mercoledì 27 novembre 2013

Mailing di massa in Skype propaga un trojan bancario

Doctor Web — produttore di software antivirus — avverte gli utenti di una larga propagazione in Skype dei messaggi malevoli che trasportano i trojan bancari "BackDoor.Caphaw". Il numero più grande di tali messaggi è stato registrato nella prima metà di novembre 2013. Il trojan BackDoor.Caphaw può rubare credenziali di accesso ai sistemi di home banking e altre informazioni sensibili memorizzate sulla macchina infetta.




Il trojan BackDoor.Caphaw viene rilevato sui computer da circa un anno. Il trojan infetta il sistema operativo utilizzando le vulnerabilità (in particolare, il pacchetto degli exploit "BlackHole"), nonché la sua capacità di copiarsi su periferiche e unità di rete. Approssimativamente dalla seconda metà di ottobre 2013 il BackDoor.Caphaw ha cominciato a propagarsi tramite messaggi in Skype, e la maggiore intensità di questo mailing malevolo è stata dal 5 al 14 novembre. I malintenzionati inviano messaggi dagli account Skype degli utenti i cui computer sono già infetti. I messaggi includono un link a un archivio con il nome "invoice_XXXXX.pdf.exe.zip" (dove XXXXX è una stringa di cifre). L'archivio contiene il file eseguibile del trojan BackDoor.Caphaw.

Una volta avviato nel sistema operativo, il malware salva la sua copia come un file con un nome casuale in una delle cartelle delle applicazioni e modifica la chiave del registro di sistema responsabile dell'esecuzione automatica programmi. Il trojan è in grado di riconoscere l'avvio nella macchina virtuale, una caratteristica finalizzata a impedire l'analisi del programma malevolo.

Dopo l'installazione, il BackDoor.Caphaw cerca di incorporarsi nei processi in esecuzione e stabilisce una connessione al server dei malintenzionati. Il trojan segue le attività dell'utente e cerca di individuare eventuali tentativi di connessione ai sistemi di home banking. Se l'utente usa un sistema di home banking, il malware incorpora contenuti esterni nelle pagine web visualizzate e intercetta i dati immessi nei moduli web.

Inoltre, il cavallo di troia può registrare video in streaming sul computer infetto e trasmettere tale video al server dei malintenzionati. Il BackDoor.Caphaw scarica dal server remoto e avvia sul computer diversi moduli che arricchiscono le sue funzioni. Questi moduli addizionali cercano password di accesso ai FTP client e le trasmettono ai malintenzionati, funzionano come un VNC server, inoltre, un altro modulo è un bootkit che può infettare il Master Boot Record ecc. Un modulo separato invia messaggi malevoli in Skype.

L'antivirus Dr.Web rileva questa minaccia ed elimina il BackDoor.Caphaw quando tenta di penetrare sul computer protetto. Nondimeno, si consiglia agli utenti di non cliccare sui link ricevuti in messaggi in Skype, anche se il messaggio sia arrivato dall'account di un amico visto che il suo computer potrebbe essere già infettato dalBackDoor.Caphaw<,/vir>. Se si è diventate vittime di questa minaccia, si consiglia di avviare il computer nella modalità sicura di Windows e di eseguire una scansione completa tramite l'utility gratuita Dr.Web CureIt!, altrimenti si può utilizzare il disco di ripristino Dr.Web LiveCD.

lunedì 25 novembre 2013

Ancora novità su CryptoLocker

Abbiamo tenuto i nostri lettori aggiornati sul CryptoLocker - il ransomware che cripta i file e chiede soldi in cambio di una chiave privata per decrittografare i dati. Una volta che il malware cripta i file, la vittima ha 72 ore per pagare il riscatto ($ 300 USD), in caso contrario, la chiave privata verrà distrutta e i dati saranno persi per sempre. Ma ci sono delle novità: i creatori di CryptoLocker stanno dando alle loro vittime una seconda possibilità per ottenere indietro i loro file. Questa, tuttavia, avrebbe un costo più elevato.





I dati, una volta cifrati da CryptoLocker, non possono essere ripristinati senza acquistare la chiave privata. E una volta che questa minaccia viene rilevata da un software antivirus, viene rimossa dal sistema. Quindi, anche se la vittima cambia idea e decide di pagare il riscatto per riavere i propri “preziosi” dati, non saranno in grado di farlo. Abbiamo consigliato più volte agli utenti di non pagare i soldi per il ransomware, ma è vero che se un’azienda sta andando in crisi perché i suoi dati sono stati crittografati da CryptoLocker, è più probabile che l'imprenditore paghi il riscatto. Sembra che anche gli sviluppatori di CryptoLocker abbiano pensato a questa possibilità e hanno ideato un servizio di decrittazione online. Il recupero dei dati utilizzando questo servizio è di 10 Bitcoins o circa $ 2,120 USD.


