1[1]

In diffusione una nuova versione del famigerato trojan bancario Trickbot

In diffusione una nuova versione del famigerato trojan bancario Trickbot

 

E' stata individuata una nuova versione, molto particolare, di TrickBot, noto trojan bancario: questa versione infatti, oltre ovviamente a prendere di mira le credenziali bancarie/finanziarie della vittima, cerca anche i dati riguardanti l'affidabilità del sistema Windows e le informazioni sulle prestazioni. Microsoft infatti esegue un RAC (Reliability Analysis Component) sui sistemi operativi Windows per fornire informazioni sull'affidabilità del sistema enumerando dettagli riguardo le installazioni software, gli aggiornamenti, gli errori del sistema operativo e delle applicazioni, nonché i problemi hardware. 
 
Per tale scopo TrickBot usa le operazioni pianificate di RACagent su base oraria e scarica tutti i dati in una cartella locale. E' possibile disabilitare l'utilità di Pianificazione, ma non si otterrà più l'indice di stabilità del sistema.
 
La diffusione di Trickbot
 
Trickbot è attualmente in diffusione tramite una campagna di phishing evidentemente finalizzata a raccogliere più informazioni possibili dai sistemi operativi infetti, catturando i dati sia dal database di affidabilità del sistema operativo sia da C: \ ProgramData \ Microsoft \ RAC \.
 
Sotto un elenco dei file che il malware solitamente esporta (dal profilo Twitter del ricercatore di sicurezza James)


Le email fake
Questa campagna diffonde Trickbot con messaggi apparentemente provenienti dalla importante e riconosciuta Lloyds Bank, per la maggior parte inviate dall'indirizzo email fake donotreply@lloydsbankdocs.com, facilmente confondibile con una email genuina della banca. I cyber attaccanti hanno fatto molti sforzi per far apparire credibili le email fake: devono infatti creare un certo senso di urgenza nella vittime e indurle ad abilitare una macro dannosa incorporata nel documento allegato alla mail stessa. 

Il codice di TrickBot è contenuto proprio nella macro dannosa la quale, se abilitata, scarica ed esegue il malware.



Il documento Word allegato all'email include perfino la carta intestata di Lloyds Bank. Oltre a ciò i cyber criminali hanno aggiunto il logo di Symantec per far sembrare che il file abbia superato una qualche verifica di sicurezza da parte della popolare soluzione antivirus.


La nota positiva...
nonostante tutti gli sforzi dei cyber criminali per camuffare la macro dannosa e rendere credibile l'email, il file in questione viene individuato da circa 30 motori antivirus su VirusTotal.
1[1]

Attacco su larga scala in Italia: colpite 500.000 caselle di posta PEC

Nuovo ransomware in diffusione: cripta l'intero hard-disk con Diskcryptor

 
Il 12 Novembre si è verificata una interruzione del servizio che aveva interessato alcuni tribunali e altri enti della Pubblica Amministrazione. Un incidente piuttosto comune, che non ha sollevato troppa attenzione. Fino a quando Roberto Baldoni, Vicedirettore Generale responsabile del settore Cyber del DIS (Dipartimento delle Informazioni per la Sicurezza) non ha tracciato un bilancio ben diverso e allarmante dell'evento. L'attacco infatti ha preso di mira in maniera diretta un fornitore dei servizi di Posta Elettronica Certificata, la famosa PEC non limitandosi a provocare il blocco e quindi il down dei sistemi, ma sottraendo perfino le credenziali di accesso a oltre 500.000 caselle di posta
 
Tra le vittime del cyber attacco si registrano soggetti "altamente sensibili"98.000 account tra quelli violati appartengono a magistrati, militari e funzionari del Comitato Interministeriale per la sicurezza della Repubblica. Parliamo, per intendersi, di un organo che comprende i Ministeri della Giustizia, degli Interni, dell'Economia e dello Sviluppo Economico, la Presidenza del consiglio dei Ministri, della Difesa. i più colpiti sono comunque stati i tribunali, che hanno dovuto interrompere le proprie attività per il down dei sistemi di comunicazione dei vari distretti della Corte d'Appello disseminati nell'intero territorio nazionale. 
 
Quali rischi?
Due fondamentalmente sono i rischi, piuttosto gravi, conseguenti a questo attacco. Il primo è ovviamente legato alla sicurezza nazionale: basti pensare a quante informazioni riservate e sensibili possono essere state riscontrate nelle caselle di posta violate. Il secondo invece è il furto di account: non è dato sapere infatti se i cyber criminali possano aver o meno usato gli account violati per inviare email impersonando pubblici ufficiali. Ultimo rischio, anche questo non da poco, è che le caselle di posta elettronica certificata che sono state violate possano essere rivendute. 
 
L'attacco...
E' stato Baldoni stesso a fornire, in conferenza stampa, ulteriori dati riguardanti l'attacco. Ha riferito ad esempio che l'attacco pare provenire dall'Estero, che ha colpito un unico fornitore di servizi Pec e che non ha provocato ulteriori perdite di dati. 3000 sono stati però i domini coinvolti. Non ha invece voluto citare l'operatore coinvolto: è emerso successivamente che potrebbe trattarsi del  centro dati Telecom di Pomezia. Stretto riserbo invece sul tipo di sistema operativo violato ne tanto meno sulle misure di sicurezza eluse/evase dai cyber criminali nel corso dell'attacco. 
 
