venerdì 30 settembre 2016

Nuovo ransomware LOKMANN.KEY993


In questi giorni è stato segnalato un nuovo ransomware che, anche se non ha ancora un nome, è probabilmente una variante del cryptovirus Mobef, già in circolo da Aprile 2016.

giovedì 29 settembre 2016

Komplex: nuovo trojan per OS X


Si chiama Komplex il  trojan scoperto dai ricercatori di Palo Alto Networks, che colpisce i sistemi OS X di Apple. Komplex viene diffuso attraverso email di phishing, il cui testo contiene un messaggio in cui si promette di  rivelare dettagli sul futuro programma spaziale russo dal 2016 al 2025. Proprio per questo motivo, si pensa che il malware sia stato appositamente progettato per essere utilizzato contro comparti aerospaziali che utilizzano pc Apple.

Komplex: come agisce? 

Le email di phishing contengono al loro interno un allegato in forma di eseguibile: il .exe che, a sua volta, contiene il codice cifrato del malware, alcuni script e un documento in PDF. L’utente, dunque, è convinto che l’allegato della email sia un semplice documento PDF. Una volta che la vittima apre l’allegato, il codice del malware apre un documento in formato PDF di 17 pagine scritto in russo (“rosokosmos_2015-2025.pdf”).


Mentre l’utente si convince quindi che la mail contenga un semplicissimo file .pdf, Komplex installa sul pc un altro componente con funzione di dropper, che a sua volta installa un terzo componente eseguibile (“/Users/Shared/.local/kextd”), oltre ad un file plist (“/Users/Shared/com.apple.updates.plist”) ed uno script (“/Users/Shared/start.sh”): alla fine di questo processo l’eseguibile diventa quindi persistente, avviandosi ad ogni avvio del sistema operativo.

Il malware esegue poi alcuni controlli per rendersi invisibile agli antivirus e per rendersi conto se viene eseguito in una sandbox: uno di questi controlli, tramite  l’invio di una richiesta HTTP GET verso Google, ha lo scopo di determinare la presenza di connessioni Internet.
Komplex rimane latente fin quando non riceve una risposta dai server di Google: a quel punto avvierà la comunicazione col server C&C.

In base ai comandi e ai dati ricevuti, Komplex è in grado di scaricare file aggiuntivi sul pc ed eseguire comandi di shell arbitrari, il cui risultato viene spedito come risposta al server C&C.

Una notizia positiva: Komplex presenta un alto tasso di rilevamento da parte dei più comuni antivirus.

mercoledì 28 settembre 2016

IoT: grande attacco in Francia di DDos da botnet di Smart Device


Circa due settimane si è verificato uno dei più grandi attacchi DDoS nella storia dell’informatica.
L’attacco ha colpito varie vittime, tra cui, la OVH ( hosting provider con sede in Francia) è stata una delle principali vittime del DDoS (con punte di 1 Terabit al secondo).

Il ransomware Zepto ora cripta in .odin

Fonte: Quick-Heal Italia http://bit.ly/2cCaaWU



E’ in diffusione una nuova variante del ransomware Locky: questa versione non utilizza più l’estensione “.zepto”, ma utilizza l’estensione “.odin”, oltre a modificare il nome del file.

In sviluppo un ransomware ispirato a Voldemort.



Negli ultimi mesi, si è notato che alcune delle “minori”, o meno distribuite, infezioni da ransomware hanno iniziato a inserire elementi della cultura pop  nei loro schermi di blocco (come si può notare nell'immagine) piuttosto che concentrarsi sui pagamento. Questo è evidente in un ransomware scoperto di recente che rende omaggio a Voldemort, il cattivo della serie di Harry Potter.

venerdì 23 settembre 2016

Apple rilascia macOS Sierra e risolve numerose vulnerabilità in OS X, Safari e iCloud

Il 20 settembre 2016 Apple ha rilasciato macOS Sierra v10.12., la nuova versione del sistema operativo per i pc Mac. Nell’aggiornamento sono presenti alcuni fix di sicurezza in grado di risolvere numerose vulnerabilità, tra le quali alcune di gravità elevata in OS X Yosemite v10.10.5 e OS X El Capitan v10.11.6. Inoltre, è stata aggiornata la versione per server di macOS.

giovedì 22 settembre 2016

Il ransomware Fantom ricava il riscatto e l’indirizzo dal Filename



Una nuova variante del ransomware Fantom è stata scoperta la scorsa settimana dal MalwareHunterteam ed ha alcune caratteristiche interessanti, come l’elencazione e criptazione delle condivisioni di rete,  la capacità di generare in maniera casuale sfondi per il desktop e la criptazione offline.
Ma forse, la caratteristica più interessante è l’abilità del ransomware di stimare l’entità del riscatto e di impostare la email di pagamento in base al filename.

mercoledì 21 settembre 2016

Firefox e Tor sono risultati vulnerabili ad un attacco del tipo Man-in-the-middle.


