01+28129[1]

PMI: nel 2020 diventano fondamentali la sicurezza dei dispositivi e la formazione dei dipendenti

Il 2020 si preannuncia come un anno difficile sotto il profilo della sicurezza informatica: già si prevede un aumento dei ransomware e dei malware in generale per mirare ai dispositivi mobile. Da questo punto di vista non bisogna farsi ingannare dalle notizie che girano sulla stampa, dove si parla quasi esclusivamente di attacchi eclatanti contro grandi aziende. In realtà sono proprio le piccole e medie imprese quelle più esposte a questa tipologia di attacchi e la situazione si farà più urgente dato il dilagare dell’uso dei dispositivi mobile nelle aziende.

Una recente ricerca del Ponemon Insitute rende chiaro il problema, rivelando come il 66% delle PMI a livello globale ha subito un qualche tipo di attacco informatico nell’ultimo anno.

Formazione e messa in sicurezza dei dispositivi mobile dei dipendenti diventano quindi punti centrali nella programmazione della gestione delle risorse aziendali (i dati confermano infatti che, molto spesso, è il fattore umano – un dipendente che fa il clic sbagliato sulla email compromessa, a facilitare gli attacchi informatici). E’ la diffusione dello “smart working” che porta nuovi rischi alle PMI.

Sono sempre di più infatti, le PMI che scelgono di consentire ai propri dipendenti di lavorare da casa o in spazi di co-working, con dispositivi propri. Una ricerca IDC conferma la tendenza: il 60% delle PMI nel mondo adotterà nel corso di questo anno sistemi di supporto per professionisti in smart working. Di pari passo si cercherà di garantire l’uso di dispositivi BYOD (Bring Your Own Device – intendendo l’uso, da parte dei dipendenti, di dispositivi personali anche in ambito lavorativo), aprendo la strada alla necessità di garantire l’accesso remoto e sicuro ai sistemi aziendali. I vantaggi sono innegabili, ma parliamo di strumenti che sono anche “armi a doppio taglio”, che espongono a maggiori rischi sia i dati che le infrastrutture aziendali.

Ecco quali sono i fattori che rendono importante formazione del dipendente e protezione del dispositivo mobile: saper riconoscere un tentativo di phishing o un allegato compromesso trasmesso via email rende il dipendente la prima linea di difesa aziendale. Se a questa consapevolezza aggiungiamo dispositivi mobile solidamente protetti, la sicurezza informatica aziendale può registrare un miglioramento significativo. Qualche esempio: notebook dotati di funzionalità riconoscimento biometrico o di memorizzazione di credenziali su hardware rendono più difficili il furto di credenziali e, di conseguenza, l’accesso ai sistemi. Software di gestione da remoto dei dispositivi mobile consentono all’admin di gestire da remoto la sicurezza dei dispositivi e dei dati aziendali in esso presenti.

Ecco perchè qui a s-mart abbiamo deciso di creare la Divisione Mobile, garantendo strumenti di protezione dei dispositivi mobile aziendali e BYOD.

01+28129[1]

Il malware TrickBot usa una nuova tecnica per bypasare i Controlli Account Utente su Windows 10

Il famigerato trojan TrickBot ha implementato una nuova tecnica per bypassare il Controllo Account Utente (UAC) su Windows 10, così da eseguirsi con privilegi di amministrazione senza che l’utente visualizzi alcun alert UAC.

L’UAC è un meccanismo di sicurezza di Windows che mostra prompt di alert ogni volta che un programma viene eseguito coi privilegi di amministrazione. Quando questi prompt sono mostrati, l’utente deve indicare se desidera concedere al programma di effettuare cambiamenti nel sistema oppure, nel caso il programma sia sospetto o sconosciuto, impedirne l’esecuzione. E’ evidente come questo sia un problema per i cyber attaccanti, che al contrario, traggono vantaggio dal fatto che la vittima sia e resti totalmente ignara dell’attacco in corso.

Esistono però dei bypass UAC: questi sono presenti nei programmi legittimi di Microsoft e sono usati dal sistema operativo stesso per avviare altri programmi. Windows 10 cioè esegue senza mostrare alcun prompt UAC, quei programmi che sono ritenuti legittimi perchè firmati con certificato digitale Microsoft e salvati in location ritenute sicure (come C:\Windows\System32).

Gli attaccanti cercano quindi di far si che il sistema esegua i malware tramite programmi legittimi così da poter sfruttare il bypass UAC. Questa è l’altra faccia della medaglia: i bypass UAC sono utili, ma anche rischiosi allo stesso tempo. Non sono considerati, però, una priorità da Microsoft, quindi potrebbe volerci del tempo prima che vengano individuati e risolti.

TrickBot implementa due bypass UAC
Qualche tempo fa il ricercatore Vitali Kremez ha individuato una nuova versione del trojan che usa il bypass Fodhelper. Una volta eseguita sul target, questa versione verifica immediatamente se il sistema operativo sia Windows 7 o Windows 10. Se il sistema risulta Windows 7 TrickBot utilizza il bypass CMSTPLUA, se invece il risultato indica Windows 10 verrà adesso usato il bypass UAC Fodhelper.