Infrastrutture sicure?
Il vero problema dell'intera questione è che l'episodio è stato definitivo allarmante dallo stesso DIS, dato che l'attacco ha interessato infrastrutture che erano considerate sicure. Il premier Conte è intervenuto in prima persona convocando una riunione tecnica del Comitato Interministeriale per la Sicurezza della Repubblica, che ha creato un gruppo ad hoc per studiare un piano di resilienza (ovvero la capacità dei servizi pubblici e privati di ripartire dopo un cyber attacco) per il paese. L'indicazione è anche quella di dotare di specifiche misure di sicurezza la Pubblica Amministrazione e gli operatori economici di servizi essenziali.

Cambiate le password!!

Il consiglio migliore per chiunque, ad oggi, sia in possesso di un account di Posta Elettronica Certificata e l'immediato cambio della password.
 
E' stato individuato un nuovo ransomware che installa DiskCryptor sul computer infetto, quindi riavvia il sistema. Al riavvio, le vittime visualizzano una nota di riscatto personalizzata che spiega che l'hard disk è stato criptato e che, per ottenere i file di nuovo in chiaro, occorre pagare un riscatto: seguono istruzioni su come effettuare il pagamento. DiskCyrptor è un programma per la criptazione che cripta l'intero disco, quindi visualizza un prompt agli utenti chiedendo una password per il reboot. Questo prompt di inserimento password viene visualizzato prima dell'avvio di Windows, quindi l'utente deve necessariamente inserire la password per decriptare il disco e avviare il normale processo di boot del sistema. 
Individuato dal MalwareHunterteam, questo ransomware viene eseguito manualmente o richiamato tramite alcuni script, dato che richiede un argomento da passare al programma, da usare come password per DiskCryptor. Si sospetta che l'infezione sia diffusa manualmente, tramite hacking dei servizi di desktop remoto: ottenuto l'accesso al sistema tramite RDP, il ransomware viene installato manualmente. 
 

Durante il processo di installazione, viene creato un file log su C:\Users\Public\myLog.txt: qui è possibile vedere l'andamento del processo di criptazione.
 
 
Una volta che l'intero drive è stato criptato, il computer viene riavviato e l'utente vittima visualizza la nota di riscatto: qui si trovano istruzioni per il pagamento e una email di contatto mcrypt2018@iandex.com. Nella schermata viene richiesta la password per il processo di decriptazione. 
 
 
DiskCryptor è già stato usato da altri ransomware...
Non è la prima volta ch Diskcryptor viene usato con un ransomware. nel 2016 fu usato in una infezione ransomware chiamata HDDCryptor: anche in questyo caso era usata una nota di riscatto personalizzata che veniva mostrata all'utente al termine del processo di criptazione del disco. Non vi sono però legami evidenti tra l'infezione attuale e quella di HDDCryptor. 
 
Nel Novembre del 2016 avviene invece il caso più grave e notorio: 2.122 computer, appartenenti ai sistemio della San Francisco Municipal Railway vengono colpiti dal ransomware HDDCryptor. L'attacco causò lo shut down del sistema di pagamento dei biglietti e degli abbonamenti e costrinse l'azienda municipale a concedere l'uso gratuito dei trasporti cittadini per un intero fine settimana. 
 
Come stare al sicuro dai ransomware
La regola d'oro contro i ransomware è che, se di dispone di un backup sicuro dei dati, i ransomware non provocano danni: in caso di emergenza è possibile recuperare e ripristinare i dati grazie al backup.  Oltre a ciò, è molto importante assicurarsi che i servizi RDP siano correttamente chiusi: è un'ottima misura di sicurezza quella di assicurarsi che pc che eseguono servizi di desktop remoto non siano connessi direttamente ad Internet. Se è necessario eseguire il desktop remoto, l'opzione migliore è quella di dotarsi di una VPN, così i pc saranno accessibili solo a coloro che dispongono di account VPN sulla tua rete. 
 
Ulteriori suggerimenti...
 
  1. Non aprire allegati provenienti da fonti sconosciute o sospette;
  2. esegui la scansione di allegati sospetti con tool come VirusTotal;
  3. assicurati di aver aggiornato tutti i software in uso all'ultimo update: questo consiglio vale per il sistema operativo, come per tutti gli altri programmi in uso sul computer, sopratutto Java, Flash e Adobe Reader. Programmi obsoleti o non aggiornati possono contenere falle di sicurezza sfruttabili da un attaccante come porta di accesso al tuo computer;
  4. installa un antivirus solido e capace di offrire protezione multi-livello. Prediligi soluzioni antivirus che prevedano appositi tool anti ransomware;
  5. se utilizzi i servizi di desktop remoto, non connetterli mai direttamente ad Internet. Rendili invece accessibili solo tramite VPN. 
1[1]

Nuovo ransomware in diffusione: cripta l'intero hard-disk con Diskcryptor

Nuovo ransomware in diffusione: cripta l'intero hard-disk con Diskcryptor

 
 
