Articoli

Ginp, il trojan Android che finge di segnalare i contagiati da Coronavirus

Si chiama Ginp il mobile banking trojan che, in cambio di una piccola somma di denaro, promette di visualizzare la posizione delle persone risultate positive al coronavirus. In realtà il suo scopo è, ovviamente, quello di rubare i dati delle carte di credito delle vittime.

Tra le numerose campagne di attacco che sfruttano l’emergenza coronavirus per colpire le ignare vittime giustamente desiderose di ottenere informazioni aggiornate sulla diffusione del Covid-19, ce n’è una particolarmente insidiosa che sta colpendo gli utenti Android mediante il mobile banking trojan Ginp.

Come funziona il trojan Ginp

“Ginp si installa via link che arriva via whatsapp, sms e mail anche da mittenti presi dalla rubrica della vittima”, spiega Paolo dal Checco, noto informatico forense. “Il link porta a un’app da installare, che contiene il trojan”.

Dopo aver compromesso lo smartphone della vittima, il trojan Ginp entra subito in azione ricevendo dal server C2 controllato dai criminal hacker un comando che gli consente di avviare il Coronavirus finder, una finta applicazione Web che carica sul dispositivo una pagina in cui, in cambio di un piccolo contributo economico di 0,75 euro, promette di mostrare la posizione delle persone risultate positive al coronavirus e che si trovano nelle vicinanze.

Per convincere la vittima ad utilizzare questo particolare “servizio”, Ginp usa un’esca particolarmente subdola: la pagina Coronavirus finder, infatti, afferma che 12 persone infettate dal Covid-19 si trovano nelle sue vicinanze e promette di mostrare la loro esatta posizione.

Se la vittima accetta di visualizzare queste informazioni, viene reindirizzata ad una nuova pagina Web sulla quale può effettuare il pagamento. Una volta inseriti i dati della carta di credito, però, la vittima non riceve né l’addebito della somma di denaro richiesta né le informazioni relative alle persone “infette”.

Lo scopo dei criminali informatici è infatti esclusivamente quello di entrare in possesso delle credenziali della carta di credito dell’utente nel momento in cui vengono inserite per effettuare il pagamento.

Secondo i ricercatori Kaspersky che hanno individuato la nuova campagna malevola, per realizzare l’operazione “Coronavirus finder” i criminal hacker avrebbero preso spunto dall’applicazione “Shield” recentemente rilasciata dal Ministero della Salute israeliano che avvisa gli utenti qualora si fossero trovati in una località nello stesso momento di un’altra persona già identificata come vettore del Coronavirus.

Consente all’invio di comunicazioni promozionali inerenti i prodotti e i servizi di soggetti terzi rispetto ai Titolari con modalità di contatto automatizzate e tradizionali da parte dei terzi medesimi, a cui vengono comunicati i dati.

I dati sulla diffusione di Ginp mostrano che i principali obiettivi del mobile banking trojan sono stati finora gli utenti spagnoli, ma i ricercatori avvertono che questa operazione potrebbe espandersi rapidamente oltre il territorio iberico.

I consigli per difendersi

Al momento, il modo migliore per rendere inefficace la campagna malevola condotta con il trojan Ginp è quello di rimanere a casa. Questa misura preventiva, raccomandata anche dall’OMS, assicura infatti il rispetto della distanza di sicurezza dalle persone portatrici di Covid-19.

È importante, inoltre, fidarsi esclusivamente dei dati e delle eventuali applicazioni ufficiali rilasciate dai governi dei Paesi colpiti dalla pandemia, gli unici ad avere le informazioni esatte sulla diffusione del coronavirus.

“I criminali informatici hanno cercato per mesi di approfittare della crisi generata dal coronavirus lanciando attacchi di phishing e creando malware a tema. Questa è la prima volta, però, che vediamo un trojan bancario tentare di capitalizzare sulla pandemia. È una situazione allarmante, soprattutto perché Ginp è un trojan molto efficace. Per questo motivo incoraggiamo gli utenti di Android a prestare molta attenzione e a guardare con scetticismo a pop-up, pagine web sconosciute e messaggi sul coronavirus”, ha affermato Alexander Eremin, Security Expert di Kaspersky.