Fodhelper.exe è la finestra che compare quando si digita “Gestione funzioni opzionali” su “App e Funzionalità” nella schermata di Impostazioni di Windows. Tale tecnica consente al malware “l’auto elevazione” dei privilegi, dato che Microsoft concede automaticamente i privilegi di amministrazione a quei file ritenuti affidabili. Foldhelper è ovviamente uno di questi “binari sicuri”. La versione di TrickBot individuata da Kremez utilizza proprio Fodhelper.exe per eseguirsi bypassando l’UAC tramite modifica del registro.

Questa settimana invece è stata individuata una versione di TrickBot che usa un bypass UAC differente: utilizza il programma Wsreset.exe. Questo è un programma legittimo di Windows usato per il reset della cache di Windows Store. Una volta eseguito Wsreset.exe leggerà un comando dal valore di default di
HKCU\Software\Classes\AppX82a6gwre4fdg3bt635tn5ctqjf8msdd2\Shell\open\command key
e lo eseguirà.

Quando il comando è in esecuzione non viene mostrato alcun prompt UAC e l’utente non avrà idea del fatto che quel programma è stato eseguito. E’ così che TrickBot sfrutta questo bypass UAC per lanciarsi coi privilegi di amministrazione. Sotto i comandi di registro aggiunti da TrickBot.

A questo punto TrickBot viene eseguito in background e avvia la raccolta di credenziali, cronologia dei browser, cookie ecc…

TrickBot in breve: che cosa è e cenni sull’evoluzione
TrickBot è stato individuato nel Settembre del 2016: le prime analisi lo definirono immediatamente come erede di Dyre, un trojan bancario oggi quasi completamente dismesso. Il legame tra questi due trojan risultò evidente per la similarità di codice e funzioni, ma anche a partire dal loader, denominato TrickLoader in entrambi i casi.

Luglio 2017:
nell’Estate del 2017 fu individuata perfino una versione con comportamenti da worm: il modulo di propagazione di TrickBot era stato infatti implementato con EternalBlue, l’exploit del protocollo SMB che fu alla base della virulenza impressionante dei ransomware WannaCry e Petya.

Gennaio 2018:
TrickBot viene usato come Access-As-A-Service da altri attori. Una volta che una macchina viene infettata da TrickBot e diviene un bot, il malware crea una reverse shell per altri cyber attaccanti, consentendo loro di infltrarsi nel resto della rete e scaricare altri malware.

Marzo 2018:
ennesimo update. Viene aggiunta una componente di blocco dello schermo (screenlocker), evento che ha indotto i ricercatori a prevedere per TrickBot anche un futuro come ransomware, laddove non dovesse arrivare a termine con successo l’esfiltrazione delle informazioni bancarie dalla macchina target.

Gennaio 2019:
TrickBot inizia a fare coppia fissa coi ransomware. Vengono individuate diverse campagne di diffusione del ransomware Ryuk, nelle quali l’accesso ai sistemi è garantito dalle funzionalità di backdoor di TrickBot.

00[1]

Sistemi macOS: uno su dieci è infettato col trojan Shlayer

venerdì 24 gennaio 2020
Sistemi macOS: uno su dieci è infettato col trojan Shlayer

Indubbiamente i sistemi operativi Mac sono meno soggetti a cyber attacchi, anche se da tempo, di pari passo con la maggior presenza di SO Mac nel mondo, la situazione sta cambiando… in negativo. Vi sono stati vari casi di malware pensati appositamente per macOS; nel Febbraio 2019 fu individuato CookieMiner un malware per rubare ed esfiltrare i web cookie relativi ai servizi online, insieme a password, messaggi di testo e credenziali vari. Colpiva solo dispositivi Mac. La backdoor EmPyre è una vecchia conoscenza invece, usata per controllo da remoto e persistenza: anche in questo caso il target erano i SO Mac. Vi sono molti altri esempi di malware pensati ad hoc per macOS, ma parliamo comunque di malware la cui diffusione è stata limitata. Non è un caso che sono ancora tantissimi gli utenti che ritengono il MAC sostanzialmente inattaccabile e inattaccato.

Il fatto è che la realtà è cambiata: fino a pochi anni fa gli utenti dei sistemi operativi Mac si contavano sulle dita di una mano (rispetto alla diffusione di massa di Windows). La scarsa diffusione dei Mac rendeva nei fatti poco utile e appetibile per i cyber attaccanti prodigarsi in sforzi per programmare e diffondere malware per questi sistemi operativi. Adesso che il Mac ha raggiunto una platea molto ampia di utenti, l’attenzione dei cyber attaccanti si è di nuovo destata. E la conferma si è avuta con la diffusione raggiunta dal trojan Shlayer, individuato da alcuni vendor di sicurezza sul 10% – 12% dei dispositivi Mac che utilizzano le loro soluzioni. Parliamo di 32.000 campioni del malware e di 143 server di comando e controllo ad essi collegato.