Come funziona il servizio?

L'utente deve caricare un file crittografato sulla pagina del servizio, dopo di che riceveranno un numero d'ordine, che può essere utilizzato per controllare lo stato dell'ordine. Una volta che un ordine viene trovato, all'utente verrà richiesto di acquistare la chiave privata. Se il pagamento coincide con l'importo richiesto dagli ideatori di CryptoLocker, l'utente riceverà la chiave privata e una Decrypter per recuperare i propri dati.

Per riassumere:

Costo della chiave privata entro il termine tre giorni - $ 300 USD
Costo della chiave privata dopo il periodo di tre giorni - $ 2,120 USD (circa)

Ecco dove abbiamo discusso su CryptoLocker e come si può evitare che infetti i computer:

a) CryptoLocker – the New Ransomware on the Loose
b) Attenzione: nuovo ransomware in azione. Ecco quali precauzioni si dovrebbe prendere per prevenire la perdita dei dati

Fonti:
www.bleepingcomputer.com
http://blogs.quickheal.com

giovedì 14 novembre 2013

URLologist Dr.Web: prevenzione delle infezioni sui siti mobile

La società Doctor Web porta all'attenzione degli utenti il considerevole aumento del numero di siti per cellulari che eseguono reindirizzamenti verso risorse malevole. Tali siti non rappresentano alcuna minaccia se accessi da un computer o notebook, però diventano pericolosi una volta aperti nel browser sullo smartphone o tablet Android. Per informare gli utenti su come evitare tali siti, abbiamo messo a disposizione (in inglese) una nuova sezione chiamata URLologist Dr.Web in cui potete scoprire cosa sono i "mobile redirect" e conoscere le altre minacce moderne associate agli URL.


Anche se siete sicuri che i siti che visitate dai vostri cellulari siano attendibili, questa potrebbe essere un'opinione sbagliata. Per dire di più, talvolta neppure i proprietari e gli amministratori dei siti compromessi sanno che le loro risorse potrebbero mettere a rischio i dispositivi (e i portafogli) dei visitatori.

Generalmente, i siti web vengono governati dai cosiddetti sistemi di gestione dei contenuti (Content Management System, CMS) — ovvero un set di programmi per pubblicare pagine e per modificare i contenuti, l'aspetto e la struttura del sito in modo flessibile. La maggior parte dei sistemi CMS viene distribuita gratis sotto licenze open source, dunque il codice sorgente di questi programmi può essere conosciuto da chiunque si interessi. Pertanto, dopo aver studiato i programmi CMS, i malintenzionati possono trovarci vulnerabilità e in seguito possono sfruttare le falle per violare un sito gestito da questi programmi.

Se bersaglio degli hacker sono i dispositivi mobili Android, il sito violato non farà alcun danno agli utenti che ci entrano da un desktop o notebook. Ma una volta che lo script malevolo introdotto nella struttura del sito determina che al sito è accesso un utente di Android, esegue subito un reindirizzamento verso un'altra risorsa che cercherà di installare sullo smartphone un programma malevolo oppure sarà uno strumento di frode e di phishing.

Tramite i siti violati, i malintenzionati possono diffondere diversi programmi malevoli, i più comuni tra i quali sono i trojan Android.SmsSend. All'insaputa dell'utente, questi trojan spediscono SMS a costo elevato e abbonano l'utente a servizi a pagamento - in questo modo i malintenzionati possono rubare denaro dai conti di telefonia delle vittime. Tuttavia, oltre a questa categoria, sul dispositivo possono intrufolarsi altri malware, per esempio, programmi spia che rubano informazioni sensibili dell'utente, trojan bancari e applicazioni che mostrano pubblicità.

Secondo le stime di Doctor Web, circa il tre per cento di siti nella parte russa di Internet reindirizza gli utenti dei dispositivi Android verso risorse malevole che diffondono programmi dannosi. Nel valore assoluto, tali siti sono quarantacinquemila, mentre insieme ai siti fraudolenti e di phishing il numero complessivo di risorse pericolose può essere cento-duecentomila.

La nuova sezione del sito di Doctor Web fornisce agli gli utenti le informazioni sulle minacce mobile che sono soprattutto rilevanti per quelli che non hanno ancora installato un antivirus sul dispositivo mobile. Vi ricordiamo che il metodo migliore per proteggere il dispositivo è installarci una soluzione di sicurezza completa: per i dispositivi mobili tale soluzione potrebbe essere Dr.Web Mobile Security e per un PC/Mac Dr.Web Security Space.