E' stato individuato un nuovo ransomware che installa DiskCryptor sul computer infetto, quindi riavvia il sistema. Al riavvio, le vittime visualizzano una nota di riscatto personalizzata che spiega che l'hard disk è stato criptato e che, per ottenere i file di nuovo in chiaro, occorre pagare un riscatto: seguono istruzioni su come effettuare il pagamento. DiskCyrptor è un programma per la criptazione che cripta l'intero disco, quindi visualizza un prompt agli utenti chiedendo una password per il reboot. Questo prompt di inserimento password viene visualizzato prima dell'avvio di Windows, quindi l'utente deve necessariamente inserire la password per decriptare il disco e avviare il normale processo di boot del sistema. 

Individuato dal MalwareHunterteam, questo ransomware viene eseguito manualmente o richiamato tramite alcuni script, dato che richiede un argomento da passare al programma, da usare come password per DiskCryptor. Si sospetta che l'infezione sia diffusa manualmente, tramite hacking dei servizi di desktop remoto: ottenuto l'accesso al sistema tramite RDP, il ransomware viene installato manualmente. 
 

Durante il processo di installazione, viene creato un file log su C:\Users\Public\myLog.txt: qui è possibile vedere l'andamento del processo di criptazione.
 
 
Una volta che l'intero drive è stato criptato, il computer viene riavviato e l'utente vittima visualizza la nota di riscatto: qui si trovano istruzioni per il pagamento e una email di contatto mcrypt2018@iandex.com. Nella schermata viene richiesta la password per il processo di decriptazione. 
 
 
DiskCryptor è già stato usato da altri ransomware...
Non è la prima volta ch Diskcryptor viene usato con un ransomware. nel 2016 fu usato in una infezione ransomware chiamata HDDCryptor: anche in questyo caso era usata una nota di riscatto personalizzata che veniva mostrata all'utente al termine del processo di criptazione del disco. Non vi sono però legami evidenti tra l'infezione attuale e quella di HDDCryptor. 
 
Nel Novembre del 2016 avviene invece il caso più grave e notorio: 2.122 computer, appartenenti ai sistemio della San Francisco Municipal Railway vengono colpiti dal ransomware HDDCryptor. L'attacco causò lo shut down del sistema di pagamento dei biglietti e degli abbonamenti e costrinse l'azienda municipale a concedere l'uso gratuito dei trasporti cittadini per un intero fine settimana. 
 
Come stare al sicuro dai ransomware
La regola d'oro contro i ransomware è che, se di dispone di un backup sicuro dei dati, i ransomware non provocano danni: in caso di emergenza è possibile recuperare e ripristinare i dati grazie al backup.  Oltre a ciò, è molto importante assicurarsi che i servizi RDP siano correttamente chiusi: è un'ottima misura di sicurezza quella di assicurarsi che pc che eseguono servizi di desktop remoto non siano connessi direttamente ad Internet. Se è necessario eseguire il desktop remoto, l'opzione migliore è quella di dotarsi di una VPN, così i pc saranno accessibili solo a coloro che dispongono di account VPN sulla tua rete. 
 
Ulteriori suggerimenti...
 
  1. Non aprire allegati provenienti da fonti sconosciute o sospette;
  2. esegui la scansione di allegati sospetti con tool come VirusTotal;
  3. assicurati di aver aggiornato tutti i software in uso all'ultimo update: questo consiglio vale per il sistema operativo, come per tutti gli altri programmi in uso sul computer, sopratutto Java, Flash e Adobe Reader. Programmi obsoleti o non aggiornati possono contenere falle di sicurezza sfruttabili da un attaccante come porta di accesso al tuo computer;
  4. installa un antivirus solido e capace di offrire protezione multi-livello. Prediligi soluzioni antivirus che prevedano appositi tool anti ransomware;
  5. se utilizzi i servizi di desktop remoto, non connetterli mai direttamente ad Internet. Rendili invece accessibili solo tramite VPN. 
1[1]

HookADS installa malware: attenzione alle pubblicità ingannevoli sul web!

HookADS installa malware: attenzione alle pubblicità ingannevoli sul web!


 

 
E' attualmente in corso una capillare campagna di malvertising finalizzata a reindirizzare i visitatori verso siti web contenenti l'exploit kit Fallout.
 
Malvertising?
Partiamo dalle basi: la parola malvertising si compone di due "pezzi", ovvero "malicious", cioè dannoso", e "advertising" ovvero pubblicità. In breve, si intende un tipo di pubblicità ingannevole che serve in realtà a diffondere malware. Solitamente i cyber criminali infettano con malware di vario tipo pubblicità legittime e le inseriscono poi in siti web più o meno legittimi o conosciuti. Solitamente gli utenti cliccano, ingannati, sull'annuncio e vengono infettati con malware e trojan. 
 
Exploit kit?
Per exploit kit si intende invece una serie di software che servono a sfruttare vulnerabilità contenuti nei software o nel sistema operativo in uso su un dispositivo/computer al fine di ottenere l'accesso al sistema stesso o per installare malware. 
 