Qualche dettaglio tecnico
Shlayer è un veicolatore di adware, programmi che diffondono annunci illeciti, intercettano e raccolgono le richieste dai browser, modificano i risultati delle ricerche online per diffondere ulteriormente messaggi pubblicitari: tutte operazioni che impattano negativamente sulle performance del sistema operativo e.. sulla pazienza dell’utente.

Shlayer, però, non mostra direttamente gli annunci: l’infezione avviene infatti in due fasi. Nella prima viene installato Shlayer, nella seconda Shlayer avvia l’installazione di diversi tipi di adware.

Come infetta i macOS
Gli autori del malware hanno creato un sistema di diffusione molto intelligente: il malware è presente in siti per il download di torrent o di software gratuiti, ma anche su Wikipedia. La quasi totalità delle infezioni avviene infatti tramite download inconsapevole da parte dell’utente. In alcuni casi viene perfino offerto come strumento di monetizzazione di siti web, in alcune piattaforme di partner program: e la cosa ha successo, tantochè sono oltre 1000 i siti che, in partnership con gli autori, distribuiscono Shlayer per ricevere un compenso per ogni installazione avvenuta tramite il loro sito web.

Uno dei metodi più usati fino ad adesso dal sistema di affiliazione di Shlayer è quello di mostrare ad utenti che ricercano episodi di serie TV o partite di calcio, alcune landing page che mostrano alert indicando all’utente la necessità dell’aggiornamento di Flash Player per procedere alla visualizzazione. E’ da queste pagine che l’utente scarica il malware: per ogni utente che compie questa azione, i gestori delle pagine ricevono un compenso.

Un altro metodo molto diffuso è è quello di mostrare link delle landing page corrotte nelle descrizioni di video su Youtube o nelle pagine di Wikipedia. Sotto un esempio di landing page per il download di Shlayer

00[1]

Report rivela che Avast vende i dati degli utenti a terze parti

mercoledì 29 gennaio 2020
Report rivela che Avast vende i dati degli utenti a terze parti

Appena un mese fa Firefox rimuoveva dal portale degli add-on le estensioni di Avast Online Security, AVG Online Security, Avast SafePrice e AVG SafePrice dopo che il report del ricercatore Vladimir Palant (creatore di AdBlock Plus) aveva scoperto come queste raccogliessero molti più dati sugli utenti di quanti ne servissero realmente per funzionare. Tali estensioni mostravano lo stesso comportamento su Chrome, in aperta violazione delle policy privacy anche del browser targato Google: anche in questo caso Google, pur in ritardo rispetto a Mozilla, aveva proceduto alla rimozione delle app incriminate dal Google Store.

Il report è disponibile qui >> Avast Online Security and Avast Secure Browser are spying on you.

Nonostante il precedente, un nuovo report rivela che dalle parti di Avast non hanno imparato nulla dalla lezione: al contrario, si è registrata una netta accelerazione nella raccolta dei dati degli utenti. La notizia si deve ad una inchiesta congiunta da parte di Motherboard e PCMag, che svela come Avast esegua una minuziosa e dettagliatissima raccolta di tutte le attività che gli utenti compiono online tramite i suoi software e servizi antivirus gratuiti, per poi rivendere questi dati, tramite una sussidiaria, a terze parti. La sussidiaria in oggetto si chiama Jumpshot ed è stato proprio mettendo le mani su un documento riservato inviato dalla stessa ad un cliente che le redazioni delle due testate hanno avviato l’inchiesta.

Avast, contattata dalle redazioni, ha spiegato di aver cessato l’invio alla propria sussidiaria dei dati raccolti tramite le estensioni browser sopra citate. Tuttavia, quando si installa la prima volta un antivirus targato Avast, l’utente visualizza una richiesta di autorizzazione alla raccolta di informazioni.

Il testo dice espressamente “Se ci dai il consenso, invieremo alla nostra sussidiaria Jumpshot Inc. una serie di dati de-identificati derivati dalla tua cronologia di navigazione allo scopo di consentire a Jumpshot di analizzare i trend del mercato e altre indicazioni di valore. I dati sono del tutto de-identificati e aggregati e non possono essere usati per identificarti personalmente. Jumpshot potrebbe condividere questi dati aggregati con i suoi clienti”.

Jumpshot inserisce questi dati come parte integrante della propria offerta prodotti. Ad esempio, tramite il suo “All Clicks Feed” un’azienda può avere accesso al tuo comportamento in Internet o a qualsiasi clic che puoi aver fatto su una particolare gamma di domini. Tra i dati che Avast mette a disposizione di Jumpshot ci sono le coordinate GPS di Google Maps, le pagine di Linkedin visitate dagli utenti, i video di Youtube, i contenuti dei siti web visitati e perfino le ricerche e contenuti sui siti pornografici: tutti dati accompagnati da dettagli molto precisi, perfino sul momento esatto della giornata con tanto di marca temporale.

