venerdì 31 maggio 2013

Nuovo modulo della botnet Rmnet disattiva gli antivirus

Doctor Web — produttore degli antivirus Dr.Web — informa che nella botnet esistente Rmnet sono comparsi due moduli nuovi, uno dei quali permette ai malintenzionati di disattivare programmi antivirali installati sul computer vittima. Doctor Web ha potuto prendere il controllo di una delle sottoreti di Rmnet in cui funzionano questi moduli malevoli.


In precedenza, Doctor Web avvisava della vasta diffusione dei file virus Win32.Rmnet.12 e Win32.Rmnet.16 che sono capaci di organizzare reti dannose. Ricordiamo ai nostri lettori che Win32.Rmnet sono programmi del genere “file virus”, sono composti da più moduli e possono propagarsi da soli. Le funzioni principali di questi malware permettono di incorporare contenuti fraudolenti nelle pagine web visualizzate dall’utente (web injection), reindirizzare il browser ai siti creati dai truffatori e inviare sui server remoti le informazioni digitate dall’utente in formulari sul web. I virus “Rmnet” possono anche rubare password di accesso a diversi client FTP, quali, per esempio, Ghisler, WS FTP, CuteFTP, FlashFXP, FileZilla e Bullet Proof FTP.

Gli specialisti di Doctor Web hanno potuto intercettare una sottorete di Win32.Rmnet (in aggiunta a quelle già controllate) utilizzando il metodo “sinkhole”. Abbiamo osservato che in questa sottorete si propagano due moduli malevoli nuovi che abbiamo chiamato con il nome generale Trojan.Rmnet.19. Uno di questi moduli cerca macchine virtuali in uso sul computer infetto, mentre l’altro è di particolare interesse. Emulando le azioni dell’utente (clic con il mouse su icone corrispondenti) questo modulo malevolo disattiva gli antivirus Microsoft Security Essential, Norton Antivisus, Eset NOD32, Avast, Bitdefender, AVG installati sugli elaboratori compromessi.

Se il computer bersaglio è protetto dall’antivirus Dr.Web, non corre alcun rischio che la protezione venga disabilitata perché i nostri software prevedono l’inserimento del codice Captcha e Trojan.Rmnet.19 non riesce ad oltrepassare questa misura preventiva.





Esaminando la sottorete intercettata abbiamo visto che il virus scarica dal server di gestione sul computer infetto sette moduli, cioè: 
  • un modulo nuovo che può disattivare programmi antivirali; 
  • un modulo che ruba cookies; 
  • un server FTP locale; 
  • un modulo studiato per eseguire web injection; 
  • un modulo studiato per rubare password dei client FTP; 
  • un modulo nuovo che può scoprire la presenza delle macchine virtuali; 
  • un modulo utilizzato dai malintenzionati per avere accesso remoto al sistema infettato. 

Oltre a questi moduli, i file virus “Rmnet” includono i componenti base: 
  • un componente che carica altri moduli nella memoria del computer; 
  • un backdoor; 
  • un modulo che rimuove programmi antivirus. 
Secondo i dati del 22 maggio 2013, oltre 18.000 mila computer infetti si sono connessi al server di gestione intercettato da Doctor Web. Analizzando i dati statistici raccolti, possiamo concludere che i pirati informatici hanno scelto il Regno Unito e Irlanda come il loro target principale. Così 15.253 computer infetti (84,5%) si trovano su questo territorio, mentre il secondo posto nella statistica è occupato dalla Francia in cui abbiamo registrato 1.434 casi di infezione (7,9%). Seguiamo con attenzione gli sviluppi della situazione.

giovedì 23 maggio 2013

Work from Home Scam

Fonte: http://blogs.quickheal.com/wp/work-from-home-scam/

Ancora un altro tipo di truffa sui social media è entrato nel radar dei funzionari della sicurezza, ovvero il " Work from Home Scam".

Work from Home Scam sono per lo più dirette a persone che sono disoccupate e stanno cercando un lavoro che può essere effettuato anche nella comodità della casa. Tali lavori promettono uno stipendio attraente e una migliore vita di lavoro. Con Internet si può raggiungere ogni angolo del mondo, i truffatori non devono sudare per attirare la gente in queste frodi.

Come funziona un Work from Home Scam?

I principali metodi che gli impostori utilizzano per eseguire tali truffe, includono email di spam, pubblicità e persino bacheche. Queste frodi possono pubblicizzare diversi posti di lavoro in modo da attirare persone di diversa provenienza.