Per ridurre i rischi legati al trojan Ginp o ad altri mobile banking trojan, gli esperti di Kaspersky suggeriscono queste semplici regole di sicurezza informatica:
• scaricare solo le applicazioni presenti sugli store ufficiali di Android;
• non cliccare su link sospetti e non rivelare mai informazioni sensibili, come le password o le credenziali della carta di credito;
• installare sul proprio smartphone o sul tablet una soluzione di sicurezza affidabile che protegga da una ampia gamma di minacce, tra cui proprio i mobile banking trojan.

È utile sottolineare, infine, che il trojan Ginp colpisce esclusivamente i telefoni cellulari con sistema operativo Android e non gli iPhone con iOS di Apple.

 

Fonte: CyberSecurity360

PyXie RAT, il trojan che ruba credenziali ed esfiltra dati riservati dalle unità usb

Si chiama PyXie un nuovo RAT (Remote Access Trojan) scoperto dai ricercatori e in grado di compiere attacchi mirati su target appartenenti soprattutto a settori dell’istruzione, della sanità, tecnologici, governativi e per la vendita al dettaglio.

Subito dopo aver infettato il PC target, PyXie è in grado di compiere le seguenti azioni malevoli:

• rubare credenziali di accesso della vittima;
• effettuare operazioni di keylogging;
• registrare video ambientali;
• monitorare le unità USB collegate al PC ed esfiltrare dati riservati;
• avviare una connessione da remoto alla macchina infetta;
• distribuire altri malware.

Tutti i passaggi di un attacco col trojan PyXie

Le prime tracce del codice malevolo di PyXie risalgono al 2018, anche se solo negli ultimi giorni i ricercatori hanno osservato un picco di attività segno che i criminal hacker hanno iniziato ad usarlo per colpire le vittime designate. La catena infettiva di PyXie può essere suddivisa in tre fasi principali.

Nella prima fase, il trojan PyXie utilizza una tecnica di sideloading (letteralmente “caricamento di lato”, ma traducibile più correttamente con “trasferimento locale”) che gli consente di sfruttare applicazioni legittime già installate sulla macchina della vittima per caricare i componenti malevoli necessari a completare questa prima fase infettiva del malware.

Nella seconda fase della catena infettiva il trojan PyXie si installa automaticamente: il loader e il corrispondente payload vengono copiati in una specifica directory.

Subito dopo viene generato un codice univoco in funzione dell’hardware della macchina: tale codice sarà utile al malware per compiere altre operazioni tra cui la generazione di una nuova chiave di cifratura.

In questa fase, PyXie tenta anche di aumentare i propri privilegi in modo da riuscire a prendere il pieno controllo della macchina infetta. Il trojan, a questo punto, si preoccupa anche di garantirsi la persistenza nel sistema infetto cancellando tutte le sue attività dal Service Control Manager.

Nella terza e ultima fase della catena infettiva di PyXie viene avviato un downloader in grado di:

1. connettersi a un server di comando e controllo (C&C) su protocollo HTTP/HTTPS;
2. scaricare un payload cifrato;
3. decifrare il payload;
4. mappare ed eseguire il payload;
5. generare un nuovo processo per l’iniezione di nuovo codice malevolo.

Come difendersi da un possibile attacco

Le caratteristiche tecniche analizzate finora rendono PyXie difficile da identificare nelle macchine infette. Al momento, comunque, non sono state individuate attività malevoli in Italia anche se potrebbe essere solo questione di tempo.

Certamente, poi, un buon antivirus con antimalware, sandbox e firewall può essere un buon supporto per ridurre le possibilità d’infezione da malware.

Il consiglio per tutte le aziende, infine, è quello di mantenere alto il livello di consapevolezza degli utenti e dei dipendenti mediante una corretta politica di security awareness aziendale, avvisandoli periodicamente delle minacce in corso e utilizzando dove possibile un team di esperti per salvaguardare la sicurezza del perimetro “cyber” dell’organizzazione stessa.

 

Fonte: CyberSecurity360