolvibile, con casi rarissimi di possibilità di recupero dei dati. Solo una solida soluzione di backup ben collaudata permette il recupero dei file in caso di infezione).

1. Ospedale in Alabama paga il riscatto dopo attacco da ransomware.
Tre ospedali del gruppo DCH in Alabama hanno deciso di pagare il riscatto per il ransomware Ruyk al fine di ricevere dai cyber attaccanti il tool per la decriptazione e ottenere di nuovo il controllo dei propri sistemi e file. Il gruppo DCH infatti include il DCH Regional Medical Center, il Northport Medical Center e il Fayette Medical Center in West Alabama’s Tuscaloosa, Northport e Fayette, tutti colpiti il primo Ottobre da un attacco coordinato del ransomware Ryuk: tutte e tre le strutture sono state costrette a sospendere le attività ambulatoriali e posticipare le operazioni chirurgiche a causa dell’impossibilità di accedere e recuperare i dati dei pazienti. E’ andato in blocco anche l’intero sistema di pagamento.

Nella nota rilasciata lo scorso fine settimana, il gruppo ha fatto sapere di essere riuscito a recuperare una parte dei dati e a ripristinare i sistemi dai backup, ma di aver pagato il riscatto per ottenere il tool al fine di ripristinare l’accesso ad altri sistemi criptati, ma comunque necessari per l’attività quotidiana delle strutture. Nella nota non è stata rivelata l’entità del riscatto, ma DCH conferma di essere riuscita a decriptare molteplici server criptati.

2. Ospedale in California chiude i battenti dopo attacco ransomware.
La notizia precedente segue di pochi giorni l’annuncio ufficiale, addirittura, della chiusura del Wood Ranch Medical, un ospedale californiano colpito agli inizi di Agosto da Ruyk: la struttura ha annunciato che chiuderà i propri uffici il 17 Dicembre in conseguenza della massiva perdita dei dati dei pazienti. “Sfortunatamente i danni ai nostri sistemi computerizzati sono stati tali da renderci impossibile il recupero dei dati e, poiché anche i nostri backup sono stati criptati, non possiamo ricostruire i nostri record medici” fanno sapere nella nota ufficiale.

3. Sette ospedali e diverse strutture sanitarie australiane sotto attacco
Sette dei più importanti ospedali e molteplici strutture sanitarie nella regione Victoria in Australia sono stati obbligati ad arrestare completamente alcuni dei propri sistemi o a passare alle operazioni manuali a causa di una virulenta infezione ransomware che ha colpito i loro sistemi IT. Oltre alle normali operazioni medico / sanitarie è stata completamente bloccata anche la gestione finanziaria.

Lo shut down di alcuni sistemi e l’isolamento degli stessi si è reso necessario per bloccare l’infezione: tra questi sono stati arrestati alcuni sistemi contenenti i dati dei pazienti, le prenotazioni e i sistemi di gestione. Solo poche strutture sono riuscite a mantenere inalterate le operazioni, passando alla modalità manuale: carta e penna. Anche in questo caso, le infezioni sono dovute al ransomware Ryuk.

Gli U.S.A approvano legislazione ad hoc in risposta ai dilaganti attacchi ransomware
Meno di due settimane fa il Senato degli Stati Uniti ha approvato il ‘DHS Cyber Hunt and Incident Response Teams Act’, una legge per autorizzare il Dipartimento di Sicurezza Nazionale (DHS) ad organizzare e mantenere team di cyber “cacciatori” e esperti di sicurezza IT per individuare i cyber attaccanti e aiutare sia gli enti pubblici che i privati a difendersi dai ransomware e da altri tipi di cyber attacchi. Il team di risposta fornirà consiglio e supporto tecnico in dettaglio su come migliorare le proprie difese e rafforzare i sistemi IT contro ransomware e altre tipologie di malware molto diffuse. I due team saranno finanziati a livello federale.