Restate prudenti e attenti navigando nella rete mondiale e usate Dr.Web! Ai proprietari di siti proponiamo di collocare sul sito un modulo online che consente ai visitatori di controllare se un URL non attendibile contenga un "mobile redirect".

lunedì 11 novembre 2013

La Top 20 dei malware per Android

La natura open source di Android l’ha reso la piattaforma più popolare mobile nel mondo: al momento attuale, Google Android ha il 51,6 % della quota di mercato degli Stati Uniti (fonte: www.androidcentral.com, rapporto a partire da agosto 2013). Ma come come al solito c’è sempre il rovescio della medaglia. L'enorme popolarità del droide verde ha fatto aumentare l’interesse anche di hacker e criminali informatici. Questo è evidente dal fatto che il 99,9 % dei nuovi malware mobile che sono creati da parte di hacker sono progettati per colpire Android.

Ecco dunque una veloce carrellata dei 20 malware più diffusi riscontrati dal Quick Heal Threat Research e Response Team.






1 . Android.FakeRun.A
Android FakeRun.A è Trojan Android. È stato progettato per visualizzare gli annunci sul dispositivo infetto, per guadagnare i soldi per l'autore del malware.

2 . Android.NickySpy.A
Android.NickySpy.A è un Trojan Android che ruba le informazioni dal dispositivo infetto e le invia a un server remoto.

3 . Android GingerMaster
Android GingerMaster è un cavallo di Troia Android. Generalmente è incorporato in una falsa versione di giochi popolari.

4 . Android.Nyearleaker.B
Android.Nyearleaker.B è un cavallo di Troia Android. Questo malware si presenta sotto forma di un live wallpaper che sottrae informazioni dal dispositivo della vittima.

5 . Android.Ewalls.B
Android.Ewalls.B è un Trojan Android. Anche questo si finge come un’applicazione wallpaper, ma in realtà ruba informazioni dai dispositivi infetti.

6 . Android.Obad.A
Android.Obad.A è un sofisticato malware per Android che ottiene i privilegi di amministratore. Una volta avuti, non può essere rimosso manualmente dal dispositivo compromesso.

7 . Android.Iconosis.A
Android.Iconosis.A è un cavallo di Troia progettato per rubare informazioni dai dispositivi Android infetti. Una volta installato, il malware raccoglie il numero di telefono e il numero IMEI del dispositivo compromesso.

8 . Android.Aplog.A
Android.Aplog.A è un Trojan Android. Di solito è rilevato come una falsa versione di giochi legittimi; Temple Run è uno di loro.

9 . Android.FakeInst.AI
Android.FakeInst.AI è un Troja. Può consentire a un hacker di manipolare SMS e posizione dell'utente nel dispositivo Android compromesso.

10 . Android.Fakebrows.A2aab
Android.Fakebrows.A2aab è un Trojan Android che passa da un’applicazione legittima.

11 . Exploit.Lotoor.Af
Exploit.Lotoor.Af è un disegno exploit per ottenere i privilegi di root sui dispositivi Android. Una volta installato, l'exploit può ottenere la possibilità di eseguire qualsiasi attività sul dispositivo compromesso.

12 . Android.Fakelook.A5046
Android.Fakelook.A5046 è un backdoor. Questo malware si nasconde nel menu Applicazioni e raccoglie l'identità del dispositivo infetto.

13 . Android.Badao.A
Android.Badao.A è un Trojan. Il malware è progettato per manipolare il Short Messaging Service dei dispositivi infetti.

14 . Android.Fakeapp
Android.Fakeapp è un cavallo di Troia progettato per i dispositivi Android. Il malware visualizza degli annunci, scaricando i file di configurazione senza che l’utente ne sia a conoscenza.

15 . Exploit.Zergrush.C48
Exploit.Zergrush.C48 attacca qualsiasi vulnerabilità presente nel dispositivo Android attaccato, per ottenere i privilegi di root.

16 . Android.Downsms.A
Android.Downsms.A è un Trojan Android. Una volta installato, invia SMS a numeri a pagamento e può scrivere su una memoria esterna del dispositivo infetto.

17 . Android.MketPay.A
Android.MketPay.A è un Trojan. Si trova di solito nascosto in applicazioni legittime disponibili in molti mercati cinesi.

18 . Android.Tatus.A
Android.Tatus.A tiene traccia delle applicazioni installate nel dispositivo e invia questi dati a un server remoto. Si tratta di un cavallo di Troia.

19 . Android.Opfake.E
Android.Opfake.E è un cavallo di Troia rilevato su dispositivi Android. Esso viene fornito in bundle con una versione legittima del browser mobile Opera.

20 . Android.Ksapp.C
Android.Ksapp.C è un Trojan Android. Ruba informazioni sensibili e invia le informazioni raccolte su un server remoto.