HookAds
Una volta che l'utente ha cliccato sulla pubblicità compromessa e attivato l'exploit kit, questo tenterà di sfruttare una serie di vulnerabilità già note di Windows per ottenere l'accesso al sistema della vittima per poi tentare di installare una serie di malware, dal trojan bancario Dana all'infostealer Nocturnal (pensato per rubare dati sensibili e credenziali), fino al ransomware GlobeImposter. 
 
HookAds è una campagna che acquista spazi pubblicitari a basso costo su reti pubblicitarie di bassa qualità, comunemente usate su siti web per adulti, per giochi online ecc... Questi annunci contengono un javascript responsabile del reindirizzamento del visitatore attraverso una serie di siti di richiamo fino a quella contenente l'exploit: l'utente non si accorgerà neppure, mentre visita la pagina dannosa, che l'exploit kit sarà attivo e tenterà silenziosamente di installare il payload dei malware. 
 
Le due campagne
Ad oggi sono state individuate ben due campagne: la prima, in corso l'8 Novembre, ha distribuito in svariate nazioni il trojan per il furto di credenziali bancarie DanaBot. L'altra invece è stata individuata il 10 Novembre e diffondeva il "rubainfo" Nocturnal e il ransomware GlobeImposter. 
 
 
Nella foto i reindirizzamenti dalla campagna HookAds.
1[1]

Siti WordPress sotto attacco: i bug in un plugin per il GDPR

Siti WordPress sotto attacco: i bug in un plugin per il GDPR

 
 
La vicenda è stata segnalata da moltissimi utenti e attraverso una serie di report sui forum ufficiali di WordPress: cyber attaccanti stanno sfruttando un bug presente in un plugin, piuttosto diffuso, per la compliance al GDPR. Il plugin in questione si chiama WP GDPR Compliance ed è un componente aggiuntivo che dovrebbe aiutare gli admin dei siti Internet a rispettare le norme che il nuovo Regolamento Europeo prevede in difesa della privacy e dei dati. Il problema è che questo plugin ha dei bug sfruttando i quali è possibile modificare le impostazioni del sito da remoto fino a prenderne il controllo. 
 
WordFence ha pubblicato un apposito report su questa problematica nel quale si specifica che le vulnerabilità sfruttate dai cyber criminali in questi giorni sono in realtà due: se sfruttate con successo concedono di creare un account amministratore o installare backdoor sui siti dove è presente il plugin in questione. 
 
Il primo exploit: creare l'account admin
 
La creazione dell'account di amministrazione avviene prima disabilitando la registrazione dell'utente quindi impostando l'utente di default nel ruolo di "subscriber". Questo accorgimento serve, in parte, anche a impedire che altri attaccanti possano creare il proprio account di amministrazione, ma anche a ridurre la probabilità che il reale amministratore del sito possa accorgersi della violazione. Insomma, l'attaccante, una volta entrato nel sito, si chiude così la porta alle spalle.
 
Diverse ore dopo la creazione del nuovo utente, l'attaccante esegue il login nel nuovo account admin e inizia l'installazione di una ulteriore backdoor. Nel caso in esame da parte di WordFence, gli attaccanti hanno caricato una robusta webshell PHP nel file wp-cache.php. L'immagine sotto è uno screenshot dell'interfaccia utente. 
 
 
Va detto che, ottenuto un tale livello di accesso al sito, nulla può impedire all'attaccante di installare ulteriori malware. 
 
Il secondo exploit: installare la backdoor
Il secondo exploit è ben più difficile da identificare. Gli attaccanti in questo caso stanno installando backdoor inserendo azioni dannose nella pianificazione WP-cron del sito bersaglio: la backdoor installata è persistente, dato che si auto-sostituisce nel caso venga rimossa. In questo caso però viene sfruttato il popolare plugin di Wordpress WooCommerce. 
 
Il plugin WP GDPR Compliance
Il plugin è stato, in un primo momento, rimosso dalle pagine ufficiali di WordPress, ma è stato in seguito ripristinato: la versione rilasciata dopo qualche giorno è una versione aggiornata (1.4.3) che risolve i bug di cui sopra. Il problema è che sono ancora oltissimi i siti che utilizzano la versione vulnerabile del plugin e anche i tempi necessair al ricambio paiono incerti. Stiamo parlando di un plugin che risulta installato in più di 100.000 siti WordPress: inutile dire quanto sia importante procedere all'aggiornamento del plugin per non trovarsi esposti alle conseguenze di questo attacco. 
 
Indicatori di compromissione
Esistono una serie di IOC (Indicatori di compromissione) la cui presenza segnala e aiuta a identificare casi simili. Eccoli:
 
- Indirizzi IP più usati nell'attacco per la creazione dell'admin
 
  • 109.234.39.250
  • 109.234.37.214
- Domini in uscita ai quali si registrano accessi
 
  • pornmam.com
- Indicatori del database
 
  • la presenza di account non autorizzati nella tabella account del tuo sito. Due esempi:
    -     t2trollherten
    -     t3trollherten
  • una voce nella tabella delle opzioni con il cui nome è (o è simile a) 2mb_autocode
1[1]

Il ransomware CommonRansom chiede di accedere all'RDP per decriptare i file

Il ransomware CommonRansom chiede di accedere all'RDP per decriptare i file



 
E' stato individuato un nuovo ransomware, chiamato CommonRansom e che si contraddistingue perchè fa alle vittime una richiesta piuttosto bizzarra. Una volta che la vittima ha pagato il riscatto infatti, il ransomware richiede alla vittima di aprire i Servizi di Desktop Remoto (RDP) sul computer infetto e diinviarne le credenziali agli attaccanti: solo così, spiegano gli attori dietro il ransomware, sarà possibile decriptare i file. 
 