1[1]

Ransomware FTCode: arrivano nuovi dettagli e non sono affatto buone notizie

Abbiamo parlato qualche giorno fa di FTCode, un ransomware che viene diffuso via PEC e che è in diffusione soltanto in Italia. Dato che continuiamo a ricevere segnalazioni di infezione e richieste di supporto per la risoluzione della criptazione dei file, torniamo sull’argomento, purtroppo con notizie pessime.

Un ransomware obsoleto
La prima notizia è che FTCode è un ransomware molto molto vecchio, individuato addirittura nel lontano 2013 e mai risolto, anche perchè per circa 6 anni è come scomparso nel nulla. I nostri tecnici, così come quelli di Bleeping Computer che hanno provveduto ad analisi del codice del ransomware, confermano che l’algoritmo di criptazione non mostra alcuna falla sfruttabile per produrre un tool di risoluzione che possa riportare in chiaro i file. L’analisi dei tecnici di Certego invece ha confermato che è in diffusione la stessa identica variante diffusa nel 2013, con alcune piccolissime modifiche che dimostrano che c’è un attaccante / più attaccanti che stanno aggiornando il codice. Nei giorni scorsi infatti è stata notata l’aggiunta di due nuove richieste ai server di comando e controllo: una per avvisare dell’avvio della criptazione e una per il termine della routine.

Essendo poi FTCode un ransomware completamente basato su PowerShell, gode di un vantaggio: non necessita del download di nessun componente aggiuntivo per avviare la criptazione dei file presenti sul sistema bersaglio.

Nuove forme di diffusione
Nelle prime segnalazioni, le email PEC vettore imitavano comunicazioni ufficiali del Tribunale di Milano, ma ormai ne sono in diffusione molte altre versioni, per quanto lo schema rimanga ricorrente (email di spam con testo in italiano e allegato .ZIP): circolano false fatture, falsi curriculum, documenti scansionati ecc… Sotto un nuovo esempio di email vettore:

La catena di infezione
Corpo e oggetto email hanno un solo scopo: convincere l’utente ad aprire l’allegato .ZIP. All’apertura, viene mostrato un documento Word, che, ovviamente, richiede di abilitare la macro per poter visualizzare il contenuto.

Una volta abilitata, la macro lancia ed esegue alcuni comandi PowerShell che scaricano e installano il malware downloader JasperLoader, quindi si avvia la routine di criptazione.

La backdoor di FTCode
Come detto, il primo componente malware installato è JasperLoader, che scarica quindi altri malware sulla macchina infetta. JasperLoader è una backdoor, in dettaglio un Remote Access Trojan: rimane attivo nella macchina anche dopo la criptazione ed è una vera e propria porta aperta che l’attaccante può usare anche molto tempo dopo l’infezione per accedere al sistema in qualsiasi momento e diffondere altri malware.

Una volta che lo script VBS è scaricato, viene configurato per eseguirsi automaticamente attraverso una task programmata, “WindowsApllicationService”: viene addirittura creato un collegamento nella cartella Startup. Lo script PowerShell verificherà la presenza di un file specifico, ovvero C:\Users\Public\OracleKit\w00log03.tmp. Questo è un killswitch, un interruttore: se lo script lo individua sulla macchina, la routine di criptazione non verrà avviata.

Se il file non esiste sulla macchina, verrà generata la chiave di criptazione, che sarà inviata al server di comando e controllo degli attaccanti. Infine lo script eseguirà alcuni comandi per cancellare le Shadow Volume Copies, il Windows backup e l’ambiente Windows Recovery per impedire il ripristino del sistema e il recupero dei file dai backup.

Insomma, come già abbiamo scritto recentemente, ribadiamo che contro questo ransomware occorre fare molta attenzione, verificare attentamente la legittimità e veridicità di una email prima di aprirne gli allegati ed abilitarne la macro e dotarsi di un antivirus con solide funzioni anti malware e anti ransomware.

a[1]

Accesso remoto e truffatori: come funzionano le truffe a distanza

Ci sono molteplici metodi con i quali un attaccante può ottenere l’accesso al nostro computer, ma, incredibilmente, quello più semplice è di chiederlo con gentilezza. Ad un attaccante basterà convincerci a garantirgli l’accesso da remoto, ad esempio per risolvere un problema tecnico, e il gioco è fatto. Questa è una delle truffe più diffuse, cambiano solo i temi della truffa.

