Articoli

Scoperto malware che raccoglie dalle immagini le indicazioni su azioni da eseguire

Un gruppo di ricercatori ha scoperto una nuova minaccia che sembra collegabile ad alcuni famosi gruppi APT (advanced persistent threat) ovvero criminali informatici che solitamente bersagliano vittime e aziende di elevato profilo sferrando attacchi mirati.

Di solito viene preso di mira il sistema utilizzato da un soggetto che lavora all’interno dell’impresa: sfruttando il fatto che tale sistema è collegato alla rete locale dell’azienda da aggredire, esso viene utilizzato per attaccare l’intera infrastruttura, monitorare le attività svolte, sottrarre dati sensibili e danneggiare i dati altrui.

La presenza di macro all’interno di documenti Office dovrebbe fare immediatamente drizzare le antenne: i vari componenti della suite per l’ufficio Microsoft attivano la cosiddetta Visualizzazione protetta per i file che provengono dalla rete Internet (Allegati pericolosi e malware nei documenti Office: come inizia l’infezione) e segnalano l’eventuale presenza di macro.

Le macro possono essere potenzialmente molto pericolose perché utilizzando una serie di istruzioni integrate all’interno del documento si può richiedere l’effettuazione in automatico di una serie di attività, compresi il download e l’esecuzione di codice pubblicato altrove.

Nonostante la loro pericolosità, ancora oggi sono in tanti a cadere nel tranello e ad acconsentire all’esecuzione di macro potenzialmente pericolose inserite ad esempio in un documento Word o in un foglio elettronico Excel. Gli aggressori sono infatti soliti porre in essere campagne spear phishing presentando il file dannoso come qualcosa che non è ovvero un elemento che la vittima potrebbe aspettarsi di ricevere.

Uno dei ricercatori che hanno scoperto la nuova minaccia spiega su Twitter che la macro nociva si collega con GitHub e scarica ulteriore codice.
Con il preciso scopo di eludere le verifiche condotte dalle principali soluzioni antimalware, lo script PowerShell si collega con il noto servizio per la condivisione di immagini Imgur e scarica un file in formato PNG.

Utilizzando la tecnica della steganografia, all’interno del file PNG gli aggressori inseriscono il payload del malware vero e proprio. ll codice PowerShell non fa altro che leggere in sequenza i byte aggiunti in varie parti dell’immagine PNG e ricostruiscono i comandi da eseguire.

A questo punto l’attacco vero e proprio può iniziare con un approccio fileless che in molti casi resta quasi invisibile ai “radar” di molte soluzioni per la sicurezza.

 

Fonte: IlSoftware

Finta e-mail del direttore dell’Agenzia delle Entrate, la truffa per rubare dati

È stata identificata una nuova campagna malspam indirizzata ad aziende e privati in Italia che sta diffondendo il malware bancario Ursnif/Gozi e che, ancora una volta, sfrutta l’Agenzia delle Entrate come esca ed in particolare una finta e-mail inviata dal Direttore dell’Agenzia delle Entrate. Il primo caso risale a giugno, ma nei giorni scorsi c’è stata una forte recrudescenza.

La truffa della finta e-mail del Direttore dell’Agenzia Entrate

In particolare, il nuovo attacco hacker sfrutta false comunicazioni dell’Ente su “alcune incoerenze” emerse “dall’esame dei dati e dei saldi relativi alla Divulgazione delle eliminazioni periodiche Iva”.

Per rendere più credibile la truffa, le intestazioni dei messaggi riportano una delle seguenti diciture:

• Il Direttore dell’Agenzia delle Entrate
• Gli organi dell’Agenzia delle Entrate
• Posta elettronica agenzia
• Informazione agenzia delle entrate

e altre simili. Nel corpo del messaggio, invece, si fa riferimento diretto al “Cassetto fiscale” del contribuente. Il testo, inoltre, informa il destinatario della finta comunicazione che tutte le “sconvenienze riscontrate” nel controllo fiscale sono riportate in “versione intera” nell’archivio allegato all’e-mail.

Aprendo l’allegato, però, la vittima non fa altro che avviare la catena infettiva del malware che, dalle analisi dei primi campioni isolati, sembra prendere di mira esclusivamente utenze italiane.
Nel dettaglio, l’allegato è un file Microsoft Office Excel in formato .xls contenente una macro malevola. Per aprire e visualizzare il finto foglio di calcolo è necessario inserire la password “agenzia” così come indicato nel testo della finta comunicazione inviata.