Una vulnerabilità critica è stata trovata in tutte le versioni del browser Firefox di Mozilla che potrebbe consentire attacchi di tipo man-in-the-middle (quando cioè qualcuno segretamente ritrasmette o altera la comunicazione tra due parti che credono di comunicare direttamente tra di loro): lo stesso problema  riguardava anche la rete Tor. Quest’ultimo ha già risolto il problema rilasciando la versione 6.0.5 del browser mentre Mozilla non ha ancora rilasciato nessuna patch per risolvere il problema.

martedì 20 settembre 2016

Il ransomware HDDCryptor sovrascrive il tuo MBR utilizzando strumenti Open Source.


HDDCryrpto, anche chiamato Mamba, è una nuova variante di ransomware che attacca sovrascrivendo  settore di avvio principale del computer (MBR) e blocca l’accesso agli utenti. Erroneamente potremmo classificare HDDCryptor come un clone di Petya ma, in realtà, è precedente sia a quest’ultimo che a Satana, infatti è stato individuato su alcuni forum alla fine di Gennaio 2016. 
Questo ransomware non ha mai avuto una grande campagna di distribuzione ed è questa la causa della scarsa attenzione mostrata dai ricercatori di sicurezza.

Alert Vulnerabilità: aggiornamenti di sicurezza per Apple iOS, WhatchOS e Xcode

Apple ha risolto molte vulnerabilità dopo aver rilasciato alcuni aggiornamenti di sicurezza.
Alcune di queste vulnerabilità hanno una gravità elevata in iOS, watchOS e Xcode

venerdì 16 settembre 2016

Ransomware alert: in diffusione “Cerber3”




Come si diffonde?
Ci segnalano casi di utenti che, dopo aver scaricato dal popolare sito “Ammyy Admin” la demo del software di assistenza remota, hanno subito l'infezione, durante il processo di installazione, di un ransomware: nel dettaglio stiamo parlando del ransomware Cerber, che cripta i file (nella versione diffusa dal sito di Ammyy) in .cerber3 e chiede un riscatto di circa 500 dollari in bitcoin.

Come cripta i file?
Eseguendo il file eseguibile scaricato dal sito ufficiale di Ammyy, si avvia anzitutto il file ENCRYPTED.EXE, contenente appunto Cerber, che avvierà la criptazione  dei file present sul pc, sul server e nelle unità mappate di rete. In contemporanea, viene comunque copiato ed estratto il file originale di installazione di Ammyy.
Il processo segue le seguenti fasi:

Nuova versione di Stampado: cripta anche i file già criptati


Avere il proprio computer infettato da un ransomware ed avere tutti i propri file criptati è una esperienza orribile. Le vittime si sentono violate, impaurite, arrabbiate e, a peggiorare le cose, c'è la somma che dovranno pagare ai criminali per avere indietro i loro file. 

giovedì 15 settembre 2016

Alert Vulnerabilità: aggiornamenti di sicurezza per Google Chrome, Adobe Flash Player e altri prodotti Microsoft




In merito alle vulnerabilità recentemente rilevate, Google, Adobe e Microsoft, hanno rilasciato alcuni aggiornamenti di sicurezza. Alcune di queste vulnerabilità, come nel caso di Chrome, possono essere sfruttate quando un utente visita una pagina Web e in tal modo, l'attaccante, può ottenere informazioni sensibili o personali. 

Di seguito, le informazioni più importanti da conoscere. 

