lunedì 13 luglio 2020

Anche i cyber criminali sbagliano: TrickBot avvisa gli utenti dell'infezione e si fa scoprire


Per i cyber attaccanti è fondamentale che i malware restino più a lungo possibile non individuati una volta che infettano una macchina. Sono studiate e messe in pratica centinaia di differenti tecniche per ottenere i privilegi di amministrazione senza che un utente se ne accorga, per offuscare il codice del malware lasciando nascoste agli antivirus le porzioni di codice dannoso ecc...  Un malware che avvisa un utente di averlo infettato, a meno che non si tratti di un ransomware che manifesta la sua presenza nel sistema a fini estorsivi, è un vero paradosso. E infatti la nuova versione di TrickBot che avvisa l'utente dell'infezione configura un paradosso, ma è frutto di un errore piuttosto stupido dei suoi sviluppatori.

In dettaglio gli amministratori del malware hanno lasciato attivo un modulo di test che visualizza un alert che invita perfino a contattare l'amministratore di rete per affrontare il problema. Il contrario di quello che fa Trickbot di solito: infetta l'utente via email, poi si esegue nella maniera meno appariscente possibile sul computer, mentre scarica più moduli per eseguire differenti azioni dannose sul sistema, dal furto di password e cookie dai browser, al furto di chiavi OpenSSH fino alla diffusione laterale lungo la rete. Oltretutto gli sviluppatori di Trickbot guadagnano anche "affittando" le backdoor che lasciano aperte sulle reti a ransomware del calibro di Ryuk e del nuovo Conti. Insomma, se TrickBot avvisa della sua presenza su un sistema esegue un autogol da più punti di vista. 

La nuova versione e il modulo test

venerdì 10 luglio 2020

Ransomware Conti: è arrivato il successore di Ryuk?


Partiamo da un dato di fatto: Ryuk è, ad ora, il top ransomware. Può "giocarsela" con Maze, ma indubbiamente sta nella top dei ransomware ormai stabilmente da più di un anno. A Ryuk e Maze si deve una lievitazione impressionante della media dell'ammontare dei riscatti ransomware e un nuovo modello di attacco, una rivoluzione nel mondo di questi malware: colpire in maniera mirata target facoltosi (aziende ed enti) anziché perseguitare home user che al massimo possono spendere qualche migliaio di dollari per riavere in chiaro le foto delle vacanze. 

Il ransomware Conti è stato individuato nel Dicembre 2019, diffuso soltanto in attacchi mirati e isolati: da quel momento gli attacchi che lo hanno visto protagonista sono aumentati lentamente, ma alla fine di Giugno il numero di infezioni segnalate ha raggiunto livelli che cominciano ad essere allarmanti. Cogliendone le potenzialità, l'esperto di ransomware Lawrance Abrams ha cominciato quindi a tracciarlo ed analizzarlo. 

Qualche dettaglio tecnico

giovedì 9 luglio 2020

Italia nel mirino: ondata di attacchi di Phishing dell'Agenzia delle Entrate distribuisce il trojan bancario Ursnif


Il Computer Security Incident Response Team (CSIRT) da notizia di una serie di ondate di spam rivolte contro utenti italiani a fini di furto dati (phishing) e per la distribuzione del malware Ursnif. Le email utilizzate per la campagna, pur diverse, simulano comunicazioni ufficiali da parte dell'Agenzia delle Entrate. 

La campagna del 30 Giugno
Il primo alert dello CSIRT risale al 30 Giugno, ma la campagna è ancora in corso con nuovi vettori di attacco tantochè gli indicatori di compromissione sono stati aggiornati il 7 Luglio. 

L'email utilizzata, visibile sotto, simula una comunicazione ufficiale dell'Agenzia delle Entrate, con tanto di loghi e riferimenti legali in apparenza piuttosto precisi: nell'oggetto si fa riferimento ad una (falsa ovviamente) necessità di verifica della conformità di alcuni pagamenti. In altre versioni invece la comunicazione sembra provenire direttamente dal Direttore dell'Ente.

mercoledì 8 luglio 2020

Microsoft ha attaccato e messo offline i domini usati per il cybercrime a tema Covid


Microsoft ha preso il controllo e messo offline una serie di domini utilizzati dai cyber attaccanti come parte integrante delle infrastrutture necessarie per lanciare massivi attacchi di phishing  finalizzati al furto dei dati sfruttando la paura della pandemia. 

L'elenco dei domini attaccati è stato redatto dalla Digital Crimes Unit di Microsoft: sono tutti domini individuati mentre erano in uso per tentativi di compromissione degli account di utenti Microsoft nel Dicembre 2019. La maggior parte di questi erano usati per attacchi di phishing comuni, ma una parte consistente era invece usata per attacchi BEC, nei quali si cerca di convincere un addetto ai pagamenti dell'azienda (spesso tramite furto d'identità di un superiore) ad effettuare versamenti verso conti bancari controllati dagli attaccanti. 

La tipologia di attacco più diffusa tramite questi domini prevedeva l'uso della paura del Covid per accedere e prendere il controllo degli account Office 365, concedendo l'accesso ad app dannose controllate dagli attaccanti. 

"Oggi il tribunale distrettuale degli Stati Uniti, distretto orientale della Virginia, ha svelato i documenti che descrivono i dettagli del lavoro svolto da Microsoft per bloccare la rete di criminali informatici che stava utilizzando la pandemia Covid come copertura per frodi contro clienti Microsoft in più di 62 paesi nel mondo" ha spiegato qualche giorno fa Tom Burt, Vice President for Customer Security & Trust di Microsoft Corporate. 

lunedì 6 luglio 2020

ThiefQuest: il misterioso ransomware per Mac che ruba anche dati e informazioni


E' stato individuato un malware per la cancellazione e il furto dati chiamato ThiefQuest: utilizza un ransomware come copertura, ma il vero scopo sembra essere quello di rubare informazioni sensibili agli utenti Mac. Il malware si diffonde tramite installer crakkati di app popolari: i file installer, diffusi via torrent, altro non sono che una copertura per il malware. 

Va detto che non è affatto comune, ma i ransomware pensati per colpire la piattaforma macOs non sono nuovi: in passato ci sono stati KeRanger, FileCoder e altri malware con varie funzionalità compresa quella di criptare i sistemi. ThiefQuest pare, in prima battuta, inserirsi in questa lista. 

Dalle prime analisi è risultato che ThiefQuest ha la capacità di verificare se si trovi in esecuzione in una virtual machine o in una sandbox ed è dotato di alcune funzionalità anti debug: i suoi sviluppatori hanno lavorato non poco per impedire che i ricercatori potessero analizzare il codice. Il malware verifica anche la presenza di alcuni tool di sicurezza piuttosto diffusi come il firewaell Little Snitch e soluzioni antimalware come Kaspersky, Norton, Avast, DrWeb, Bitdefender, McAfee ecc... 

Le comunicazioni col server di comando e controllo avvengono tramite una reverse shell: il malware si connette al dominio http://andrewka6.pythonanywhere[.]com/ret.txt per ottenere l'indirizzo IP del server di comando e controllo per scaricare ulteriori file dannosi e inviare dati dal sistema infetto. Nei fatti, spiegano i ricercatori, con queste capacità l'attaccante può mantenere il controllo completo sull'host infetto. 

La distribuzione avviene sui siti torrent