A questo punto, l’attivazione della macro avvierà il download via HTTP da risorse Internet con indirizzi IP italiani del file officina.dll contenente l’impianto malware di Ursnif/Gozi utilizzato per acquisire informazioni riservate delle vittime.

Le azioni consigliate per non cadere nella trappola

Le e-mail, ovviamente, non provengono dall’Agenzia delle Entrate che, anzi, in un suo comunicato, invita i contribuenti a cestinare immediatamente i messaggi, precisando che il Direttore dell’Agenzia non invierebbe mai messaggi diretti agli utenti.

Per far fronte a questo nuovo attacco informatico è dunque utile controllare sempre con la massima attenzione le e-mail ricevute, anche se dovessero aver superato i controlli antivirus e antispam.

È importante, inoltre, limitare le funzionalità delle macro presenti nei documenti Office che attivano automaticamente connessioni a Internet.
Per identificare e contrastare campagne malspam come questa delle finte e-mail inviate dal Direttore dell’Agenzia delle Entrate è fondamentale, inoltre, prevedere sessioni di formazione in sicurezza informatica rivolte a tutti gli utenti aziendali mirate a diffondere le conoscenze giuste per riconoscere gli attacchi di tipo phishing.

 

Fonte: CyberSecurity360

Il malware Joker bypassa i controlli del Google Play Store per spiare e frodare le vittime

I criminal hacker sono riusciti di nuovo ad eludere i sistemi di sicurezza del Google Play Store e a diffondere una nuova variante del famigerato malware Joker (noto anche con il nome di Bread), utilizzato per commettere frodi informatiche ai danni delle ignare vittime.

Identificato per la prima volta nel 2017, Joker è un famigerato spyware con funzionalità di dialer che può accedere alle notifiche che arrivano sullo smartphone della vittima ed è in grado anche di leggere e inviare messaggi SMS in modo autonomo.

Secondo i ricercatori di Check Point Software Technologies che hanno individuato la nuova variante del malware, queste capacità vengono utilizzate da Joker per far attivare abbonamenti a servizi premium all’insaputa delle vittime.

La gravità della minaccia è confermata da Google stessa, che l’ha classificata come una delle più persistenti degli ultimi anni. Il malware, infatti, è in grado di sfruttare tecniche di cloaking (cioè tecniche di occultamento e offuscamento che usano particolari script per camuffare il reale contenuto di un sito Internet o, come nel caso del malware Joker, di un’app), per nascondersi nel tentativo di passare inosservato.

I dettagli tecnici della nuova variante di Joker

In particolare, per mascherare la vera natura del malware Joker, gli autori della minaccia informatica hanno fatto ricorso a una varietà di metodi: dalla crittografia usata per nascondere le stringhe malevoli ai motori di analisi, alle recensioni fasulle sul Play Store per attirare gli utenti a scaricare le app malevoli usate per diffondere il malware.

Nelle varianti più recenti di Joker, inoltre, i criminal hacker hanno sfruttato anche la tecnica cosiddetta del versioning che consiste nel caricare sul Play Store una versione “pulita” dell’app malevola per creare fiducia tra gli utenti e poi aggiungere furtivamente codice dannoso in una fase successiva tramite gli aggiornamenti dell’app stessa.

In quest’ultima variante, il malware Joker è in grado di nascondere codice dannoso all’interno del file AndroidManifest che accompagna tutte le app per il sistema operativo mobile di Google e che viene archiviato all’interno della directory principale di installazione.

Questo file fornisce al sistema Android informazioni essenziali sull’app, come nome, icona e permessi, che il sistema deve ricevere prima di poter eseguire qualsiasi codice. In questo modo, il malware non aveva bisogno di accedere a un server di controllo e comando (C&C) per ricevere ulteriori istruzioni e per scaricare il payload necessario ad eseguire l’azione dannosa vera e propria.

I ricercatori Check Point hanno quindi individuato tre fasi operative nella catena infettiva del malware Joker:
1. creare prima il payload: Joker costruisce il suo payload in anticipo, inserendolo nel file “Android Manifest”;
2. saltare il caricamento del payload: durante il tempo di valutazione, Joker non tenta nemmeno di caricare il payload dannoso, il che rende molto più facile bypassare le protezioni di Google Play Store;
3. diffondere il malware: dopo il periodo di valutazione e dopo l’approvazione dell’app, la campagna malevola inizia a funzionare e il payload viene caricato sul dispositivo dell’ignara vittima.