Ecco un esempio di Work from Home Scam in cui ci siamo imbattuti: 




Offriva un facile lavoro di vendita di prodotti di alcuni store online. Dovevamo vendere questi prodotti come offerte giornaliere e servizi sul nostro sito. L’annuncio forniva anche gli strumenti necessari per la creazione del nostro sito web e vendere questi prodotti. E più prodotti vendevamo, più soldi guadagnavamo. Sembra un lavoro facile e remunerativo non è vero? Anche noi abbiamo pensato così. Ma, quando abbiamo cominciato a registrarci per l'offerta di lavoro, siamo sbarcati su una pagina in cui avremmo dovuto fare una transazione online di 4000 rupie (circa 55€) come quota di iscrizione. È stato a questo punto che ci siamo accorti di un'altra truffa di marketing online.

Il nostro team di malware ha recentemente scoperto che questo tipo di truffe vengono postate anche su social media come Facebook. Ecco uno screenshot. 



Work from Home Scam di solito appaiono sul lato destro o sinistro della pagina di un sito web. Ecco un esempio di un falso annuncio di Google che promette una paga ridicola di 4000 rupie all'ora (circa 55€).

Soluzioni di sicurezza complete come quella di Quick Heal possono tornare utili nel bloccare le email di spam (che di solito trasportano tali annunci pubblicitari). Per quanto riguarda gli annunci che appaiono sui siti web, dovete stare attenti e, soprattutto, aggiornati su tutte queste truffe.

venerdì 10 maggio 2013

28 applicazioni su Google Play diffondono cavalli di troia per Android

Il team di Doctor Web – società russa per la sicurezza informatica – comunica che su Google Play sono state scoperte 28 applicazioni il cui modulo adware può scaricare cavalli di troia su dispositivi Android. Sono più milioni le installazioni di queste applicazioni. 


La pubblicità visualizzata da applicazioni per Android è da un lungo tempo un metodo di guadagno per gli sviluppatori di software. Tuttavia, già nell’anno 2011 i malintenzionati hanno cominciato a sfruttare la pubblicità per Android per propagare cavalli di troia. Vi ricordiamo che uno dei più diffusi cavalli di troia per Android è Android.SmsSend, nome secondo le categorie di Dr.Web, che invia dai cellulari compromessi SMS a prezzi elevati o abbona furtivamente gli utenti a diversi servizi a pagamento. Di recente, Doctor Web ha riferito che cavalli di troia si propagavano attraverso la pubblicità per Android. Inoltre dobbiamo costatare che si sta espandendo la lista dei programmi malevoli che vengono diffusi in questo modo.

Benché si possano sfruttare le reti pubblicitarie per Android esistenti, quali Google AdMob, Airpush, Startapp e altri ancora, i truffatori hanno deciso di creare una propria piattaforma, a prima vista non diversa dalle altre. Questa rete offre agli sviluppatori di programmi per Android condizioni molto vantaggiose dell’uso dell’API pubblicitaria, facendo sperare alti redditi e un funzionale controllo degli account. Non è sorprendente che alcuni sviluppatori di app si siano interessati alla nuova piattaforma.


Come in molti altri moduli adware, in quest’API pubblicitaria si usa il metodo push per visualizzare messaggi pubblicitari. Con questo metodo, un messaggio pubblicitario viene visualizzato sulla barra di stato del dispositivo Android. Però, oltre alle funzioni dichiarate, questa piattaforma possiede diverse possibilità nascoste.

Così, gli avvisi push visualizzati dalla rete pubblicitaria dei truffatori possono informare l’utente della necessità di installare qualche aggiornamento importante di un’applicazione. Se l’utente accetta tale installazione, il modulo adware scarica un pacchetto apk e lo mette sulla scheda di memoria, nella cartella di download /mnt/sdcard/download. Inoltre, questo modulo può creare sulla schermata principale uno shortcut collegato al software appena scaricato e in seguito, lo shortcut, se cliccato dall’utente, avvierà il processo di installazione dell’applicazione corrispondente.

Un’indagine condotta dal team di Doctor Web ha dimostrato che i file apk scaricati in questo modo sono programmi malevoli appartenenti alla famiglia di malware Android.SmsSend. L’ulteriore analisi ha consentito di individuare la fonte da cui si scaricano questi programmi maligni. Sono server sui cui indirizzi IP sono registrati diversi falsi cataloghi di applicazioni. In particolare, in tre delle applicazioni analizzate, la piattaforma pubblicitaria fraudolenta si connette a un server di comando collocato all’indirizzo 188.130.xxx.xx, mentre negli altri venticinque casi, il server di comando si trova all’indirizzo 91.226.xxx.xx. Alcuni giorni fa, questi indirizzi già sono stati inseriti nel modulo Parental Control dell’antivirus Dr.Web per impedirci l’accesso degli utenti.