1. “Qui polizia, ci serve accesso al vostro sistema”
E’ una delle tipologie classiche di “truffa da accesso remoto”. Gli attaccanti si fingono agenti di Polizia, che hanno bisogno del vostro supporto per acciuffare dei cyber criminali. Di solito la vittima viene convinta spiegando che il suo computer è stato utilizzato per l’invio massivo di email truffaldine: si richiede così l’accesso al sistema (e, certe volte, perfino al conto online ) per trovare tracce e poter acciuffare i truffatori. In caso di rifiuto alla collaborazione, inizieranno minacce di eventuali sanzioni legali per intralcio alle indagini.

Se concederete l’accesso al sistema e al vostro conto, il danno è fatto: i cyber criminali avvieranno una sequenza di trasferimenti di denaro, continuando a giustificarsi affermando che ogni bonifico eseguito è parte integrante delle indagini per acciuffare i cyber criminali.

2. “Qui assistenza tecnica: il suo pc ha problemi da risolvere urgentemente”
Un giorno ricevete una telefonata: un esperto di assistenza tecnica che si presenta come dipendente di un grande vendor di software o di hardware, vi spiega che il vostro computer sta segnalando problemi importanti, la cui risoluzione è urgente. Per questo motivo il fantomatico tecnico richiede di installare un programma necessario per avviare la sessione di “assistenza tecnica” da remoto.

A questo punto gli attaccanti sono nel sistema: nel migliore dei casi fingeranno di svolgere alcune operazioni e poi vi presenteranno un conto salatissimo. Però ci sono scenari peggiori: i clienti dell’operatore telefonico inglese BT sono stati bersagliati da truffatori indiani che hanno sottratto loro addirittura dei dati dei conti bancari, provando a prelevare denaro dai loro conti. Un falso tecnico ha contattato diversi clienti BT per problemi alla connessione di banda larga e per la risoluzione di un infezione malware: truffa credibile, visto che davvero molti di questi clienti avevano recentemente sofferto tali problematiche. I falsi tecnici, tramite alcune domande, riuscivano ad ottenere i dati bancari dell’utente, oppure l’accesso alle password salvate sui browser. L’unica fortuna di questi sfortunati utenti è stata che, in alcuni casi, le banche hanno bloccato i trasferimenti di denaro dopo i primi bonifici sospetti, riducendo il danno.

3. ” Salve, il suo abbonamento è in scadenza: rinnovi!”
Altra tipologia classica di truffa: si riceve una chiamata per rinnovare l’abbonamento a un software o ad un servizio. Oppure ancora per invitarvi a scaricare l’aggiornamento di un software molto popolare, quindi potenzialmente installato sui pc di moltissimi utenti.

Queste truffe non avvengo però solo tramite telefonata alla vittima: in alcuni casi vengono inviate email truffaldine che invitano l’utente a fornire dati o a contattare personalmente un centro di assistenza. Oppure ancora via pop up. Lo scorso Aprile la Polizia Postale italiana ha denunciato numerose campagne truffaldine in corso nel quale gli utenti, spesso durante l’effettuazione di un bonifico online, visualizzavano pop up che segnalavano la presenza di malware nel sistema operativo: la schermata simulava un annuncio ufficiale di Microsoft con il classico sfondo blu e il logo Microsoft bene in vista.

Qualche consiglio per non farsi truffare
In linea generale, l’accesso remoto non va mai concesso a nessuno: i centri di assistenza nella quasi totalità dei casi risolvono i problemi consigliando all’utente le azioni da compiere via email o per telefono. Inoltre non avverrà mai che la Polizia richieda l’accesso da remoto al vostro computer per compiere delle indagini: se siete sospettati di qualche reato informatico, la Polizia verrà direttamente a casa vostra con tutti gli incartamenti legali e le autorizzazioni del caso.