Si tratta di una procedura semplice quanto sofisticata che evidenzia come i criminal hacker siano riusciti ad adattare il malware Joker per consentirgli di bypassare i controlli di sicurezza del Play Store che Google ha aggiornato nel tempo.

È quanto ci conferma anche Pierluigi Torriani, Security Engineering Manager, Italy di Check Point, che afferma: “abbiamo trovato Joker nascosto nel file “informazioni essenziali” che ogni applicazione Android deve avere. Le nostre ultime scoperte indicano che le protezioni di Google Play Store non sono sufficienti. Siamo stati in grado di rilevare numerosi casi di upload di Joker su Google Play su base settimanale, tutti scaricati da utenti ignari”.

“Il malware Joker”, continua l’analista, “è difficile da rilevare, nonostante l’investimento di Google nell’aggiunta di protezioni dedicate al Play Store. Sebbene Google abbia rimosso le app dannose, possiamo aspettarci che Joker si adegui nuovamente. Tutti dovrebbero prendersi il tempo necessario per capire cos’è Joker e come può colpire la gente comune”.

Come difendersi da questa nuova minaccia

I ricercatori di sicurezza hanno ovviamente divulgato le scoperte in modo responsabile a Google, tanto che tutte le applicazioni malevoli segnalate (11 app, per l’esattezza) sono state rimosse dal Play Store lo scorso 30 aprile.

È molto probabile, però, che Joker torni nuovamente a colpire per cui è importante proteggersi adottando una soluzione di sicurezza per dispositivi mobile e seguendo alcune semplici regole di sicurezza informatica. In particolare, se sospettiamo di avere un’app infetta sul nostro dispositivo, dobbiamo: disinstallare immediatamente l’app presumibilmente infetta; controllare le fatture di smartphone e carta di credito per vedere se siamo stati registrati a eventuali abbonamenti e, se possibile, revocarli.

 

Fonte: CyberSecurity360

Inps, il malware via sms che sfrutta il bonus 600 euro

Arrivano a pioggia sms che si spacciano provenire da Inps e chiedono di cliccare su un link per modificare la propria domanda di bonus 600 euro.

È stata la stessa Inps a lanciare l’allarme, invitando a non cliccare sul link e specificando che qualsiasi sms proveniente dall’istituto non ne conterrà link.

“Puntuali come sempre, i criminali scelgono il momento opportuno per lanciare gli attacchi di social engineering invitando gli utenti a scaricare una App per aggiornare la propria domanda Covid-19 proprio nei giorni in cui stanno arrivando le notifiche di conferma di ricezione delle domande per il bonus da 600 euro”, commenta l’esperto di sicurezza informatica Paolo dal Checco.

“Accedendo al il dominio “inps-informa.online” contenuto nell’SMS – registrato il 4 aprile ma oggi non più attivo – compariva una pagina simile a quella dell’INPS dove l’utente veniva invitato a scaricare un’App per Android “covid-19.apk” segnalata come malevola da numerosi antimalware”, spiega. “Dalle analisi preliminari sembra trattarsi di Cerberus, un malware bancario per Android che sottrae alle vittime le password di accesso e i codici di autenticazione inseriti nelle App o nei siti di web banking”.

“Continua lo sciacallaggio da parte dei criminali, anche di quelli informatici, nello sfruttare l’attenzione mediatica di cui gode l’attuale emergenza sanitaria”, aggiunge Alessio Pennalisico (P4i, Clusit).

“Dopo aver visto campagne di phishing che hanno provato a sfruttare presunte notizie, aggiornamenti o mappe sull’infezione, ora provano a sfruttare la sensibilità al tema interventi economici straordinari a supporto dei professionisti. Diventa in questo immediatamente evidente quanto possa essere efficace una campagna simile, di quanti cliccheranno quel link ed installeranno quell’app”.