Quando cripta il computer di una vittima, modifica le estensioni dei file colpiti aggiungendovi l'estensione [old@nuke.africa].CommonRansom. Crea inoltre una nota di riscatto  in formato testuale, DECRYPTING.txt. 
 
Il riscatto richiesto ammonta, per adesso, a 0.1 Bitcoin: sotto è possibile vedere la nota di riscatto.
 
 
Come si vede, l'attaccante richiede l'invio, tramite email di:
  • ID della vittima, indicato nella nota di riscatto stessa: è un codice che contraddistingue ogni singola macchina colpita dal ransomware;
  • la porta RDP dell'indirizzo IP della macchina infetta;
  • username e password che garantiscano i privilegi di amministrazione. 
Non inviare assolutamente questi dati!
E' probabilmente la prima volta che un ransomware richiede questo tipo di dati e di accesso: acconsentire a questa richiesta è estremamente pericoloso. Garantire l'accesso ai servizi di Desktop Remoto, perfino con privilegi di amministrazione, permetterà all'attaccante di operare arbitrariamente sul tuo pc: non potrai controllare lo schermo e non avrai la possibilità di sapere quali operazioni vengano effettivamente eseguite sulla macchina. 
 
Qualche consiglio...
in generale, ecco alcuni consigli per rendere più sicuro il tuo pc...
 
Apri il Pannello di Controllo di Quick Heal--> seleziona Internet e Reti --> Protezione Firewall
--> Impostazioni avanzate --> Configura --> Regole di traffico.
 
1. Per bloccare tutte le connessioni RDP:
  • scorri verso il basso e fai doppio clic su “Consenti Desktop Remoto”;
  • fai clic su Avanti fino a raggiungere l’ultima finestra, quindi clic su Seleziona Azione;
  • cambia l’azione da “Consenti” a “Nega” quindi fai clic su Fine. 
2. Per aggiungere eccezioni per sistemi affidabili:
  • nella finestra “Regole di traffico”, fai clic su Aggiungi per aggiungere una eccezione;
  • assegna un nome alla regola (ad esempio RDP white-list) e fai clic su Avanti per due volte;
  • nella finestra “Local TCP/UDP Port” inserisci la porta RDP nell’opzione “Specifica porta” e fai clic su Avanti. Di default, la porta RDP è la 3389;
  • in “Remote IP Address” inserisci l’indirizzo IP del sistema dal quale vuoi accettare connessioni RDP;
  • puoi anche inserire un gruppo di indirizzi IP per consentire connessioni RDP da più sistemi del range specificato. (ad esempio da 192.168.0.1 a 192.168.0.255);
  • seleziona “Avanti” per la finestra “Remote TCP/UDP port”;
  • seleziona una azione da consentire come  “Consenti” nell’ultima finestra, quindi fai clic su Fine;
  • ora salva le modifiche, facendo clic su OK e selezionando “Salva modifiche”. 
Nota: assicurati che la regola RDP White-list sia superiore della regola “Consenti Desktop Remoto” nella lista di regole del Firewall. 
 
Altre pratiche di sicurezza che possono aiutarti a impedire attacchi di brute force dell’RDP
  • usa password sicure e diverse da tutte quelle che hai sugli altri account. Password prevedibili come Admin, admin@123, user, 123456, password ecc.. possono essere facilmente individuate durante un attacco di brute force fin dai primi tentativi;
  • configura una protezione tramite password per i tuoi software di sicurezza. Questo ti consentirà di impedire l’accesso al sistema da parte di utenti non autorizzati intenzionati a disinstallare o disabilitare l’antivirus. Gli utenti Quick Heal possono attivare questa caratteristica da “Impostazioni--> Protezione password";
  • disabilita l’account Amministratore e usa un nome account differente per le attività amministrative. La maggior parte dei tentativi di brute-force sono compiuti su un account Amministratore visto che spesso è presente di default. Rimuovi inoltre ogni altro utente non utilizzato o utente ospite, nel caso siano presenti nel sistema;
  • cambia la porta RDP di default. La maggior parte degli attacchi infatti si concentra sulla porta 3389 perché quella di default in quasi tutti i sistemi;
  • attiva l’Autenticazione a livello di rete nelle tue impostazioni RDP, disponibile dal SO Windows Vista e successivi. 
    Rif: https://technet.microsoft.com/en-us/library/cc732713.aspx
  • configura l’ “Account Lockout Policies” che chiude automaticamente l’account dopo un numero specificato di tentativi falliti. Questa caratteristica è disponibile in Windows. 
    Rif: https://technet.microsoft.com/en-us/library/dd277400.aspx
1[1]

Exploit offuscato per l'Equation editor di Office diffonde keylogger

Exploit offuscato per l'Equation editor di Office diffonde keylogger


 

 
Lo diciamo da qualche tempo: i cyber attacchi tramite email di phishing sono in crescita costante. Tra le varie tecniche di phishing, l'uso di documenti con macro dannose integrate è ormai una consuetudine. Qualche giorno fa i Quick Heal Security Labs hanno individuato una email di phishing che usa un exploit per l'editor per le equazioni di Microsoft Office che diffonde il keylogger Hawkeye. I keylogger sono software dannosi pensati per sottrarre dati sensibili. 
 