Un esempio di record ottenuto tramite Avast è:
Device ID: abc123x Date: 2019/12/01 Hour Minute Second: 12:03:05 Domain: Amazon.com Product: Apple iPad Pro 10.5 – 2017 Model – 256GB, Rose Gold Behavior: Add to Cart.

Tra le società che hanno accesso ai dati venduti da Jumpshot troviamo nomi del calibro di Yelp, IBM, Microsoft, Google, Unilever e TripAdvisor. Per il settore finanziario invece, Jumpshot offre un prodotto specifico: l’accesso, in termini di attività ovviamente, dei più importanti 10.000 domini del settore, per individuare tendenze e raccogliere informazioni utili per elaborare previsioni di mercato.

La giustificazione che Avast ha fornito a Motherboard e PCmag è che i dati sono completamente anonimizzati e privi delle cosidette publicly identifiable information (PII), ma sono molteplici gli studi e le indagini che, nel corso degli anni, hanno dimostrati come sia possibile de-anonimizzare un dato tramite l’ingegneria inversa. Un esempio: nel 2006 il New York Times identificò una persona alla quale era stato assegnato un numero di ricerca casuale tra 20 milioni di record di ricerca che AOL aveva rilasciato al pubblico. Il caso si applica alla raccolta dati di Avast:

“Uno dei dataset appartenenti a Jumpshot ottenuto da Motherboard e PCMag mostra un timestamp precisissimo, fino al millisecondo, su ogni URL visitato. Una azienda potrebbe semplicemente consultare la banca dati dei propri clienti per individuare l’utente che ha visitato quel sito, quindi seguirlo attraverso altri siti nei dati Jumpshot.” ha commentato Joseph Cox di Vice.

Che cosa dicono gli utenti di Avast?
Avast ha spiegato che sta implementando una procedura di “esplicito opt-out” così da consentire agli utenti di sospendere la condivisione dei dati con Jumpshot.

“Gli utenti hanno sempre la possibilità di non condividere le informazioni con Jumpshot. Da luglio 2019 abbiamo già iniziato ad implementare una scelta di opt-in per tutti i nuovi download dei nostri antivirus, e stiamo ora chiedendo ai nostri esistenti utenti gratuiti di fare una scelta esplicita, un processo che sarà completato a febbraio 2020” ha dichiarato Avast.

E va anche detto che un utente può, effettivamente negare il consenso o rimandare la decisione ad un momento successivo. Gli utenti di Avast contattati da Motherboard e PCMag nell’ambito della inchiesta congiunta hanno tutti però confermato di non essere a conoscenza delle modalità né delle tipologie di dati raccolti, sollevando seri dubbi su quanto un eventuale consenso prestato fosse realmente informato.

1+28129[1]

Il ransomware Ryuk fa coppia col trojan Trickbot per accedere alle reti infette

Ryuk è sempre stato considerato un ransomware “mirato”: la sua modalità di attacco ha sempre previsto un preciso obiettivo, sul quale tentare l’accesso tramite i servizi di Desktop Remoto o altri metodi diretti (furto di credenziali). Ottenuto l’accesso, si concentra su server e dati di alto profilo, così da poter estorcere come riscatto la somma più alta possibile.

Ruyk è conosciuto proprio per queste caratteristiche: ha un alto impatto sulle reti che infetta, richiede elevatissimi riscatti ed ha avuto un grandissimo “successo”, se teniamo di conto che i report fissano a circa 3.7 milioni di dollari il guadagno di questo malware. E’ recentissimo (qualche settimana fa) l’uso di Ryuk Ransomware per attaccare la distribuzione dei cartacei di grandissime firme del giornalismo, come il Wall Street Journal, il New York Times e il Los Angeles Times.

Nei giorni scorsi, da parte dei ricercatori di FireEye e CrowdStrike sono state condotte ulteriori
analisi su questo temibile ransomware e sono state riscontrate importanti novità. I ricercatori hanno spiegato come, in più casi, gli autori di Ryuk abbiano usato anche il trojan Trickbot per ottenere l’accesso ad una rete infetta. Una volta che questi bot hanno infettato un computer infatti, creano una reverse shell e la restituiscono ad altri cyber attaccanti, come quelli che gestiscono Ryuk, così da permettere loro di infiltrarsi manualmente nel resto della rete e installare i propri payload.

Per approfondire >> In diffusione una nuova versione del famigerato trojan bancario Trickbot

Secondo i ricercatori di FireEye, che hanno chiamato questo tipo di accessi TEMP.MixMaster, gli operatori di TrickBot stanno affittando il proprio servizio ad un numero (fortunatamente limitato) di cybercriminali che lo usano per ottenere l’accesso alla rete dove TrickBot è installato. Stiamo parlando quindi di uno dei primi casi di access-as-service, ovvero la possibilità per un cyber criminale di affittare da altri attaccanti uno strumento per ottenere l’accesso ad un sistema o una rete per poter quindi distribuire un proprio malware.