I consigli contro la nuova truffa basata su Inps (e altre simili)

“Vale in ogni caso il consiglio di non installare mai programmi scaricati fuori dallo store ufficiale e, anche per le App lì presenti, valutare comunque i commenti e la data di pubblicazione, perché non di rado i delinquenti riescono a caricare delle versioni infette che vengono prontamente rimosse ma possono rimanere disponibili per qualche ora o persino qualche giorno”, dice Dal Checco.

Aggiungiamo ai consigli dell’esperto la raccomandazione base da seguire per evitare di finire vittime del malspam: ignorare mail, sms o altre comunicazioni che ci chiedono di compiere una qualsiasi azione (download allegato, clic su link…).

Dato che istituti e altre fonti legittime sanno che questa è la modalità seguita dai truffatori, non ci chiederanno mai di compiere azioni nelle mail o sms che ci possono mandare; né metteranno allegati. I messaggi conterranno al massimo informazioni statiche nel corpo del testo.

 

Fonte: Cybersecurity360

Ginp, il trojan Android che finge di segnalare i contagiati da Coronavirus

Si chiama Ginp il mobile banking trojan che, in cambio di una piccola somma di denaro, promette di visualizzare la posizione delle persone risultate positive al coronavirus. In realtà il suo scopo è, ovviamente, quello di rubare i dati delle carte di credito delle vittime.

Tra le numerose campagne di attacco che sfruttano l’emergenza coronavirus per colpire le ignare vittime giustamente desiderose di ottenere informazioni aggiornate sulla diffusione del Covid-19, ce n’è una particolarmente insidiosa che sta colpendo gli utenti Android mediante il mobile banking trojan Ginp.

Come funziona il trojan Ginp

“Ginp si installa via link che arriva via whatsapp, sms e mail anche da mittenti presi dalla rubrica della vittima”, spiega Paolo dal Checco, noto informatico forense. “Il link porta a un’app da installare, che contiene il trojan”.

Dopo aver compromesso lo smartphone della vittima, il trojan Ginp entra subito in azione ricevendo dal server C2 controllato dai criminal hacker un comando che gli consente di avviare il Coronavirus finder, una finta applicazione Web che carica sul dispositivo una pagina in cui, in cambio di un piccolo contributo economico di 0,75 euro, promette di mostrare la posizione delle persone risultate positive al coronavirus e che si trovano nelle vicinanze.

Per convincere la vittima ad utilizzare questo particolare “servizio”, Ginp usa un’esca particolarmente subdola: la pagina Coronavirus finder, infatti, afferma che 12 persone infettate dal Covid-19 si trovano nelle sue vicinanze e promette di mostrare la loro esatta posizione.

Se la vittima accetta di visualizzare queste informazioni, viene reindirizzata ad una nuova pagina Web sulla quale può effettuare il pagamento. Una volta inseriti i dati della carta di credito, però, la vittima non riceve né l’addebito della somma di denaro richiesta né le informazioni relative alle persone “infette”.

Lo scopo dei criminali informatici è infatti esclusivamente quello di entrare in possesso delle credenziali della carta di credito dell’utente nel momento in cui vengono inserite per effettuare il pagamento.

Secondo i ricercatori Kaspersky che hanno individuato la nuova campagna malevola, per realizzare l’operazione “Coronavirus finder” i criminal hacker avrebbero preso spunto dall’applicazione “Shield” recentemente rilasciata dal Ministero della Salute israeliano che avvisa gli utenti qualora si fossero trovati in una località nello stesso momento di un’altra persona già identificata come vettore del Coronavirus.

Consente all’invio di comunicazioni promozionali inerenti i prodotti e i servizi di soggetti terzi rispetto ai Titolari con modalità di contatto automatizzate e tradizionali da parte dei terzi medesimi, a cui vengono comunicati i dati.

I dati sulla diffusione di Ginp mostrano che i principali obiettivi del mobile banking trojan sono stati finora gli utenti spagnoli, ma i ricercatori avvertono che questa operazione potrebbe espandersi rapidamente oltre il territorio iberico.

I consigli per difendersi

Al momento, il modo migliore per rendere inefficace la campagna malevola condotta con il trojan Ginp è quello di rimanere a casa. Questa misura preventiva, raccomandata anche dall’OMS, assicura infatti il rispetto della distanza di sicurezza dalle persone portatrici di Covid-19.

È importante, inoltre, fidarsi esclusivamente dei dati e delle eventuali applicazioni ufficiali rilasciate dai governi dei Paesi colpiti dalla pandemia, gli unici ad avere le informazioni esatte sulla diffusione del coronavirus.

