venerdì 15 febbraio 2019

Emotet torna alla carica: nuova variante evita l'individuazione da parte degli antivirus


Del trojan Emotet abbiamo parlato recentemente, come un dei "Top 10 Malware" del 2019:  che stia diventando uno strumento malware estremamente pericoloso è un dato di fatto confermato anche da uno specifico avviso di sicurezza diramato dal CERT-USA nel Luglio 2018, dall'attenzione della comunità dei ricercatori di sicurezza, ma anche dal continuo investimento che i suoi gestori stanno facendo nel migliorarlo e affinarlo costantemente.

Emotet in breve
Emotet, conosciuto anche come Geodo o Heodo, è un trojan modulare sviluppato per rubare, principalmente, informazioni bancarie o finanziarie come le credenziali di accesso all'home banking o i wallet di criptovalute. Oltre a ciò, esfiltra dati sensibili, credenziali di login di svariate tipologie di servizi e informazioni personali. Non viene mai da solo, anzi, funge da distributore di altri trojan bancari, malware per il furto dati o bot modulari altamente personalizzabili come Trickbot.  Bersaglia utenti in tutto il mondo, con una particolare attenzione però a utenti statunitensi ed europei.

La nuova campagna

giovedì 14 febbraio 2019

Malware per macOS disabilita la protezione Gatekeeper


E' stata individuata una nuova variante di Shlayer, un malware multi-stage che colpisce esclusivamente utenti dei sistemi operativi Mac.  La nuova variante riesce ad ottenere i privilegi di amministrazione sul sistema infetto sfruttando una tecnica (vecchia di due anni, ma ancora efficace) con la quale disabilita il Gatekeeper, ovvero quella tecnologia, prevista in ogni macOS, che ha lo scopo di garantire che sul Mac vengano eseguiti solo software affidabili.

Shlayer è stato individuato in azione per la prima volta come parte di una campagna malware durata per tutto il Febbraio 2018, nella quale falsi Installer di Adobe Flash Player diffondevano alcune famiglie di malware per piattaforme Mac. 

La nuova versione

mercoledì 13 febbraio 2019

Fattura elettronica: esplode il rischio di attacchi via PEC. Campagna malware in corso in Italia


La recente normativa sulla fatturazione elettronica ha dato nuovo impulso all'uso della PEC, la Posta Elettronica Certificata. Di per sè la PEC è uno strumento molto utile, che garantisce la tracciabilità del mittente e l'ufficialità delle comunicazioni.  Nel mondo del cyber crimine, però, quando uno strumento informatico va incontro ad un utilizzo massivo, questo diventa immediatamente bersaglio delle attenzioni degli attaccanti come possibile mezzo per veicolare efficaci e capillari attacchi. 

Prima dell'entrata in vigore,  lo scorso 1° Gennaio, del nuovo sistema di fatturazione elettronica la PEC rimaneva uno strumento utilizzato in ambiti piuttosto limitati, sopratutto in caso di comunicazioni con le Pubbliche Amministrazioni, con gli ordini professionali o in altri ridotti ambiti di comunicazione formale. Nonostante la limitata diffusione, già nel Marzo 2017 le PEC erano state sfruttate per distribuire in maniera massiccia un ransomware, Cyrpt0L0cker. L'utilizzo della PEC infatti rende più credibile l'email e può indurre il destinatario ad aprire con più facilità eventuali allegati o link dannosi. 

Nuova campagna malware via PEC

martedì 5 febbraio 2019

Nuovo malware per MAC ruba credenziali bancarie e dei portafogli di criptovaluta


CookieMiner è un nuovo malware capace di rubare e esfiltrare dai browser web i cookie relativi ai wallet dei servizi online e ai siti web di scambio di criptovaluta, così come password, messaggi di testo e credenziali dellle carte di credito. Questo malware colpisce soltanto i dispositivi MAC e condivide parti di codice con esemplari di malware già conosciuti: OSX.DarthMiner e OSX.LamePyre. Tutti questi malware usano la backdoor EmPyre a fini di controllo da remoto e persistenza e per inviare comandi arbitrari ai MAC infetti dopo il successo dell'exploit. 

Dato che ormai la quasi totalità degli exchange di criptovaluta e dei servizi di wallet online usano metodi di autenticazione a più fattori, CookieMiner tenta di aggirare questi processi di autenticazione collezionando una complessa combinazione di credenziali di login, messaggi di testo e cookie web. 

CookieMiner consente ai suoi sviluppatori di mettere le mani su una grande quantità di dati dalle macchine compromesse: tutto inizia con uno script shell che avvia la raccolta dei cookie dal browser e li carica su un server remoto che esegue il servizio curldrop.

lunedì 4 febbraio 2019

Attenzione: attaccanti usano falso TeamViewer per diffondere malware


TeamViewer è un famosissimo software di condivisione del dekstop da remoto: è usato da oltre 1 miliardo di utenti e, ovviamente, è un target assai interessante per i cyber truffatori. Qualche giorno fa alcuni ricercatori di sicurezza hanno individuato una campagna malware che attacca gli ignari utenti con una versione manomessa e dannosa di TeamViewer

N.B: il sito ufficiale di TeamViewer NON E'STATO COMPROMESSO. I download dal sito ufficiale sono sicuri. Le versioni dannose in analisi provengono da fonti di terze parti.

Tutto inizia il 20 Gennaio, quando un ricercatore di sicurezza che gestisce il Twitter di FewAtoms ha rilevato un URL dannoso contenente una directory aperta che conduceva gli utenti al download di un archivio auto-estraente. Analisi approfondite di questo archivio hanno portato a individuare, "travestito" appunto da TeamViewer un trojan-spyware programmato per raccogliere e rubare le informazioni dell'utente.