Se avete contattato un servizio di assistenza o supporto e proprio non riuscite a risolvere il vostro problema via email o telefono, allora potreste prendere in considerazione la possibilità di concedere l’accesso da remoto, ma solo e soltanto nel caso in cui vi potete fidare al 100% dell’azienda al quale lo concedete e sempre se non ci sono alternative.

Se ricevete una telefonata di questo tipo, alcune buone norme sono:
non lasciatevi intimorire ne ingannare dai truffatori: dite no, non date loro alcun dato personale;
se venite avvisati di attività sospette o infezioni malware sul vostro computer, eseguite una scansione con un buon antivirus e accertatevi personalmente della veridicità della segnalazione;
cercate su un motore di ricerca come Google i numeri delle chiamate in entrata: molto probabilmente i numeri saranno già stati segnalati come truffaldini o compromessi da parte di altri utenti.

1[1]

Aggiornamento di Google Chrome rende impossibile avviare i dispositivi Mac

Sono già migliaia in questi giorni, le segnalazioni di utenti possessori di dispositivi che eseguono macOS riguardanti l’impossibilità di un corretto avvio del sistema operativo. Il caso più eclatante, rimbalzato sui media a livello globale, riguarda il blocco dei Mac Pro utilizzati ad Hollywood per il montaggio delle serie TV. Forse è stato questo macro evento ad aver tratto tutti in inganno ed ad aver fatto pensare che il problema risiedesse nel popolare software di video editing Avid Media Composer, inizialmente l’indiziato numero 1: effettivamente il problema sembrava riguardante soltanto macchine che avevano installato questo programma. In realtà, analisi successive e le segnalazioni, hanno dimostrato come il problema invece sia conseguenza di un aggiornamento del browser Google Chrome.

Sono stati i tecnici di Google stessi a confermare, dopo segnalazione di Avid, la presenza del bug: questo risiede nella nuova versione della routine di aggiornamento automatico del browser, chiamata Keystone, ed è in grado appunto di corrompere il file system rendendo impossibile l’avvio della macchina.
Il mancato avvio del sistema operativo si verifica sulle macchine che hanno disabilitata la funzionalità Software Integrity Protection (SIP): parliamo di una tecnologia Apple che garantisce la protezione dei file di sistema contro software dannosi. Alcuni programmi però, richiedono che tale funzionalità sia disabilitata per funzionare, in modo da lavorare più efficacemente con hardware esterni (tipo schede grafiche, schede audio ec…). Questo è proprio il caso di Avid Media Composer.

I sistemi riguardati dal bug
Da Google e Apple fanno sapere che questa problematica riguarda i sistemi macOS dal 10.9 al 10.14 Mojave sui quali è disabiltato il SIP.

La soluzione del problema
Google, che ha ovviamente sospeso tempestivamente la distribuzione di questo aggiornamento, ha pubblicato anche una nota per ripristinare il corretto avvio del sistema operativo macOS, avviando la modalità Recovery di Apple ed eseguendo una serie di comandi necessari al ripristino del link simbolico sulla cartella /var, rimosso erroneamente dall’installer di Chrome.

Queste le indicazioni pubblicate da Google:

– Premere immediatamente (⌘) + R all’avvio per avviare la modalità di ripristino, quindi digitare i seguenti comandi nel Terminale:

chroot /Volumes/Macintosh\ HD # “Macintosh HD” is the default
rm -rf /Library/Google/GoogleSoftwareUpdate/GoogleSoftwareUpdate.bundle
mv var var_back # var may not exist, but this is fine
ln -sh private/var var
chflags -h restricted /var
chflags -h hidden /var
xattr -sw com.apple.rootless “” /var

Questa operazione dovrebbe rimuovere l’update corrotto di Google Software Update e ripristinare le parti danneggiate del file system.

1[1]

ALERT: il ransomware FTCODE colpisce in Italia via PEC. Abbiamo già decine di segnalazioni

Ci sono pervenute molteplici segnalazioni e richieste di decriptazione riguardanti un ransomware poco conosciuto, del quale la comunità internazionale dei ricercatori IT ancora non parla probabilmente perchè la diffusione pare essere incentrata principalmente in Italia. Parliamo del ransomware FTCODE, le cui prime tracce di diffusione risalgono all’inizio di questo mese.