“I criminali informatici hanno cercato per mesi di approfittare della crisi generata dal coronavirus lanciando attacchi di phishing e creando malware a tema. Questa è la prima volta, però, che vediamo un trojan bancario tentare di capitalizzare sulla pandemia. È una situazione allarmante, soprattutto perché Ginp è un trojan molto efficace. Per questo motivo incoraggiamo gli utenti di Android a prestare molta attenzione e a guardare con scetticismo a pop-up, pagine web sconosciute e messaggi sul coronavirus”, ha affermato Alexander Eremin, Security Expert di Kaspersky.

Per ridurre i rischi legati al trojan Ginp o ad altri mobile banking trojan, gli esperti di Kaspersky suggeriscono queste semplici regole di sicurezza informatica:
• scaricare solo le applicazioni presenti sugli store ufficiali di Android;
• non cliccare su link sospetti e non rivelare mai informazioni sensibili, come le password o le credenziali della carta di credito;
• installare sul proprio smartphone o sul tablet una soluzione di sicurezza affidabile che protegga da una ampia gamma di minacce, tra cui proprio i mobile banking trojan.

È utile sottolineare, infine, che il trojan Ginp colpisce esclusivamente i telefoni cellulari con sistema operativo Android e non gli iPhone con iOS di Apple.

 

Fonte: CyberSecurity360

Poste Italiane, come difendersi dalle truffe

Per Poste Italiane la protezione dei propri clienti ha da sempre la massima priorità. In questo periodo in cui potenziali frodatori cercano di mettere in atto tentativi di frode attraverso e-mail, SMS, chiamate e chat sfruttando il tema Coronavirus, abbiamo pensato per te alcuni consigli per evitare di diventare vittima inconsapevole.

Avvertenze generali

Quando ricevi una qualsiasi comunicazione tramite e-mail, controlla sempre accuratamente il mittente prima di aprire i file allegati (es: word, pdf, excel).
Non inserire o condividere mai, via e-mail o SMS, Password, OTP, PIN, dati delle carte, credenziali di accesso all’home banking o altri codici personali. Poste Italiane non chiedono mai di fornire telefonicamente e attraverso e-mail, SMS e messaggi sui social questo tipo di informazioni.

Come puoi riconoscerci?

Le comunicazioni di Poste Italiane sono riconoscibili dall’indirizzo della pagina web che visiti, che deve essere poste.it (es. poste.it/iorestoacasa), e dal lucchetto in alto a sinistra della barra di navigazione. Se ti capita di ricevere comunicazioni sospette, puoi segnalarle a Poste Italiane all’indirizzo antiphishing@posteitaliane.it e poi cestinarle.
Attraverso i Social i canali ufficiali sono riconoscibili grazie alla spunta blu presente accanto al nome Poste Italiane.

Per la tua tutela

Potresti essere contattato per conto di Poste Italiane dai centri di monitoraggio (con sedi in Italia e in Paesi dell’Unione Europea) telefonicamente o via SMS per verificare se alcune operazioni sulla tua carta di pagamento siano state da te effettivamente autorizzate. Anche in tal caso non ti verranno richieste mai Password, OTP, PIN, dati delle carte, credenziali di accesso all’home banking o altri codici personali.
Usa le App di Poste Italiane, sono il modo più sicuro per autorizzare i tuoi pagamenti online e ricevere le notifiche push in tempo reale sulle operazioni di pagamento effettuate.

Durante le prossime settimane ti aiuteremo a capire come rendere più semplice la tua quotidianità, utilizzando le nostre App e il sito poste.it, ad esempio, per pagare i bollettini, ricaricare la tua carta Postepay, fare acquisti online in totale sicurezza e molto altro.

 

Fonte: PosteItaliane

Coronavirus: nuova ondata di phishing e malware

Il Coronavirus non ferma i criminali del web, che non si fanno scrupoli ad approfittare del rischio di epidemia in corso per architettare nuove ed insidiose frodi informatiche.

Ancora una volta il Centro Nazionale Protezione Infrastrutture Critiche #CNAIPIC della #Polizia #Postale e delle Comunicazioni, è venuto a conoscenza di una nuova campagna mirata di phishing e malware legata al tema dell’epidemia da #Coronavirus (COVID-19).