Il keylogger Hawkeye e l'exploit
Il keylogger attualmente in distribuzione è la versione 8 di Hawkeye: questa versione sfrutta la vulnerabilità  CVE-2017-11882 del Microsoft Office Equation Editor per infiltrarsi nella macchina bersaglio. Questo exploit usa nuove tecniche per evadere i controlli dei prodotti antivirus. Ad esempio, compila il proprio codice mentre viene eseguito e caricato nella memoria il payload, senza salvarlo in locale. 
 
Flusso di esecuzione:
 
 
Analisi dell'exploit
La vulnerabilità di "buffer overflow" è presente nel record "FONT" nell'oggetto nativo di equazione. Per sfruttare questa vulnerabilità, l'oggetto OLE deve richiamare l'equazione e, per farlo, necessita di includere nel file OLE il flusso dell'equazione nativa. Ciò può essere fatto in due modi:
  1. usando il flusso "Equation Native";
  2. usando il CLSID del flusso "Equation Native".
In questo caso caso viene usata la seconda via. Come si vede in foto, viene usato il flusso "OLE10native" per elaborare il flusso dell'oggetto OLE verso l'"Equation Native". 
 
 
Eseguito l'OLE, l'editor di equazioni viene richiamato e avvia l'analisi del record. L'exploit della vulnerabilità comporterà l'esecuzione dello shellcode e, infine, il download del payload dannoso dal server C&C degli attaccanti. 
 
 
Lo shellcode si connette all'URL per scaricare il malware usando l'API “URLDownloadToFileW” presente nella dll Urlmon, quindi esegue varie attività dannose. In questo caso viene scaricato il keylogger Hawkeye, che esegue attività di keylogging e invia idati usando server SMTP. 
 
Analisi del payload:
Hawkeye si esegue in 3 step: per prima cosa inietta il payload in RegAsm.exe, quindi cattura ogni battitura sulla tastiera e le credenziali salvate nel browser, i dati di Outlook così come i file manager FTP quindi li invia usando il protocollo SMTP. RegAsm.exe è una utilità legittima di Microsoft .NET framework: questo passaggio fa si che quello che sembra essere appunto una utilità legittima in realtà è il keylogger Hawkeye. Inutile dire quanto questo complichi la capacità di individuazione da parte dei prodotti di sicurezza. Infine, per garantirsi l'esecuzione dopo il reboot, il malware crea una apposito comando di esecuzione. 
 
Analisi di Hawkeye:
questo keylogger in realtà esegue varie operazioni e funzionalità dannose. Eccone alcune:
  • cattura le battiture sulla tastiera e gli appunti;
  • copia l'FTP e le credenziali email;
  • per l'anti-debugging usa SuppressIldasm e ConfuserEx 1.0;
  • per disabilitare gli antivirus e vari tool di sicurezza aggiunge una chiave di debugger e un valore rundll32 nell'Image File Execution per quelle applicazioni;
  • usa tool legittimi come MailPassview o BrowserPassView per rubare le password; 
  • usa tecniche anti-sandobox come la funzionalità Thread.sleep() per posticipare l'esecuzione;
  • usa una criptazione base64 per inviare dati al server C&C;
  • disabilita il task manager, il prompt dei comandi e il registro;
  • interrompe cmd.exe e wscript.exe...
Il funzionamento del keylogger Hawkeye:
Hawkeye verifica il tipo di utente, quindi raccoglie informazioni come il nome dell'host, i dettagli del BIOS, dei prodotti antivirus e firewall quindi le invia a SUNDA[@]doctorework[.]com. Crea quindi una connessione SMTP per inviare i dati rubati al server
us2[.]outbound[.]mailhostbox[.]com: come detto, questi dati vengono inviati in forma criptata. 
 