1. Aggiornamento di sicurezza per Google Chrome
2. Aggiornamenti per Adobe Flash Player
3. Aggiornamenti per prodotti Microsoft

mercoledì 14 settembre 2016

Ransomware alert: in diffusione il ransomware Crylocker. Miete 5000 vittime a settimana

Un nuovo ransomware, chiamato CryLocker,è stato individuato dai ricercatori del MalwareHunterTeam. I distributori del ransomware si spacciano per una fantomatica organizzazione Central Security Treatment Organizations



Quando il ransomware Central Security Treatment Organization, o Cry, infetta il computer cripta i file delle vittime e ne trasforma l’estensione in .cry.
Dopo chiede circa 1.1 bitcoins (circa 550 Euro) per decriptarli. Questa infezione ha alcune caratteristiche che solitamente non si trovano nei classici ransomware.
Per esempio , come Cerber, questo ransomware invia le informazioni delle vittime a un server C&C usando l’UDP (User datagram Protocol).
Utilizza anche siti pubblici come Imgur.com e Pastee.org per archiviare le informazioni delle vittime. Infine può chiedere a Google Maps API di geolocalizzare le vittime utilizzando l’SSID delle connessioni wireless nei dintorni, probabilmente al mero fine di aumentare la pressione psicologica sulla vittima.

lunedì 12 settembre 2016

Ransomware alert: in diffusione Philadelphia, evoluzione del ransomware Stampado


Tool di decriptazione gratuito (non garantiamo il funzionamento)
https://decrypter.emsisoft.com/philadelphia

Una nuova versione del ransomware Stampado (ne abbiamo parlato qui),  chiamato Philadelphia, è in vendita per circa 350 Euro, diffuso da uno sviluppatore di malware chiamato The RainMaker. Philadelphia è stato venduto inizialmente a un costo basso così da permettere a tutti i potenziali criminali di creare una campagna di ransomware avanzata ed eseguirla con poche risorse e competenze.
Secondo Rainmaker, Philadelphia “innova” il mercato dei ransomware con caratteristiche come il rilevamento automatico del pagamento e la decriptazione automatica, l’infezione attraverso  drive USB e la capacità di infettare altri computer attraverso la rete.
Una particolare nota deve essere fatta sul “pulsante di grazia” (Mercy Button) che permette al “compassionevole criminale” di decriptare automaticamente un particolare file della vittima in maniera gratuita.

venerdì 9 settembre 2016

Alert Vulnerabilità: ultimissimi aggiornamenti per Android, Apple OS X, iOS, Safari!




1. Sistema operativo Android


Google ha rilasciato il consueto aggiornamento di sicurezza mensile (Settembre) per risolvere diverse vulnerabilità riscontrate nel sistema operativo Android. Per tranquillizzarvi possiamo dire che non si hanno riscontri di effettivi utilizzi di queste vulnerabilità durante un cyber-attacco: sono però, sia chiaro, vulnerabilità reali, potenzialmente sfruttabili e nulla vieta che in futuro questo possa accadere.

Tipo di aggiornamento: sistema operativo Android
Numero di vulnerabilità risolte: 50
Vulnerabilità gravi risolte: 23 di gravità elevata, 7 critiche.

L’aggiornamento è stato suddiviso in tre livelli di patch progressive, ovvero due patch sono parziali e la terza è completa.

mercoledì 7 settembre 2016



Check Point, un team di esperti che lavorano per individuare e prevenire le minacce sui dispositivi mobili, ne ha individuata una nuova che ha infettato più di 40 app nello Store di Google e oltre 400 app su altri Store. Il malware è stato chiamato “DressCode” perché ha colpito principalmente giochi di moda – come i vari DressUp, Rapunzel e Monster High – ma anche guide a giochi famosi come GTA e add-on per Minecraft.

lunedì 5 settembre 2016

Sales Webinar Norman Security Portal- Martedì 6 Settembre, h 15.00



Come annunciato ormai diverso tempo fa,noi di  s-mart, in collaborazione con Mysecurity, distribuiamo in Italia l'antivirus in cloud Norman Security Portal. 

Per farvi conoscere al meglio le opportunità offerte, abbiamo deciso di sfruttare lo strumento del webinar per approfondire gli aspetti commerciali di questo servizio. L'endpoint protection nel cloud di Norman Security Portal infatti non va visto come un classico prodotto antivirus, ma come un vero e proprio servizio di protezione. 

Che cosa è un webinar?

giovedì 1 settembre 2016

Ransomware: individuata una nuova variante del ransomware Zepto



I Lab Quick Heal hanno individuato una nuova variante del ransomware Zepto (evoluzione a sua volta di CryptXXX), del quale puoi trovare qui altre info.

Come si diffonde:
Esattamente come le  precedenti versioni, Zepto si diffonde tramite campagne mail di spam contenenti allegati dannosi. L'allegato contiene, di solito, file JS o WSF. 
Il doppio clic sul file dell'utente ignaro ha come conseguenza l'esecuzione del codice dannoso nasosto all'interno del file: l'esecuzione è eseguita dal Windows Script Host (wscript.exe), apllicazione integrata sul Sistema Operativo Windows per avviare gli script.