In particolare è in atto un massivo invio di messaggi email e non solo, del malware infostealer AZORult.
Nella circostanza i criminali hanno spacciato la minaccia informatica per un’applicazione che mostra la mappa della diffusione del virus nel mondo: la GUI (Graphical User Interface) che risulta particolarmente verosimile a quella ospitata sui sistemi della Johns Hopkins University (ArcGIS).
Il virus AZORult, oltre a scaricare ulteriori minacce nelle macchine colpite, è in grado di raccogliere informazioni come nome, ID/password, numero della carta di pagamento, cryptovalute e altri dati sensibili presenti nei browser; alcune varianti consentono anche connessioni di tipo Remote Desktop Protocol (RDP).

L’invito della Polizia Postale è di diffidare da questi e da simili messaggi, evitando accuratamente di aprire gli allegati che essi contengono.
Per ogni utile informazione, la Polizia mette a disposizione il proprio “commissariato virtuale”, raggiungibile all’indirizzo www.commissariatodips.it.

 

Fonte: PoliziaPostale

Worm informatico, il malware che si autoreplica: i più pericolosi e i metodi di diffusione

Il worm informatico è un codice malevolo (malware) che, dopo aver compromesso un PC, è in grado di autoreplicarsi e diffondersi all’interno di una rete locale per infettare tutte le altre macchine connesse.

L’infezione mediante worm, inoltre, avviene senza richiedere alcuna interazione alla potenziale vittima: è sufficiente che il suo codice malevolo venga in qualche modo attivato sul sistema infetto per avviarne il processo di clonazione e diffusione che viene eseguito sfruttando le risorse di rete del sistema stesso.

Per completezza di informazione è utile ricordare che, prima della diffusione di Internet e delle tecnologie di rete, i worm informatici si tramettevano sfruttando esclusivamente supporti di archiviazione come i floppy disk e successivamente le chiavette USB che, se montati su un sistema, consentivano di infettare le altre unità di memoria collegate al sistema target.

Worm informatico: il malware capace di autoreplicarsi

Anche se apparentemente simili da un punto di vista tecnico, in quanto entrambi accomunati da un meccanismo di replica, è bene distinguere i worm dai virus in senso stretto del termine.

Un virus è un programma che crea copie di sé stesso in maniera fittizia, collegandosi ad un terzo elemento che funge da mezzo di propagazione, il quale gli concede la possibilità di attivarsi. Uno degli elementi di distinzione tra virus e worm è la necessità da parte dei primi di copiarsi in altri file dello stesso computer, non potendo avviarsi separatamente da un programma ospite. Ad esempio, potrebbe essere nascosto in un documento di Word, in un aggiornamento di Acrobat Reader o integrarsi in un qualsiasi altro codice eseguibile o anche sistema operativo della vittima.

I worm rientrano in un particolare tipologia di virus informatici, anche se differiscono da questi per alcune specificità. In genere si replicano senza infettare altri file dello stesso computer; una volta installati sulla macchina di una vittima, questi cambiano obiettivo, cercando immediatamente di spostarsi lateralmente su altri computer attraverso varie modalità di diffusione. Oltre che a un differente scopo, questi differiscono anche nella struttura del codice: i worm sono a sé stanti – i cosiddetti “standalone files” – mentre i virus sono porzioni di codice che si integrano in file esistenti di programmi legittimi.

Worm informatici: diffusione e pericolosità

Come tutti i malware di oggi, anche i worm attualmente in circolazione possiedono numerose proprietà in aggiunta a quelle appena descritte, tra cui un’estrema facilità di replicazione e il relativo perimetro di impatto.

Non avendo la necessità di essere avviati manualmente da un individuo, differentemente dai virus i worm si muovono liberamente nel sistema informatico della vittima, portando avanti l’enumeration del sistema.

Queste procedure sono finalizzate alla scoperta di nuovi bersagli: contatti in rubrica, indirizzi e-mail da programmi locali e da qualsiasi file (tramite uno scanning del file system), indirizzi IP direttamente collegati alla macchina e vulnerabili (con tecniche di network scanning), e molto altro.