TrickBot per Ryuk
TrickBot viene comunemente distribuito tramite gigantesche campagne di email di spam contenenti allegati con macro che installano il malware sul pc. Da CrowdStrike fanno addirittura sapere che TrickBot può installare anche un malware diverso, una nostra vecchia conoscenza: Emotet. Queste campagne di spam sono mirate esclusivamente alle aziende e sono approntate in maniera tale da sembrare fatture, bonifici, documenti importanti provenienti da istituti bancari ecc… così da convincere il destinatario dell’importanza dell’email per indurlo ad aprire l’allegato.

Una email di spam di questa campagna

Una volta che è stato installato Trickbot, viene creata la reverse shell che consentirà ad altri attaccanti di ottenere l’accesso da remoto al computer infetto: il passo successivo è l’installazione di Ryuk nella rete. Nella maggior parte dei casi, per questa operazione viene scaricato il toolkit Empire: questo tool di exploit per PowerShell consente ad un attaccante di distribuire velocemente un payload in una rete, evadendo al contempo ogni individuazione da parte dei software antivirus. In questo caso Empire viene usato per sottrarre credenziali su altri computer nella rete e quindi installare il ransomware Ryuk per colpire laddove sono contenuti i dati di maggior valore. Una volta installato, Ryuk procede alla criptazione dei file, modificando l’estensione originaria dei file in .RYK: la nota di riscatto è un file di testo chiamato RyukReadMe.txt.

La nota di riscatto del ransomware Ryuk

Va specificato che l’uso di Trickbot per i cyber criminali “proprietari del ransomware Ryuk non è esclusivo: Ryuk viene diffuso anche tramite altri servizi aperti come quelli di Desktop Remoto. TrickBot è solo una possibilità aggiuntiva.

a[1]

Le mille facce delle truffe sulla rete – la BUSINESS EMAIL COMPROMISE

’ accaduto ad un funzionario di Confindustria e potrebbe accadere a noi. Una mail all’apparenza normalissima, dispone un normalissimo trasferimento di denaro su un conto corrente; il destinatario riceve ed esegue la disposizione, salvo poi scoprire che era una truffa ed essere licenziato. E’ accaduto anche ad una squadra di serie A, che ha pagato una rata per il trasferimento di un calciatore: peccato che quei soldi siano scomparsi, “intercettati” da un cyber truffatore.

Che cosa è la BEC?
La Business Email Compromise è uno dei sistemi di truffa più comunemente utilizzato non solo per ottenere velocemente pagamenti di somme, ma anche per veicolare malware di ogni tipo – tra cui i temibili ransomware – con cui colpire aziende piccole o grandi, organizzazioni di ogni dimensione e pubbliche amministrazioni.

E’ nota anche come “truffa del CEO” e consiste nell’invio di una falsa email proveniente dall’account email di una figura apicale dell’azienda stessa (l’AD e il CEO appunto). Nella mail si richiede al manager/impiegato ignaro di fare un bonifico urgente verso un determinato destinatario: nel mare di mail e comunicazioni che vengono ogni giorno ricevute e con i ritmi frenetici che il lavoro spesso impone, è umanamente normale l’errore del singolo che, per meccanicità dell’azione o distrazione, esegue istruzioni in maniera meccanica, proprio come lo farebbe il computer che sta utilizzando in quel momento.

La Business Email Compromise (BEC) è purtroppo anche uno strumento che porta i maggiori successi per i truffatori della rete: solo negli Stati Uniti nel periodo 2013 – 2016 sono stati registrate oltre 40.000 truffe portate a termine con danni di oltre cinque miliardi di dollari. Possiamo invece solo immaginare quanti siano stati i casi non portati alla luce del sole per la vergogna di dover denunciare una truffa oppure perché comportante la perdita di somme irrisorie. Le BEC sono regolarmente denunciate in oltre cento paesi e non certo nei più poveri del mondo.

E’ stato stimato che ogni giorno almeno 400 aziende sono vittime di attacchi tramite BEC e, nella maggior parte dei casi, sono ovviamente presi di mira addetti dello staff finanziario. A differenza dei classici sistemi di attacco nei quali alla mail viene allegato un malware, con le BEC viene clonato al meglio, se non alla perfezione, il mittente: ciò rende tali email perfettamente credibili non solo per ottenere pagamenti ma anche, ad esempio, per estorcere informazioni riservate o dati sensibili. Vittime preferite sono le aziende che si occupano di import/export, ma anche singoli utenti che acquistano in rete: il trasferimento di denaro viene sempre deviato in maniera tale da garantire l’impunità al truffatore, tenendo conto delle regole bancarie vigenti nel paese in cui arrivano i soldi e scoraggiando le vittime ad intraprendere cause decisamente onerose (magari verso giurisdizioni offshore).

Le modalità della BEC
Le modalità per perpetrare queste truffe sono le più classiche: si va dal phishing al furto delle credenziali, fino a veri e propri attacchi o all’acquisto dei dati presso hacker professionisti. Facile poi copiare carta intestata, firme dei responsabili, stile della corrispondenza e ruoli aziendali, che peraltro spesso sono pubblicati sui siti web aziendali.