Le informazioni disponibili sono ancora pochissime ne, per adesso, esiste una modalità di decriptazione sicura e il cui risultato renda in chiaro il 100% dei file compromessi. Ad oggi quindi è utile parlarne dando l’allerta e invitando tutti a prestare la massima attenzione.

I canali di diffusione
FTCODE è un ransomware che bersaglia principalmente, ad ora, aziende e professionisti: viene diffuso infatti tramite canale di posta certificata PEC. Le segnalazioni che ci sono arrivate infatti legano le infezioni alla ricezione di una email PEC contenente un allegato in formato .ZIP. La tipologia più diffusa, ma potrebbero esserci altre versioni in circolazione delle quali ancora non abbiamo notizia, reca oggetti del tipo “Tribunale di Milano.Avviso XXXXXXX” dove XXXXXXX sta per una serie casuale di numeri. L’allegato presenta nomi del tipo “AvvisoXXXXXXX.zip” dove XXXXXXX sta per una serie casuale di numeri diversi da quelli contenuti nell’oggetto email.

Il contenuto dell’email, scritto in italiano, fa riferimento a presunte fatture in formato PDF che dovrebbero essere appunto contenute nell’archivio .ZIP allegato. Il corpo email è simile a:

“Buongiorno Allegata alla presente email Vi trasmettiamo copia Pdf di cortesia della fattura in oggetto. Documento privo di valenza fiscale ai sensi dell’art. 21 Dpr 633/72. L’originale e disponibile all’indirizzo telematico da Lei fornito oppure nella Sua area riservata dell’Agenzia delle Entrate”.

Il download dell’archivio e l’apertura dell’allegato infetto determinano l’avvio della routine di criptazione: i file compromessi da questo ransomware sono riconoscibili dall’estensione di criptazione aggiunta al termine della routine: .FTCODE appunto.

La nota di riscatto è in formato .HTML e si presenta così:

Vi si trovano alcune informazioni utili come:
il codice che identifica la vittima (Your personal ID)
la chiave pubblica di criptazione, associata al Personal ID (Your personal key)
il collegamento al portale collegato al ransomware (.onion, per accedervi occorre l’utilizzo del browser TOR). Nell’immagine sotto il portale, come si presenta attualmente.

Le richieste di riscatto ad ora pervenute ammontano a 0.2 – 0.3 Bitcoin, ovvero tra i 1.500 e i 2200 euro all’attuale tasso di cambio. Stiamo ricercando una soluzione per riportare in chiaro il file criptati da questo ransomware.

0[1]

ALERT: l’antivirus free per il tuo smartphone potrebbe essere un fake!

ALERT: l’antivirus free per il tuo smartphone potrebbe essere un fake!
– LUNEDÌ 16 SETTEMBRE 2019

I Quick Heal Security Labs hanno individuato molteplici false app antivirus gratuite in distribuzione sullo store ufficiale di Google, Google Play. La cosa più allarmante è che una di queste false app AV aveva già superato i 100.000 download. Queste app sono presentate come applicazioni genuine antivirus o per la rimozione di virus: tra queste Virus Cleaner, Antivirus Security ecc…

Peccato che nessuna di queste svolga realmente le funzioni per le quali sono presentate. Nel corso della nostra analisi abbiamo infatti verificato come il loro scopo principale sia in realtà mostrare annunci pubblicitari e incrementare il conteggio dei download.

La credibilità di queste app è legata al fatto che imitano le funzionalità di una vera app antivirus, senza ovviamente eseguirle davvero: ad esempio vi si trovano funzioni come “Scan device for viruses”, un sistema per ingannare l’utente della legittimità dell’AV. Dall’analisi del codice abbiamo verificato anche che nessuna di queste app è dotata di un motore antivirus o di funzionalità di scansione, fatta eccezione per un elenco predefinito di applicazioni contrassegnate come dannose o pulite. Tale elenco però è statico e non abbiamo registrato alcun aggiornamento dello stesso nel corso dell’analisi. I falsi AV mostrano poi al termine della falsa scansione, un avviso fake di rilevamento virus al solo scopo di “coprirlo” con infiniti annunci pubblicitari.