Di seguito riportiamo un elenco completo dei comandi inviati dai server di controllo che la piattaforma pubblicitaria malevola può accettare ed eseguire:

  • news – mostrare un avviso push
  • showpage – aprire una pagina web nel browser
  • install – scaricare e installare un apk
  • showinstall – mostrare un avviso push e installare un apk
  • iconpage – creare uno shortcut corrispondente a una pagina web
  • iconinstall – creare uno shortcut corrispondente a un apk scaricato
  • newdomen – cambiare l’indirizzo del server di comando
  • seconddomen – indirizzo alternativo del server di comando
  • stop – smettere di connettersi al server
  • testpost – invia la query un’altra volta
  • ok – non fare nulla

Oltre all’esecuzione di questi comandi, il modulo fraudolento è in grado di raccogliere e mandare al server di controllo le seguenti informazioni: imei del dispositivo mobile, il codice dell’azienda di telefonia e il numero imsi del cellulare.

Quest’API pubblicitaria è soprattutto pericolosa perché le applicazioni che la contengono sono state scoperte nel catalogo ufficiale Google Play che è considerato la fonte più sicura di applicazioni per Android. Siccome molti utenti hanno fiducia in Google Play ritenendolo una fonte sicura per scaricare programmi, il numero di installazioni delle applicazioni infette è diventato molto alto. La società Google restringe l’accesso alle informazioni statistiche di download, perciò non è possibile valutare con una precisione assoluta la quantità complessiva di applicazioni scaricate insieme al modulo adware malevolo. Però sulla base delle informazioni disponibili a Doctor Web, possiamo supporre che vi siano state eseguite oltre 5,3 milioni di installazioni. Quindi questo è l’indicente più grande fin dall’introduzione da parte di Google del sistema di sicurezza Google Bouncer.





Siccome l’API pubblicitaria ha funzioni malevole ed è connessa con siti web che propagano malware per Android, Doctor Web ha categorizzato questo modulo come un sistema adware creato dai pirati informatici appositamente per scopi dannosi. Il modulo è stato inserito nei database antivirali sotto il nome di Android.Androways.1.origin e non rappresenta alcuna minaccia per gli utenti del software Dr.Web per Android.

Fonte: http://www.freedrweb.com/show/?i=3484&c=19&lng=it

martedì 7 maggio 2013

I classici trucchi che un criminale informatico usa e in cui non cadere

I criminali possono escogitare vari modi per ottenere ciò che vogliono da voi. Ad esempio possono manipolare le persone a compiere alcune azioni o a rivelare informazioni riservate. Questo è conosciuto come Social Engineering ed è una forma dilagante di sfruttamento. Perché? Se è possibile ottenere l'accesso a tutto ciò che si desidera solo ingannando qualcuno, perché perdere tempo a creare un hack molto tecnico e sofisticato? 

Ma come fanno esattamente i criminali informatici a mettere in pratica questo Social Engineering?
  • Pubblicità e e-mail - Queste di solito attirano l’attenzione con il loro oggetto o il corpo del testo. 



  • Phishing - I cyber criminali fingono di essere entità reali (come un noto istituto bancario o finanziario, ecc) al fine di estrarre informazioni riservate tramite e-mail. 


  • Hoax - Generalmente conosciuta come 419 scam, le bufale sono usate dai criminali informatici per rubare denaro o dati sensibili. Un esempio: il criminale ruba un account della vittima e manda un messaggio agli amici della persona dichiarando di essere bloccato in un paese straniero senza soldi. Altri trucchi/menzogne potrebbero includere una domanda che suscita l'interesse dell'utente e poi li indirizza ad una schermata di login falso. I criminali possono essere alla ricerca di informazioni sul tuo conto, al fine di inviare spam o per tirare fuori un 419 scam. 



Alcune delle bufale includono sfruttare un attacco di panico oppure una recente calamità endemica o naturale. Ad esempio, dopo lo tsunami in Giappone, sono apparsi post un po’ ovunque su Facebook e Twitter. L'obiettivo è quello di truffare gli individui chiedendo donazioni per i soccorsi. Le persone che donano tramite questi siti spesso si ritrovano i loro dati della carta di credito e denaro rubati. Le classiche e-mail “Il tuo account è stato disattivato o bloccato” o “Hai vinto una lotteria” rientrano in questa categoria.




Shoulder Surfing - Guardare da dietro le spalle di qualcuno e scrivere i dati di accesso o PIN ATM.
Tailgating - Usare frasi come “Sono in ritardo e di fretta. Ti prego fammi entrare!” per creare urgenza e/o seguire fisicamente qualcuno in una zona ad accesso limitato.

Tenetevi aggiornati e consapevoli delle minacce e dei rischi esaminati. Uno dei modi migliori per evitare queste truffe online è quello di installare un buon software di sicurezza che rileva e blocca i siti dannosi o l'esecuzione di malware.