martedì 22 gennaio 2019

Google Drive può diventare il Server di comando e controllo dei malware?


Dato che ormai la maggior parte delle soluzioni di sicurezza controlla costantemente il traffico di rete per rilevare indirizzi IP dannosi, gli attaccanti sono corsi ai ripari usando sempre più spesso le infrastrutture di servizi legittimi per nascondere/gestire le loro attività dannose. 

Alcuni ricercatori di sicurezza hanno individuato una nuova campagna malware, collegata al popolare gruppo di cyber attaccanti DarkHydrus APT, che usa Google Drive come server di comando e controllo (C2). Il gruppo è conosciuto per aver sfruttato il tool open source Phishery per rubare credenziali a enti governativi e istituti educativi di vari stati del Medio Oriente. 

La campagna attuale
L'attacco in corso vede l'uso di una nuova variante della backdoor usata già in passato da questo gruppo: parliamo di RogueRobin, che infetta le vittime una volta che queste vengono indotte con l'inganno ad aprire un documento Microsoft Excel contenente una macro VBA integrata (una tecnica di infezione diversa dal passato, dato che il gruppo ha sempre preferito sfruttare vulnerabilità 0-day di Windows). 

lunedì 21 gennaio 2019

Il ritorno dell'exploit kit Fallout (col ransomware GandCrab)


Fallout EK è tutt'altro che una nuova conoscenza: ne abbiamo già parlato a Settembre dello scorso anno, quando numerosi ricercatori di sicurezza lo individuarono, in contesti diversi, a distribuire sia ransomware che trojan che altri tipi di programmi indesiderati. 

Dopo una settimana di pausa, tra il 27 Dicembre e il 4 Gennaio (periodo nel quale in Internet non c'era traccia di lui), Fallout è tornato in "in affari", con numerosi nuovi strumenti di supporto: il supporto HTTPS, un nuovo exploit Flash, la capacità di fornire il payload tramite Powershell ecc...

Prima di questa breve pausa, Fallout EK sfruttava due vulnerabilità:

- la CVE-2018-4878 di Adobe Flash Player (use-after-free);
- la CVE-2018-8174 di VBScript di Windows (esecuzione codice da remoto).

Le novità
Stando alle analisi di alcuni ricercatori di sicurezza, la nuova versione di Fallout EK è adesso capace di sfruttare la vulnerabilità CVE-2018-15982, scoperta e risolta da Adobe il 5 Dicembre 2018. Una volta sfruttata, la vulnerabilità CVE-2018-15982 consente all'attaccante di eseguire codice arbitrario sulla macchina bersaglio, se questa esegue Flash Player fino alla versione 31.0.0.153.

venerdì 18 gennaio 2019

10 years challenge: è (solo) una sfida social o un Grande Fratello?


Molti di noi si saranno accorti della nuova sfida che sta tenendo banco su Facebook e Instagram in questi giorni: parliamo della "10 years challenge", un gioco sui social nel quale si confrontano le proprie foto di oggi con quelle scattate dieci anni fa, usando l'hastag #10yearschallenge. "Un gioco innocuo, tipicamente da social" staranno pensando in molti.

Eppure, qualche giorno fa, la giornalista e scrittrice Kate O'Neill ha sollevato un vero e proprio polverone con un semplice tweet, nel quale si domanda (lecitamente aggiungiamo noi) se e come verranno usati questi dati. Nel dettaglio si domanda se il confronto tra le nostre foto di oggi e quelle di 10 anni fa serviranno ad addestrare un algoritmo di riconoscimento facciale, affinando la capacità di riconoscere come cambiano le persone col progredire dell'età.

Un passo indietro...il machine learning

giovedì 17 gennaio 2019

Torna alla carica la truffa di "Whatsapp Gold"


Nel mondo social, l'emergenza fake news e fake app non è affatto una novità, ma anzi la realtà quotidiana con la quale si devono confrontare milioni di utenti nel mondo. Tra queste "fake",  nel 2017 si era distinta una truffa che, tramite messaggi Whatsapp, invitava gli utenti a installare "Whatsapp Gold". Questo mese, leggermente rivista e corretta, questa truffa è tornata di nuovo a minacciare la nostra sicurezza. 

Whastapp Gold Scam
Così è stata definita dai ricercatori di sicurezza questa truffa, nella quale gli attaccanti inviano ad ignari utenti dei messaggi Whatsapp che li invitano a scaricare un update di WhatsApp per ottenere, appunto, la Gold Version della popolarissima app: Whatsapp Gold dovrebbe essere, così suggeriscono i messaggi fake, la versione premium di Whatsapp passando alla quale si sbloccheranno funzionalità e si otterranno abilità extra. Peccato che l'update altro non sia che il payload di un malware. Whatsapp ha già confermato che si tratta di una bufala diffusa da truffatori: non esiste infatti alcun Whatsapp Gold. 

mercoledì 16 gennaio 2019

Emotet Alert: nuova campagna spam diffonde una nuova e più pericolosa versione del trojan


Emotet ha segnato un periodo di attività ridotta la scorsa settimana, ma ieri alcuni ricercatori di sicurezza hanno individuato una nuova campagna di email di spam che distribuisce una nuova versione di questo trojan: nuove versione che presenta nuove funzionalità dannose.

Emotet in breve
Ricordiamo che Emotet, recante inizialmente solo funzionalità di trojan bancario, è attualmente annoverabile tra i malware modulari: è cioè pensato per subire l'aggiunta di altri payload che ne possono aumentare le funzionalità dannose (infostealer, ransomware ecc..). La costante evoluzione delle funzioni incluse in Emotet, lo renderanno per parecchio tempo uno dei protagonisti della Top10 dei malware di quest'anno. 

La campagna di distribuzione