Per ottenere questi dati, un attaccante può anche accedere a terminali poco protetti e fare riferimento a precedenti comunicazioni, numeri di ordini, dati trovati sui social; in quanti, oggi, usano il loro WhatsApp personale sul computer con cui lavorano?

Come proteggersi?
Usare cautela può sembrare il classico consiglio inutile, ma resta quello più efficace. Usare password sicure e controllare scrupolosamente i mittenti sono le misure basilari, di primo livello potremmo dire: fare attenzione ai dati inseriti sui social e alle foto profilo è lo step subito successivo (i dati e le foto sottratti dai social potrebbero essere sfruttati per rendere più credibili le email truffaldine). In estrema sintesi è bene ricordare che è sempre il fattore umano che fa la differenza. La macchina si limita ad eseguire pedissequamente ordini e non ha capacità di discernimento.

La tecnologia offre comunque valido aiuto: l’uso della Posta Elettronica certificata (per quanto sia, ad oggi, un sistema solo italiano) anche per le comunicazioni intern e/o l’uso di sistemi di criptazione (almeno per i messaggi che devono uscire dalla rete aziendale) potrebbero essere validi strumenti di protezione.

1[1]

La nuova campagna ransomware GandCrab cripta i dati, ma ruba anche le informazioni sensibili

I cyber criminali dietro GandCrab hanno aggiunto il malware per il furto di informazioni Vidar nel processo di distribuzione del ransomware: l’intento è chiaramente quello di aumentare i profitti rubando informazioni sensibili (da riutilizzare/rivendere) prima di avviare la criptazione dei file del computer. 
I ricercatori hanno scoperto questa novità seguendo le tracce di una campagna di malvertising rivolta a utenti di tracker torrent e di siti per il video streaming: hanno così scoperto che l’exploit kit Fallout è stato usato per diffondere un nuovo infostealer chiamato Vidar, usato a sua volta come downloader per GandCrab. 

Fonte originale: malwarebytes.com

Usando un dominio pubblicitario truffaldino, i cyber criminali geolocalizzano i visitatori dei siti compromessi e li reindirizzano verso l’exploit kit. 
Fallout è si è distinto come il più attivo distributore di Vidar, che altro non è che un malware per l’esfiltrazione e il furto di dati sensibili (nel dettaglio per rubare password e moduli dai browser web) disponibile in vendita a circa 700 dollari. Vidar può essere configurato per sottrarre informazioni specifiche, come numeri della carta di credito o le credenziali salvate in altre app. La variante in analisi si concentra evidentemente sul furto di dettagli da una quantità impressionante di diversi portafogli di criptovalute.

I portafogli di criptovaluta target. Fonte: malwarebytes.com

Una volta avviato, Vidar ricerca il tipo di dati per il quale è stato configurato in quella particolare attivazione e li invia, in formato archivio .zip, al proprio server di comando e controllo. E’ perfino dotato di una interfaccia che rende molto semplice, per gli attaccanti, il monitoraggio delle vittime, la distribuzione delle istruzioni al malware e la verifica dei dati raccolti da ogni singolo host infetto. 
Quindi entra in gioco GandCrab Vidar funziona anche come dropper per altri malware e, in questo specifico caso, il secondo payload distribuito è il ransomware GandCrab. Dopo pochi minuti dopo l’infezione iniziale con Vidar, sul sistema infetto inizia la criptazione dei file contenuti, quindi lo sfondo del desktop viene sostituito per mostrare la nota di riscatto di GandCrab v.5.04.

La v.5.04 è l’ultima messa in distribuzione delle varie versioni di GandCrab e non è, attualmente, risolvibile se non pagando il riscatto o ottenendo in qualche maniera la chiave di decriptazione dei cyber attaccanti stessi. 
N.B: ricordiamo che sono risolvibili le versioni 1, 4 e 5 (fino alla 5.02) del ransomware GandCrab. 
Conclusioni Usare un infostealer prima dell’infezione di un ransomware è un grande vantaggio per gli attaccanti: garantisce loro un pò di soldi (rivendendo o sfruttando le informazioni rubate) anche nel caso in cui la vittima non paghi il riscatto. 
Consigliamo caldamente quindi a chi dovesse subire un’infezione con GandCrab V.5.04 di non limitarsi a eliminare il ransomware dal pc, ma di modificare anche le credenziali di accesso a tutti i servizi e app che hanno in uso. 

1[1]

In corso una campagna di diffusione del trojan bancario Emotet: sfrutta una nuova tecnica per ingannare gli utenti

Sono ormai molteplici i ricercatori di sicurezza e i major vendor che considerano Emotet la minaccia principale del 2018, per evidenti "meriti sul campo". Minaccia che col 2019 potrebbe manifestarsi con ancora più forza. 
A partire da Novembre, è in corso una vasta campagna di spam per distribuire questo trojan bancario: centinaia di migliaia sono gli utenti infetti in America Latina, Europa e altre parti del mondo. Vediamo quindi nel dettaglio il funzionamento di questa campagna.

