giovedì 27 ottobre 2016

Mac non inattaccabili come sembrano? Prova Quick Heal Total Security per Mac!

I Mac non sono così invulnerabili come pare. Eppure tuttora continua ad essere largamente diffusa e popolare la credenza secondo cui, in caso di utilizzo di un Mac, non ci dovremmo affatto preoccupare di virus e malware.
Purtroppo per gli utenti Mac, il numero di malware progettati per attaccare webcam e microfoni delle macchine Mac, così da registrare le loro attività senza che ne siano consapevoli, è in costante aumento.
Di conseguenza si rivela necessario mantenere il dispositivo al sicuro da worm, trojan e altri programmi dannosi.

La soluzione? Quick Heal Total Security per il Mac. 


Quick Heal Total security per Mac è un antivirus che, come suggerisce il nome stesso, è creato appositamente per proteggere il vostro Mac. Come altri prodotti di rimozione delle minacce, permette di navigare sicuri, bloccando tutte le mail indesiderate e l’accesso a siti web compromessi e/o di phishing, cosicché non vengano commessi furti delle vostre informazioni personali. Ma c’è molto di più!

Innanzitutto, nel caso si utilizzi il Desktop Parallelo per Mac, è utile sapere che tra le sue caratteristiche principali rientra anche la chiave di prodotto singola. Ciò ti permette di usare la tua chiave di attivazione di Quick Heal Total Security per Mac per attivare anche una copia di Quick Heal Total Security per Windows.

Questo antivrirus, però, non si limita solo alla protezione del tuo dispositivo e alle funzioni appena esposte, si preoccupa anche di proteggere i vostri figli dalle diverse minacce online, vista la presenza di siti sempre più inopportuni e diseducativi. La funzione Parental Control dà la possibilità di controllare, pianificare e gestire l’accesso a Internet dei vostri bambini: potete bloccare l’accesso a determinati siti web, in base alle loro caratteristiche e per categorie, inserendone l’URL in una blacklist.

Per la versione prova di un mese del prodotto, clicca qui

mercoledì 26 ottobre 2016

Locky's Saga: nuova versione del ransomware cripta in .THOR

A meno di due giorni dal rilascio della versione di Locky che cripta i file e ne modifica l’estensione in .shit, ci troviamo di fronte al rilascio di una ulteriore versione. Questa volta le estensioni dei file vengono modificati in .THOR.

Come viene distribuita?
Anche questa versione di Locky viene distribuita tramite una varietà di campagne di spam: le email contengono allegati VDB, JS e altri tipi. Una campagna, intercettata dai collaboratori di Bleeping Computer, ha come oggetto della mail “Budget forecast”  e contiene un allegato denominato
"budget-xls_[serie random di caratteri].zip."


L’archivio .zip allegato contiene in questo caso uno script VBS chiamato A32aD85 xls.vbs

Come cripta i file?

martedì 25 ottobre 2016

Locky's Saga: nuova versione del ransomware cripta in .shit



E’ stata rilasciata un’ulteriore versione del ransomware Locky.
Questo ransomware è tra i più temuti avversari dei ricercatori di sicurezza perché ha un algoritmo di criptazione che, a tutt’oggi, pare inviolabile: le versioni precedenti sono riconoscibili da estensioni quali .odin o .locky o .zepto (qui le "puntate precedenti"della saga di Locky).
La nuova versione, in un eccesso di “simpatia” dei cyber-crminali, cripta in .SHIT.

Come le versioni precedenti, questo ransomware viene installato usando un DLL che viene eseguito tramite Rundll32.exe. Una volta eseguito cripterà tutti i file bersaglio (secondo l'estensione) e ne modificherà l’estensione. Non infetta macchine sulle quali, come lingua in uso, è impostato il russo.




Come si diffonde?

lunedì 24 ottobre 2016

Attacco DDoS mette offline negli Usa siti come Twitter, New York Times, eBay, Netflix e altri

Un attacco clamoroso che rende l’idea della vulnerabilità dei siti occidentali più cliccati.



Per cominciare il contesto.
Un attacco di tipo DDoS (distributed denial  of service) ha colpito l’infrastruttura DNS di Dyn, non una azienda a caso, ma uno dei colossi del web hosting negli Stati Uniti. Il risultato dell’attacco è stato pesantissimo, mostrando nei fatti la debolezza dei grandi colossi occidentali.

Oscurati per due ore circa

L’attacco contro l’infrastruttura di Dyn ha avuto come conseguenza il fatto che centinaia di siti sono finiti offline per circa 120 minuti. Ma non stiamo parlando del blog di cucina o del piccolo portale, ma di siti del calibro di Twitter, Spotify, Cnn, New York Times, Financial Times, il marketplace di eBay, Reddit e perfino il colosso dei film in streaming Netflix, ma anche il Guardian, PlayStation Network, Xbox Live, Wired (.com), GitHub, PayPal (e altri)

giovedì 20 ottobre 2016

Ransomware alert! Exotic cripta anche i file eseguibili

NB: al momento non esistono soluzioni per la decriptazione dei file.

È in diffusione un nuovo malware chiamato Exotic ransomware.