Nell’immagine sotto sono visibili alcune di queste app fake antivirus e per la rimozione dei virus.

Una piccola nota di colore, quasi imbarazzante, è che queste app individuano se stesse come applicazioni rischiose / dannose (come si vede nell’immagine sottostante)

Qualche dettaglio tecnico
Tutte le Applicazioni fake che abbiamo analizzato contengono liste di pacchetti predefiniti, come whiteList.json che altro non è che una whitelist coi nomi di vari pacchetti, e blackListPackasges.json contenente invece una blacklist di pacchetti. C’è anche un file blackListActivities.json con una blacklist di attività. E’ proprio a causa di queste liste che le applicazioni fake individuano se stesse come rischiose. La falsa scansione si basa appunto su tali liste per rendere un risultato finale di scansione.

C’è anche una lista di permissioni predefinite, usate per mostrare i rischi associati ad altre app.

L’immagine sottostante elenca tutte le false Applicazioni AV che abbiamo individuato e segnalato a Google, che ha già provveduto alla loro rimozione dal Google Play Store.

Quick Heal Total Security per Android individua con successo queste app fake come:
Android.Blacklister.A (PUP) e Android.FakeAV.E (PUP)

Qualche consiglio per evitare di installare app false:
leggi attentamente la descrizione di un applicazione prima di scaricarla;
verifica il nome dello sviluppatore dell’app e il suo sito web. Se il nome suona troppo strano o sospetto, probabilmente hai tutte le ragioni di dubitare della sua affidabilità;
scorri recensioni e il rating. Questa verifica è utile, ma tieni di conto che anche le recensioni e il rating potrebbero essere falsi;
non scaricare applicazioni da app store di terze parti;
installa sul tuo smartphone Android un antivirus le cui funzionalità e provenienza sono comprovati: ti avviseranno nel caso si provi ad installare un applicazione falsa.

1[1]

La truffa via email fa una vittima di eccellenza: rubati 37 milioni di dollari alla Toyota

Il 6 Settembre sul sito ufficiale della Toyota è comparsa una nota, questa, molto vaga ma che fa intendere a grandi linee la questione: a causa di una truffa portata avanti attraverso un account email aziendale compromesso, la Toyota ha subito il furto di 4 miliardi di Yen (circa 37 milioni di dollari).

La nota non chiarisce molto a livello tecnico, ma si può intendere che siamo in presenza di una classica truffa con la quale sono bersagliate aziende in tutto il mondo (in questo caso una filiale europea dellla Toyota): parliamo della BEC, Business Email Compromise. Alcuni ricercatori di sicurezza hanno messo in relazione l’attacco informatico subito da Toyota lo scorso Marzo, col quale gli attaccanti avevano messo le mani su molti dati aziendali e su quelli di oltre 3 milioni di clienti.

Dal caso eclatante alla realtà di tutti i giorni
Approfittiamo di questo evento particolarmente eclatante, per tratteggiare quelle che sono le caratteristiche fondamentali di questo tipo di truffa la quale, è bene ribadirlo, non colpisce solo aziende enormi e multinazionali, ma che anzi è spesso usata contro aziende medio – piccole (sicuramente meno avvezze ad affrontare tali rischi informatici).

Che le email siano vettori di svariate tipologie di truffe e infezioni malware non è una novità, anzi: gli attacchi di phishing sono all’ordine del giorno, ma le email sono anche ottimo strumento di diffusione di malware e worm di vario genere. Basta infatti un allegato o un link compromesso e un testo (prodotto secondo i criteri dell’ingegneria sociale) capace di attirare l’attenzione della vittima per convincerla ad aprire l’allegato dannoso / cliccare sul collegamento compromesso.