 
Il sito web pomf[.]cat  viene invece usato per raccogliere, tramite HTTP POST request, gli screenshot raccolti sul sistema della vittima. Porta con sé una lista di programmi antivirus o simili, come Windows Defender, Wireshark ecc...in maniera tale da impedirne l'esecuzione aggiungendo una specifica chiave di registro
 
“HKLM\\SOFTWARE\\MICROSOFT\\WINDOWS NT\\CurrentVersion\\Image File Execution Options\\Program_name.exe\\” 
 
L'individuazione da parte di Quick Heal
Quick Heal, grazie alla protezione multi livello, individua e blocca questa minaccia.
  • Individuazione del file PDF: PDF.Downloader.31377
  • Individuazione di Hawkeye: Trojan.Ransom, Pwstool.Netpass e Trojan.IGENERIC
  •  
 
1+28129[1]

L'exploit kit Magnitude sceglie il ransomware GandCrab

 

L'exploit kit Magnitude sceglie il ransomware GandCrab

 
 

Di GandCrab ne abbiamo già diffusamente parlato (rimandiamo qui alla relativa pagina nella nostra Galleria dei Ransomware): si sta diffondendo in lungo e in largo attraverso campagne di spam talvolta massive talvolta più mirate, schemi di ingegneria sociale e campagne di exploit kit. Qualche giorno fa alcuni ricercatori hanno scoperto che Magnitude EK, exploit kit notoriamente "fedele" alla distribuzione di Magniber (ritenuto il successo di Cerber, assunse appunto il posto di Cerber nella distribuzione di Magnitude EK. Leggi qui), è passato alla distribuzione di GanCrab, abbandonando appunto il ransomware Magniber. Magniber infatti è stato sconfitto pochissimi giorni dopo l'avvio della distribuzione, con la pubblicazione di un tool gratuito per la decriptazione.  
 
La distribuzione di Magnitude EK rimane principalmente localizzata in Corea, ma i ricercatori sono riusciti a infettare una versione inglese di Windows senza troppi intoppi, segno che Magnitude EK può colpire senza alcun problema in larghe parti del mondo. 
 
Magnitude utilizza ora anche una tecnica fileless (cioè senza salvare alcun file nella memoria locale della macchina bersaglio) per caricare il payload del ransomware: una tecnica di elusione dei controlli antivirus ormai piuttosto diffusa ed efficace, dato che rende molto più difficile l'identificazione della minaccia, ma una novità per quanto riguarda questo exploit kit.

Il Payload

Il payload è codificato usando VBScript.Encode/JScript.Encode incorporato in uno script, che viene successivamente decriptato in memoria ed eseguito. Una volta che il payload è stato "iniettato" in explorer.exe tenta immediatamente il riavvio della macchina.

Nella foto la libreria .DLL di GandCrab
Riavviata la macchina il ransomware si esegue e cripta i file modificandone l'estensione originale in .CRAB.  


Terminata l'infezione, viene mostrata la nota di riscatto. 


Le vulnerabilità attaccate
L'exploit kit Magnitude attacca due vulnerabilità specifiche, la CVE-2018-4878  e la CVE-2016-0189 . La prima è una vulnerabilità che affligge Flash Player, individuata nelle versioni precedenti alla 28.0.0.161: l'exploit di questa vulnerabilità, se ha successo, può comportare la possibilità di esecuzione di codice arbitrario da parte di un attaccante. Tra Gennaio e Febbraio 2018 è stata sfruttata con successo centinaia di volte.

La seconda vulnerabilità invece riguarda Internet Explorer: risiede in JScript 5.8, VBScript 5.7 e 5.8, tutti usati da Internet Explorer 9-11 (ma non solo). Consente all'attaccante l'esecuzione di codice arbitrario da remoto oppure la negazione del servizio (corruzione di memoria).
 
Vedremo in futuro se MagnitudeEK confermerà la nuova accoppiata oppure no: la storia di Magnitude EK però ci indica che questo Exploit kit raramente cambia il ransomware in distribuzione. Ha abbandonato Cerber dopo un lungo periodo di fedeltà, mentre Magniber (risolto, quindi un'arma spuntata) è stato abbandonato dopo 7 mesi di distribuzione. Ricordiamo che, ad oggi, è risolvibile la versione 1 del ransomware GandCrab, riconoscibile dall'estensione di criptazione .GDCB. Non è invece tutt'ora risolvibile la seconda versione, quella in oggetto di questo articolo, che cripta i file .CRAB. Sono invece in via di risoluzione le versioni 4 e 5.
1[1]

CoinMiner usa un nuovo trucco per camuffarsi da Installer di Adobe Flash Player

 

 


E' in corso una nuova, capillare, campagna di diffusione di miner di criptovaluta: il miner in questa campagna viene diffuso tramite un installer fake di Adobe Flash Player. Ora, se questa non è affatto una novità, la particolarità di questa campagna sta nel fatto che fa di tutto per apparire davvero legittima: non si limita infatti ad installare il miner, ma aggiorna anche realmente Flash Player. 
 
Come detto, gli installer di Flash Player con miner non sono affatto nuovi, ma nel passato si limitavano esclusivamente a installare il miner quindi aprire il browser al sito web di Adobe Flash Player. In questa nuova campagna malware, individuata dalla Palo Alto Unit 42, questo trojan che si spaccia per l'installer Flash Player, non solo installa il miner XMRig, ma aggiorna automaticamente la versione di Flash Player installata sul sistema bersaglio. E' il trojan stesso a scaricare l'update legittimo dal sito web di Adobe. 
 