Identificate queste nuove destinazioni, repliche del worm vengono spedite per compiere poi le stesse azioni, diffondendosi ancora e poi ancora. Tra i vettori d’attacco più utilizzati per la diffusione dei worm, oltre a mail di phishing e tecniche di ingegneria sociale, troviamo l’utilizzo di mezzi di propagazione quali reti P2P (peer-to-peer), chat e notifiche dei comuni social network, e in alcuni casi persino backdoor, quando si tratta di malware complessi e strutturati.

Oltre a diffondersi a macchia d’olio, l’innumerevole numero di copie che vengono spedite ad ancora più destinatari crea problemi di compromissione della memoria sia sulle macchine infettate che sui server remoti. Entrano in gioco, così, anche tecniche di buffer overflow e sfruttamento di vulnerabilità note per acquisire vantaggi sulle vittime.

 

Fonte: CyberSecurity360

Metamorfo, il malware col keylogger che ruba credenziali di accesso ai servizi di home banking

Si chiama Metamorfo la pericolosa famiglia di malware che mira a colpire i fruitori di servizi di home banking inducendoli a fornire nuovamente le loro credenziali di accesso che ruba sfruttando il modulo keylogger integrato.

In un recente comunicato, i ricercatori di sicurezza hanno pubblicato un’analisi di un’ultima variante di Metamorfo che, a differenza della precedente che ha interessato solo istituti brasiliani, si sta diffondendo tramite malspam anche in altri paesi, tra cui l’Italia, aggiungendo un nuovo stratagemma: una volta insidiato nei sistemi Windows costringe la vittima a digitare nuovamente le credenziali di acceso o degli estremi di pagamento, tracciandoli attraverso la sua componete keylogger.

Metamorfo: come avviene il contagio?

Il campione della nuova variante di Metamorfo analizzato dagli analisti viene diffuso tramite e-mail di phishing che presentano in allegato un archivio in formato ZIP contenente un pacchetto di Microsoft installer.

Ovviamente il file MSI non contiene alcun avviso per l’utente come il nome lascerebbe intuire, ma del codice Javascript offuscato che, una volta estratto ed eseguito, effettua una serie di operazioni:

1. innanzitutto avvia il download di un ulteriore file ZIP aggiungendo un elemento al gruppo di esecuzione automatica nel registro di sistema infetto;
2. successivamente scompatta i tre file contenuti nello ZIP in una cartella locale generando dei nomi alfanumerici in maniera random;
3. infine effettua il running del file EXE per l’esecuzione di uno script sulla base dei parametri imposti dagli altri due file.

Secondo gli stessi analisti, il linguaggio di programmazione supportato da Microsoft Windows viene adoperato per raggirare i sistemi di protezione antivirus spacciando l’eseguibile come programma legittimo.

La funzione principale della variante Metamorfo

Come già accennato, il corpo principale della variante è contenuto all’interno del file DLL che impone le direttive da seguire. Un’ulteriore conferma che questa libreria rappresenti il cuore del payload è che risulta essere protetta tramite il packer VMProtect v3.00-3.3.1 solitamente utilizzato dagli sviluppatori in ambito commerciale per scoraggiare le creazioni di versioni “craccate” dei prodotti originali, ma che in tal caso è usato dagli attaccanti per contrastare lo studio degli analisti.

I ricercatori comunque sono riusciti ad estrarre il codice macchina Assembler e individuare la funzione principale FormCreate() mostrandone le operazioni principali.

Una prima operazione ha lo scopo di imporre alla vittima l’inserimento manuale dei dati (URL e credenziali di accesso al servizio di home banking) senza il completamento automatico per consentire alla componente keylogger la relativa registrazione.

Pertanto termina i processi che interessano i browser in esecuzione (Microsoft IE, Mozilla Firefox, Google Chrome, Microsoft Edge e Opera) e modifica i relativi valori delle chiavi di registro per disabilitare le funzioni di completamento/suggerimento automatico.

Una seconda operazione ha invece il compito di raccogliere tutte le informazioni relative alla versione del sistema operativo, al nome del computer e all’antivirus installato.

Una terza operazione si occupa di notificare al server di comando e controllo mediante un pacchetto POST l’avvenuta infezione.

Come accadeva per la variante precedente, anche quest’ultima versione di Metamorfo al termine della funzione FormCreate () avvia due timer per eseguire determinati compiti.