Da questo punto di vista i dati non mentono: il report di FireEye relativo al 2019 conferma che il phishing è ormai una delle tecniche preferite dei cyber attaccanti, sopratutto quando prendono di mira servizi popolarissimi come quelli di Microsoft, OndeDrive, Apple, PayPal, Amazon ecc… e che gli attacchi via email continuano ad aumentare costantemente di numero (e di efficacia, ahinoi).

Il report di FireEye pone tra i trend principali degli attacchi via email, l’attacco BEC e qui torniamo al nostro caso in origine, quello che riguarda la Toyota. L’attacco BEC è mirato solo ed esclusivamente alle aziende e prevede l’uso di attacchi e tecniche mirate alla singola vittima, così che i cyber attaccanti possano impersonificare alti dirigenti aziendali per disporre con l’inganno trasferimenti di denaro direttamente nelle loro tasche.

Facciamo un esempio
Esistono svariate tipologie di attacco BEC: ne esemplifichiamo uno per rendere chiaro lo schema truffaldino.

Peter lavora per una multinazionale, in dettaglio nel dipartimento finanze, il cui responsabile è il Sig. White. Un giorno Peter riceve una email urgente dal Sig.White, suo diretto superiore: nell’email, (apparentemente uguale nell’aspetto alle email aziendali ufficiali e contenente i dati reali del superiore), il Sig.White richiede i dettagli bancari dell’azienda per risolvere una questione della massima urgenza. Peter, ritenendo di intrattenere una corrispondenza email col proprio superiore, esegue la richiesta e comunica i dati richiesti. Il disastro è fatto: poco dopo una transazione di enorme valore viene eseguita dall’azienda. Non appena viene individuata tale transazione, l’azienda avvia una indagine per individuarne la responsabilità, così il Sig.White conferma di non aver mai inviato tale richiesta a Peter. Peter scopre così di aver ceduto volontariamente i dati finanziari dell’azienda ad un cyber attacante che ha impersonificato i Sig.White.

Forme meno diffuse di BEC si rivolgono all’ufficio paghe aziendale, per far modificare i dati bancari e personali di un dirigente così da trasferire la sua retribuzione su un altro conto. Oppure ancora una email apparentemente proveniente da un fornitore abituale, nella quale si comunica una variazione di IBAN, in realtà devia i pagamenti sul conto degli attaccanti.

Perché le truffe BEC sono in crescita?
Nei fatti perchè per gli attaccanti presentano notevoli vantaggi:
non contengono malware, ma si basano solo su sofisticate tecniche di ingegneria sociale. Le soluzioni antivirus quindi non individuano come compromesse o pericolose le email BEC;
superano i filtri antispam, perchè i filtri antispam stessi non riescono a distinguerle da email legittime;
sono altamente personalizzate: pre condizione necessaria affinché una BEC possa funzionare è che gli attaccanti si documentino approfonditamente sulla vittima, così da perfezionare l’impersonificazione del dirigente aziendale.

Cosa fare per individuare questo tipo di truffe?
Formare i dipendenti affinché siano a conoscenza dell’esistenza e delle caratteristiche base di questo tipo di truffa è fondamentale: presteranno maggiore attenzione all’aspetto dell’email e, qualora nutrano dubbi, effettueranno ulteriori verifiche, tra le quali, prima di tutto, una verifica diretta presso il dirigente aziendale. In caso di modifiche dell’IBAN di un fornitore, saranno spinti a effettuare una verifica telefonica, ad esempio, presso il fornitore stesso e così via.

Le truffe BEC non possono essere sconfitte da un software: in questo caso solo la consapevolezza dell’operatore e una buona dose di prudenza sono le uniche armi a disposizione delle aziende.

a[1]

Nuovo alert CERT-PA: tornano le campagne malware via PEC contro privati e professionisti

Pare non esserci pace per l’Italia, bersaglio in questo secondo semestre del 2019 di un grande numero di campagne di distribuzione malware, sopratutto banking trojan, infostealer e ransomware. Dopo l’allarme di pochi giorni fa riguardante centinaia di domini .it WordPress compromessi per diffondere il malware Gbot, il CERT-PA ha diramato ieri un nuovo alert: una vasta campagna di email di spam sta diffondendo un pericoloso malware.