Per approfondire >> 
L'evoluzione di Emotet: in 4 anni si evolve da trojan a complesso distributore di minacce
Il misterioso e (quasi) invisibile quadratino nero Negli ultimi anni i cyber criminali si sono approfittati molteplici volte della suite di Microsoft Office per distribuire ogni tipo di malware, sfruttando sia le vulnerabilità del software stesso che le macro incorporate nei file MS. In questa specifica campagna invece viene sfruttato un downloader incorporato in un file Office: una tecnica leggermente diversa dalla solita macro da abilitare, ma che può creare difficoltà agli utenti meno esperti nel riconoscimento della minaccia.
L'attacco inizia con l'arrivo nella inbox dell'account email della vittima di un messaggio di posta elettronica: in questo caso le email sono di vario tipo, senza alcuna caratteristica peculiare. Queste email si limitano semplicemente a tentare di far credere all'utente che il file MSOffice allegato sia importante (una fattura, un documento importante da leggere e firmare ecc...), così da indurlo ad aprire il documento. 

Una tipica email della campagna di distribuzione di Emotet

Fin qui, nulla di nuovo: se l'utente decide di scaricare l'allegato email e di aprirlo, riceverà subito la richiesta di abilitare le macro. In questo caso abilitare la macro sembra necessario perchè il documento è stato creato con Office 365: in realtà ingannare l'utente e fargli abilitare la macro è un passaggio irrinunciabile per il cyber criminale, perchè gli consente di far eseguire le funzioni incorporate nel file. 

Le novità iniziano qui: la macro in oggetto, se analizzata in dettaglio, è estremamente leggera e, almeno a primo sguardo, non sembra pensata, come succede quasi sempre, per connettersi ad un sito web dove è ospitato del contenuto dannoso. Il codice della macro è pensato per la sola funzione di leggere il testo da un oggetto. E di quale oggetto parliamo? 
L'oggetto c'è, ben nascosto, incorporato in maniera quasi impercettibile nella pagina. Riprendendo la foto precedente si può notare, in alto a sinistra nella pagina, un piccolissimo quadratino nero.

Espandendo il piccolo quadratino nero, ne visualizzeremo il contenuto. 

Questa casella di testo contiene un comando "cmd" che apre uno script PowerShell che tenterà la connessione a 5 diversi siti per scaricare il payload che, in questo caso, è una variante offuscata di Emotet. 
Inizia l'infezione Una volta che il payload è stato scaricato, viene immediatamente seguito: la prima operazione compiuta è l'ottenimento della persistenza sul sistema. Completato questo stadio, Emotet segnala la situazione al proprio server C&C. In alcuni casi i ricercatori hanno notato che, conclusa questa fase iniziale, possono verificarsi nel tempo ulteriori download: parliamo del download e installazione di un ulteriori moduli di attacco per Emotet, payload secondarie per ulteriori azione dannose sul sistema infetto, altri malware. 
I moduli aggiuntivi I vari moduli aggiuntivi forniscono ad Emotet ulteriori capacità di attacco che possono compromettere il dispositivo utente, rubare dati sensibili e credenziali, propagarsi nella rete, accogliere informazioni sensibili ecc..
Conclusione Questa tecnica di infezione non è affatto nuova: l'unica novità è nel modo con cui avviene l'esecuzione di Emotet, nascosto in maniera subdola nel file Word. La consapevolezza dell'esistenza di questo tipo di tecniche di infezione è sicuramente utile, per mettere in guardia gli utenti e mantenere il giusto livello di attenzione (inutile ribadirlo, forse, ma è sconsigliabile abilitare macro contenute in documenti provenienti da fonti sconosciute). La presenza di una solida soluzione antivirus con protezione multi-livello, costantemente aggiornata, è un'altra necessità per proteggersi da questi tipi di attacchi

1+28129[1]

Una Botnet di 20.000 siti WordPress infettava altri siti WordPress

Una Botnet di 20.000 siti WordPress infettava altri siti WordPress

Usavano una botnet di oltre 20.000 siti WordPress per attaccare e infettare altri siti WordPress. Una volta compromessi nuovi siti, questi venivano aggiunti alla botnet e usati anch’essi per attaccare altri obiettivi secondo i comandi inviati dagli attaccanti. 
I 20.000 siti WordPress costituivano una botnet finalizzata al brute-forcing delle credenziali di login di siti WordPress in Internet: i dati parlano di circa 5 milioni di tentativi di autenticazione provenienti da questa botnet. Gli attacchi di brute-force sono diretti contro l’implementazione XML-RPC di WordPress e tentano infinite combinazioni fino ad individuare un account sul quale tali credenziali sono valide. XML-RPC è un’implementazione molto utile per alcuni utenti, poichè permette di postare contenuti da remoto su siti WordPress usando WordPress stesso o altre API: si trova nella directory principale di installazione di WordPres, nel dettaglio nel file xmlrpc.php. 
Il vero problema di XML-RPC è che, di default, non prevede alcuna limitazione all’ammontare i richieste API che gli vengono indirizzate: ciò significa, concretamente, che un attaccante può tentare e ritentare diversi nomi utenti e password senza alcuna limitazione e senza che questo comporti nessun tipo di alert per l’utente. L’utente vittima può individuare questi tentativi di accesso solo verificando i log. 
Come funziona questo attacco?Gli attaccanti utilizzano ben 4 server di comando e controllo (C&C) che inviano comandi ad una botnet di oltre 20.000 siti WordPress attraverso un server proxy locato sul servizio russo Best-Proxies.ru. Gli attaccanti hanno usato oltre 14.000 server proxy offerti dal servizio in questione, proprio allo scopo di anonimizzare la rete dei server C&C.