Il primo timer viene utilizzato per monitorare l’indirizzo di un portafoglio Bitcoin negli Appunti di sistema (durante le usuali operazioni di taglia incolla di un indirizzo Bitcoin da parte degli utenti, Metamorfo rileva e sovrascrive il portafoglio di destinazione con l’indirizzo bitcoin dell’attaccante dirottandone la transazione).

L’altro viene utilizzato per rilevare se la vittima sta accedendo o meno ad un sito Web di un istituto finanziario (sono previste 32 keyword riferite a più di venti istituti finanziari target sparsi in diversi paesi).

Come proteggersi?

Contro questa tipologia di malware è consigliabile adottare alcune precise misure di sicurezza:

• una protezione antivirus adeguata al proprio parco macchine, aggiornando periodicamente le definizioni delle minacce ed i motori di scansione all’ultima versione disponibile;
• un Web filtering, impedendo agli utenti di visualizzare determinati URL e siti Web impostando sui browser dei filtri che impediscano di caricare pagine da questi siti;
• un Intrusion Protection System (IPS), controllando ad esempio i pacchetti in transito sulla rete e confrontandoli con gli ultimi schemi di attacco preconfigurati noti e disponibili.

È sempre utile, infine, adottare alcune best practice per prevenire attacchi di tipo phishing simili a quelli che stanno diffondendo la nuova variante del malware Metamorfo:

• controlliamo sempre i link e il mittente della mail prima di cliccare qualunque indirizzo. Meglio sarebbe se non cliccassimo affatto sul link, ma lo copiassimo invece nella barra indirizzi del browser senza ovviamente collegarci al sito corrispondente;
• prima di cliccare su un qualunque link, bisogna verificare che l’indirizzo mostrato è davvero lo stesso indirizzo Internet al quale il link condurrà. Un controllo che può essere effettuato in modo semplice: passando il mouse sopra il link stesso;
• è bene, inoltre, attuare formazione del personale, sensibilizzando sulle più recenti minacce e insegnando come riconoscere un potenziale attacco e cosa fare per evitare di subirlo.
• evitare, infine, di aprire gli allegati dei messaggi di posta elettronica sospetti e, nel caso di documenti Office all’apparenza legittimi, evitare di abilitare l’esecuzione delle macro.

 

Fonte: CyberSecurity360

Come difendersi dal ransmware CBT-Locker

Un ransmware che cripta i file sul computer e chiede soldi per poterli sbloccare. Come prevenire e come agire se colpiti

In questi ultimi giorni un ransomware chiamato CBT-Locker sta letteralmente bloccando migliaia di pc in tutta Italia, facendo impazzire di rabbia i proprietari. Questo tipo di malware, una volta infettato il pc della vittima, cripta i documenti e chiede un riscatto in bitcoin di circa 500 euro da pagare entro 96 ore. Se non viene pagato, i documenti crittati dal malware non potranno essere più essere recuperati.

REGOLA N° 1: Non aprite quella mail. Nella vostra casella di posta elettronica fare molta attenzione alle mail che invitano a scaricare documentazione importante per ricevere indietro denaro versato per errati importi sulle tasse. Nel caso degli attacchi alle aziende, PMI, ma anche grandi aziende si invita a scaricare allegati importanti relativi a spedizioni ed ordini.

REGOLA N° 2: Come difendersi. Poche regole, ma fondamentali, sono necessarie: innanzitutto è consigliabile fare dei backup periodici sia sui sistemi fissi che mobile. Avere sempre un hard disk esterno dove salvare i documenti più sensibili e utilizzare questo hard disk, preferibilmente, solo su computer senza accesso alla rete internet. Avere sempre un antivirus installato sia sul proprio smartphone sia sul pc. E aggiornarlo sempre, perché un antivirus non è aggiornato non serve a nulla. Infine, ma forse il punto più importante: fare sempre attenzione a quello che visitiamo durante la navigazione e a quello che stiamo per scaricare o aprire. Non agire d’istinto ma farsi sempre tre domande: conosciamo la fonte? E’ affidabile? E’ necessario? Se alle tre domande abbiamo tre sì, procediamo, altrimenti è consigliabile fermarsi.

E se si è stati attaccati? Contattateci per valutare il livello di infezione, la gravità del danno subito e procedere al recupero dei dati attraverso tool di rimozione che sbloccare il pc da Cryptolocker o affidando il recupero a soluzioni sviluppate da aziende di sicurezza informatica e di recupero dati in laboratorio.