Android Malware Detection da Quick Heal

Totale programmi maligni rilevati - 4,31,397
Adware - 94 %
Malware - 2 %
I potenziali programmi indesiderati (PUP) - 4%





Alcune info sulla Mobile Security

# La maggior parte delle app Android chiedono troppi permessi anche per svolgere le loro operazioni di base.

# Molti attacchi informatici sui telefoni cellulari avvengono attraverso applicazioni compromesse o browser web mobile sfruttati.

# Dal 2012, il numero dei malware che colpiscono la piattaforma Android è aumentato vertiginosamente del 600%.

# Jelly Bean sembra essere più sicurezzo rispetto alle versioni precedenti del sistema operativo Android. Tuttavia, circa il 50 % dei dispositivi Android ha un’altra versione di questo sistema operativo.

# Il numero di malware per Android ha già superato il milione. Questo è in netto contrasto con il malware del PC, che ha impiegato quasi un decennio per raggiungere questo numero.

# Smishing è una variante di phishing in cui i phisher utilizzano SMS per ingannare le loro vittime. Si tratta di tenta di rubare informazioni sensibili: questo si può fare persuadendo la vittima a visitare un sito web falso o a chiamare un numero di telefono. In alcuni casi, le truffe Smishing tentano anche di infettare dispositivi di destinazione con malware.

# Gli utenti mobile sono più suscettibili agli attacchi di phishing che gli utenti desktop.


Le fonti delle app Android

È sempre sicuro installare le applicazioni Android da GooglePlay o dalle loro fonti ufficiali, ma se si dà un'occhiata ai seguenti dati si potrebbe scorgere un fatto dietro l'esplosione di malware Android in questi ultimi anni.
Secondo uno studio condotto da AV-Comparatives, negozi di terze parti Android ospitano circa 7.000 applicazioni pericolose.




La tecnologia continua a muoversi con un ritmo sempre crescente. E con questa cresce anche la criminalità informatica. In questo rapporto vi abbiamo presentato un'analisi della top 20 dei malware che affliggono la piattaforma Android. E questa è solo la punta di un iceberg; gli autori di malware sono decisi a svilupparne di più sofisticati e dannosi. È vero che non è possibile essere inattaccabili, ma prendendo le giuste misure cautelative, utilizzando una soluzione affidabile di antivirus mobile e essendo noi stessi consapevoli della sicurezza delle informazioni, dovremmo riuscire ad essere più sicuri.

Fonte: quickheal.com


mercoledì 6 novembre 2013

Quick Heal per Android arriva anche in Italia!

Già presente da tempo sul mercato indiano, Quick Heal lancia la sua Total Security per Android anche su quello italiano.

In un periodo in cui sta aumentando a dismisura il numero di dispositivi mobile connessi a internet e di conseguenza anche l’interesse dei cyber-criminali verso di essi, la protezione degli smartphone è diventata di vitale importanza.
Quick Heal Total Security per Android permette di difendere i propri dispositivi mobile e i dati in essi contenuti da virus, malware e da altre minacce su Internet, ma non solo! Grazie alle funzioni di Anti-Theft e Cloud-Backup consente anche di proteggere i dati da furto, smarrimento e cancellazione accidentale.

Ecco in breve tutte le caratteristiche:

Protezione Antivirus - Protegge il tuo dispositivo individuando virus e applicazioni pericolose.
Antifurto - Individua e blocca da remoto il tuo dispositivo rubato o perduto.
Parental Control - Aiuta i genitori ad impedire ai figli l’accesso a siti inopportuni.
Blocco Chiamate - Blocca tutte le chiamate in arrivo degli utenti in Black List.
Blocco SMS - Blocca in automatico gli SMS indesiderati e di spam
Sicurezza Web - Blocca in automatico i siti web di phishing o contenenti malware.
Cloud Backup - Effettua il backup in Cloud dei tuoi dati personali.
Cancellazione da remoto - Cancella da remoto contatti, SMS e foto in caso di furto o perdita.
Localizzazione - Localizza su una mappa il tuo dispositivo rubato o perduto.

Presentato in esclusiva al meeting dello scorso 16 ottobre a Firenze, Quick Heal Total Security per Android è adesso disponibile per tutti voi s-mart point.
Per il mese di novembre inoltre si amplia la nostra grande offerta!

Se acquisti:
11 licenze Quick Heal di qualsiasi tipo ne ricevi 1 in omaggio + 5 Total Security per Android
22 licenze Quick Heal di qualsiasi tipo ne ricevi 3 in omaggio + 10 Total Security per Android
50 licenze Quick Heal di qualsiasi tipo ne ricevi 10 in omaggio + 20 Total Security per Android



Se volete maggiori informazioni su questo prodotto, contattate il vostro commerciale di riferimento oppure inviate una e-mail a info@s-mart.biz

Inoltre potete visitare anche la nuovissima versione del sito Quick Heal Italia: http://www.quick-heal.it/

Presto altre novità!!