Una volta che i siti WordPress infetti ricevono i comandi, viene avviato il brute-force attack per forzare le interfacce XML-RPC bersaglio e tentare l’acquisizione delle credenziali di login. L’attacco è stato individuato proprio a causa dell’impressionante quantità di tentativi di login falliti provenienti da client che si spacciavano per client iPhone e Android WordPress. Ulteriori analisi dei siti compromessi hanno permesso di individuare gli script usati per il brute-force.  Questi script accettano input POST dai server C&C, che comunicano appunto quali domini colpire e quali elenchi di parole usare per l’attacco a dizionario. 

Nel caso l’elenco di parole scaricato non fosse sufficiente, lo script può accettare un URL dal quale recuperare nuove liste di parole nel caso quelle precedentemente inviate non fossero state sufficienti per ottenere l’accesso al sito target.

E’ da questo ultimo script che i ricercatori sono risaliti all’indirizzo IP di uno dei server C&C: una volta ottenuto l’accesso hanno potuto vedere i vari comandi che il server poteva inviare e il numero di siti compromessi che costituivano la botnet. 
Come difendersi da questo attacco?Il punto centrale è organizzarsi affinché l’attacco di brute-force non abbia successo: è sufficiente quindi dotarsi di un plugin capace di stabilire una soglia massima di tentativi, oltre la quale viene chiusa ogni sessione di login. 

1+28129[1]

Il Trojan bancario DanaBot sta bersagliando l’Italia

Il Trojan bancario DanaBot sta bersagliando l’Italia

Gli autori del trojan bancario DanaBot hanno aggiornato il malware con nuove funzioni che gli consentono di raccogliere indirizzi email e inviare spam direttamente dalla casella di posta della vittima. 
L’ultima versione trovata in diffusione raggiunge questo scopo iniettando codice Javascript nelle pagine di specifici servizi email web-based. Tra i target ci sono tutti i servizi di posta elettronica basati su Roundcube, Horde e Openx-Xchange. Ciò che è importante specificare è che gli autori di DanaBot hanno scelto l’Europa, come obiettivo, diffondendo il trojan quasi esclusivamente in Italia, Germania, Austria.
Le analisi dei ricercatori di sicurezza hanno rivelato anche che uno degli script usati da danaBot per il web-injection può inviare messaggi dannosi dal proprietario dell’account, come risposta alle email presenti nella Posta in Arrivo. 

Questa tattica viene utilizzata su qualsiasi servizio webmail basato su Open-XChange e aiuta l’attacco in due maniere: garantendo legittimità all’email grazie alla fiducia stabilita tra mittente e destinatario e aumentando la possibilità che il ricevente disabiliti le protezioni antispam e apra l’allegato dannoso. Un altro script in dotazione a DanaBot raccoglie gli indirizzi email presenti negli account sui servizi webmail bersaglio.
Attacco alla Posta Elettronica CertificataStando ai ricercatori, gli attaccanti si concentrano sugli indirizzi con la sottostringa “pec”, che sta per “Posta Elettronica Certificata”, un sistema di equiparazione legale della corrispondenza digitale con servizio postale convenzionale: è in uso non sono in Italia, ma anche in Svizzera e Hong Kong. 
DanaBot ha un nuovo alleato: GootKitAnalizzando uno script VBS dannoso individuato nel server C&C di DanaBot, i ricercatori hanno scoperto che questo è diretto a un modulo downloader per un altro malware, chiamato GootKit. E’ la prima volta, fanno sapere i ricercatori, che DanaBot distribuisce anche un secondo malware. Ciò ha stupito non poco i ricercatori: di DanaBot infatti si è sempre pensato fosse gestito da un singolo gruppo isolato. L’introduzione però di GootKit, descritto dai ricercatori stessi come uno strumento privato (ovvero non in vendita ne né dark né nel deep web) indica nuove collaborazioni e un cambio di comportamento notevole. GootKit è ora stato scovato in diffusione anche con un altro malware, Emotet, cosa che indica una diversificazione del business illegale. Le connessioni tra GootKit e DanaBot sono confermate anche dall’uso dello stesso registrar (Todaynic.com, Inc) per i propri nomi dominio e dello stesso server (dnspod.com). 

logHD1

YOTTA WEB - Via Don F. Cabrio 14/D - 13900 Biella (BI)

P.IVA 02552590024 - C.F. SNTSVR77S27A859C - REA BI 194613

Copyright 2017 © YOTTA WEB All Rights Reserved

Privacy Policy