Fonte: bleepingcomputer.com

 

Nei fatti, eseguendo effettivamente l'aggiornamento del programma desiderato, questo trojan rende l'utente molto meno sospettoso e aggiunge ulteriore legittimità. Il punto è che, se anche ora Adobe Flash Player è aggiornato, quel che la vittima non sa è che il coinmainer è stato installato sul sistema ed è stato avviato in background. Questo coinminer si collega ad un pool di mining su xmr-eu1.nanopool.org e inizia ad utilizzare circa il 100% delle risorse della CPU della macchina per estrarre la cripto valuta Monero.
 
Fonte: bleepingcomputer.com
 
Tracciando gli installer
Duncan, facente parte del team che ha scoperto questa campagna, ha evidenziato come in questa campagna l'installer fake di Flash usi un URL contenente "flashplayer_down.php?clickid=", con alcuni download che sono ospitati su istanze Amazon AWS. Insomma, sulla base della quantità di falsi Flash Player rilasciati tra Marzo e Settembre 2018, ha potuto ricostruire una certezza: questa campagna, iniziata appunto a Marzo, ha visto i massimi picchi di distribuzione tra la fine di Luglio e la fine di Settembre 2018.

 

Fonte: bleepingcomputer.com

 

Purtroppo Duncan ha confermato a BleepingComputer che non è stato in grado di individuare i siti web compromessi o fake tramite i quali viene ancora distribuito l'installer fake. Nel dubbio, consigliamo di scaricare o aggiornare Flash Player solo dal sito ufficiale di Adobe e di evitare qualsiasi sito web non ufficiale che metta in download installer o update di Flash. 
1+28129[1]

Nuove tecniche di exploit per bypassare i controlli degli antivirus: campagna in corso in Europa!

 Nuove tecniche di exploit per bypassare i controlli degli antivirus: campagna in corso in Europa!

 

E' in corso attualmente una campagna malware finalizzata alla diffusione dell'info stealer Agent Tesla (e non solo): la particolarità di questa campagna è che i cyber criminali hanno modificato una catena di exploit conosciuti per diffondere il malware senza attivare il rilevamento dei prodotti antivirus comuni.  
 
Il gruppo dietro a questa campagna, attualmente non individuato, ha organizzato una precisa infrastruttura per diffondere più famiglie di malware tramite due exploit pubblici per le vulnerabilità di Microsoft Word CVE-2017-0199 e CVE-2017-11882
 
Secondo gli analisti di Cisco Talos, la campagna è finalizzata alla diffusione di tre differenti payload: Agent Tesla, Loki e Gamarue. Tutti e tre sono capaci di sottrarre informazioni, ma solo Loki non ha funzionalità di accesso remoto.

Che cosa fanno questi malware?

 
  • Agent Tesla è un infostealer, ovvero ruba le informazioni contenute nel sistema infetto ed è commercializzato come utilità legale di keylogging. In realtà le analisi dei ricercatori di Cisco hanno messo in evidenza come questo tool abbia funzioni di furto password per app molto comuni come i borwser web e i clienti di posta più diffusi, gli FTP ecc...
  • Il malware Loki ivnece rientra strettamente nella categoria keylogger, mira direttamente alle password. 
  • Gamarue invece è un track record utile per i gestori di botnet, perchè segnala nuovi possibili bot. E' un worm, quindi si diffonde rapidamente nei sistemi vulnerabili garantendo l'accesso al proprio operatore. Come funzione secondaria, anche Gamarue può rubare informazioni sensibili. 

Il vettore di attacco:
l'attacco inizia con una email contenente un file Word in formato .docx. Questo file include routine per il download e l'apertura di un file RTF che distribuisce il payload finale. E' proprio questo file RTF che passa del tutto inosservato agli antivirus. 
 
Le modifiche per l'evasione dagli antivirus:
i ricercatori sono convinti che le modifiche alla catena di exploit consentano al documento contenente le routine di scaricare i malware passando inosservati alle normali soluzioni antivirus. Questa particolare capacità di invisibilità del payload dipende dalle particolarità del formato RTF, che supporta oggetti integrati via OLE (Object Linking and Embedding) e usa un gran numero di parole di controllo per definire il contenuto che detiene. Aggiungiamo a questo che i parser RTF comuni ignorano, in genere, ciò che non conoscono e si capisce la combinazione perfetta per nascondere il codice di exploit.

In questo caso, la prima difesa e non modificare le impostazioni di Microsoft Word e non fare clic su qualsiasi messaggio sconosciuto, che potrebbe in realtà attivare l'exploit. 
 
L'offuscamento entro la struttura dei file RTF non è l'unico fattore che aiuta questo documento a rimanere invisibile. Un'analisi più profonda ha rivelato che l'attaccante ha modificato i valori dell'header dell'oggetto OLE. Subito dopo l'header ha aggiunto dati che paiono simili a font tag, ma che in realtà sono l'exploit per la vulnerabilità di corruzione della memoria di Microsoft Office CVE-2017-11882.  Per i ricercatori, questa tecnica di attacco è molto pericolosa, sia che le modifiche siano state effettuate manualmente o con un tool specifico.

logHD1

YOTTA WEB - Via Don F. Cabrio 14/D - 13900 Biella (BI)

P.IVA 02552590024 - C.F. SNTSVR77S27A859C - REA BI 194613

Copyright 2017 © YOTTA WEB All Rights Reserved

Privacy Policy