Qualche dettaglio tecnico
La campagna in atto usa il canale di posta certificata PEC per diffondere il malware sLoad, contenuto in allegato entro un archivio in formato .ZIP. Lo schema è del tutto simile ad una campagna già precedentemente analizzata dal CERT-PA (che abbiamo descritto qui) e prende di mira principalmente professionisti e privati.

Fonte: https://www.cert-pa.it

L’email vettore è simile a quella pubblicata sopra e avente un oggetto e un corpo del testo che sembrano richiamare una comunicazione ufficiale dell’Agenzia delle Entrate. C’è perfino un richiamo alla legge sulla Privacy 196/2003, una diffida a divulgare il contenuti dell’email e un invito a verificare la veridicità della comunicazione direttamente presso l’Agenzia delle Entrate: parliamo di meccanismi di ingegneria sociale pensati per convincere la vittima della legittimità e veridicità della comunicazione stessa. Rispetto alle classiche email di spam poi, solitamente costellate di errori grammaticali e di sintassi, il testo è scritto in italiano corretto, fattore che può ulteriormente spingere la vittima a fidarsi dell’email appena ricevuta. Infine è da notare anche come l’email imiti perfino lo stile e i modelli di comunicazione dell’Agenzia delle Entrate. Ovviamente le comunicazioni reali dell’Agenzia differiscono sia per mittente PEC che per tipo di allegato, dato che l’Agenzia utilizza file formato .p7m, ovvero PDF con firma digitale.

L’allegato è un archivio .zip che contiene due file con lo stesso nome, ma di formati diversi: uno è un file PDF, l’altro un file .vbs.

Fonte: https://www.cert-pa.it

Se l’utente prova ad aprire il file .PDF visualizza un messaggio di errore volutamente provocato dall’attaccante, allo scopo di indurre la vittima ad aprire il secondo file, che è poi il file responsabile dell’avvio della catena di infezione.

La catena di infezione in breve:
L’apertura del file .vbs fa conseguire l’accesso ad un file .jpg su un server remoto: questo viene scaricato e salvato in locale nel percorso c:\Users\Public\Downloads. Il file si auto esegue senza interazione dell’utente e inizia l’infezione.

Il CERT-PA raccomanda di non aprire alcun allegato contenuto in email provenienti da caselle PEC di professionisti o società a vario titolo aventi in oggetto:
COMUNICAZIONE XXXXXXXXXX [ENTRATE|AGEDCXXX|REGISTRO
COMUNICAZIONI|XXXXXXX][XXXXXXXXX|XXXXXXXXX]
Un’ulteriore campagna è in corso proprio in queste ore.

sLoad: qualche info in più
sLoad è un malware che si distingue per le particolari tecniche di offuscamento del codice dannoso. Tra le prime informazioni che raccoglie subito dopo l’avvio ci sono tutte le informazioni relative alla macchina infettata (dall’architettura fino al codice UUID, un identificativo univoco universale). Subito dopo pianifica nel tempo il download del codice aggiuntivo necessario al suo funzionamento basilare e per ampliare le funzioni di cui può disporre. Tra le funzioni principali ne troviamo due:
sLoad funge da backdoor sulla macchina infetta. Può essere usato, anche a distanza di molto tempo dall’infezione, per distribuire ulteriori malware nelle macchine già colpite;
sLoad funge da keylogger, ovvero colleziona le battiture sulla tastiera e gli input che arrivano nelle macchine infette;
sLoad ha anche funzioni per il furto periodico di screenshot e di informazioni dal sistema infetto.

logHD1

YOTTA WEB - Via Don F. Cabrio 14/D - 13900 Biella (BI)

P.IVA 02552590024 - C.F. SNTSVR77S27A859C - REA BI 194613

Copyright 2017 © YOTTA WEB All Rights Reserved

Privacy Policy