Che tipo di ransomware è questo Exotic Malware?
Si tratta di un ransomware che non presenta caratteristiche molto dissimili o originali rispetto agli altri ransomware ad oggi in circolazione, fatta eccezione per il fatto che  cerca e cripta anche i file eseguibili: si rende così impossibile avviare i programmi il cui eseguibile viene criptato. La buona notizia è che la maggior parte degli eseguibili sono contenuti in cartelle che non sono un bersaglio previsto di questo ransomware: se vi capita però di avere degli eseguibili nella cartella dei Download, ad esempio, in caso di attacco saranno criptati.
Attualmente è in diffusione in modalità di sviluppo, con ben tre differenti versioni messe in diffusione in appena tre giorni. Richiede un riscatto di circa 50 dollari.
Rientra a pieno titolo nella categoria, sempre più numerosa, dei ransomware low-quality (ne abbiamo scritto qui).

Il processo di crittografia di Exotic Ransomware:

martedì 18 ottobre 2016

Ransomware low-quality: perché sono fonte di profitto nonostante bug e errori di programmazione?


Un tempo esistevano ransomware del calibro di  Cyrptolocker, di TeslaCrypt o di CBT Locker.
Ransomware
ben progettati, solidi, efficaci (valutazione, ovviamente, limitata al punto di vista tecnico).

E’ caduto il monopolio di CryptoLocker
Cryptolocker e CBT Locker sono ancora in circolazione, ma non sono più “monopolisti” nel mercato dei ransomware, TeslaCrypt “è stato suicidato” dai suoi stessi programmatori che ne hanno rilasciato pubblicamente la master key per motivi sconosciuti.
Questa situazione ha creato ampi spazi di “movimento” a nuovi, inesperti programmatori di ransomware, che si stanno accapigliando per lanciarsi nella mischia dell’affare RAAS (ransomware as a service): basso sforzo e guadagno garantito.

Il fenomeno dei ransomware open-source
Bisogna anche ricordare che ormai si trovano interi codici, o pezzi di codice, in giro per la rete, non necessariamente solo nel deep web (abbiamo parlato qui della discussione che ha scosso i ricercatori di GitHub riguardo alla funzionedei ransomware didattici) , che permettono anche a programmatori meno esperti di mettere insieme o ottenere il codice di un ransomware.

L’ingegneria sociale

lunedì 17 ottobre 2016

Ransomware alert! In diffusione una nuova versione di DXXD che attacca i server Windows



Il ransomware DXXD  ha colpito vari server e criptato i dati su questi ospitati almeno dalla fine di settembre. Se ne è parlato molto poco per il semplice fatto che, pochissimi giorni dopo il rilascio del ransomware e in conseguenza alle prime infezioni, alcuni ricercatori di sicurezza erano riusciti ad approntare un tool di decriptazione
Da qualche giorno è in circolazione una nuova versione del ransomware che, con alcune modifiche all’ algoritmo di criptazione, rende inefficace il tool di decriptazione.

La buona notizia è che gli stessi ricercatori sono riusciti a creare un nuovo decryptor per questa nuova variante: viene però distribuito privatamente ai soggetti che sono stati vittime del ransomware, così da impedire al programmatore del ransomware stesso di identificare la falla nel metodo di criptazione da lui pensato e prevenire quindi la possibilità che l’algoritmo venga nuovamente modificato (sotto ulteriori info)

venerdì 14 ottobre 2016

Exploit as a Service: perchè exploit kit e ransomware sono ormai coppia fissa

Era il 2013 quando si presentò nel mercato del cyber-crimine una combinazione di strumenti destinata a far sudare freddo varie aziende e enti: l’unione cioè dell’exploit kit BlackHole e del ransomware CryptoLocker.

Poco tempo dopo altri exploit kit fecero il loro debutto sulla scena: i temibili e assai diffusi Angler e Neutrino, i meno conosciuti ma altrettanto pericolosi Magnitude e Sundown.
Ad oggi si può affermare con certezza che circa il 20% dei ransomware viene diffuso via exploit, ma storicamente, gli exploit kit hanno diffuso una vasta gamma di malware differenti e con finalità diverse.

 

La top ten degli exploit

6.000 siti di e-commerce nelle mani di cyber-criminali


Le informazioni riguardanti i sistemi di pagamento online, come ben sappiamo, sono nel mirino dei criminali informatici.

mercoledì 12 ottobre 2016

Aggiornamenti per prodotti Microsoft, Adobe Flash Player e Acrobat Reader


Nella giornata di ieri, 11 ottobre 2016, Microsoft ha emesso alcuni bollettini di sicurezza per alcuni suoi prodotti, e Adobe ha rilasciato aggiornamenti per Flash Player e Acrobat Reader.

martedì 11 ottobre 2016

Ransomware Alert: CryLocker usa Imgur per inviare le informazioni sulle vittime


La maggior parte dei ransomware inviano direttamente le informazioni ai loro server Command&Control (C&C): da qualche tempo però abbiamo assistito alla diffusione di alcuni ransomware che non seguono più “questo protocollo”, ma che, invece, usano altri sistemi per recuperare le informazioni delle vittime.

Una delle ultime famiglie di ransomware, CryLocker (che viene solitamente rilevato come RANSOM_MILICRY.A) ad esempio sfrutta, per questo funzione, il famoso sito di image hosting  gratuito Imgur che permette agli utenti di caricare e condividere online con altri utenti.

E’ questa la prima volta che si osserva  l’uso del formato PNG per raccogliere informazioni relative ad un sistema infetto: questo ransomware cioè invia il file PNG contenete le informazioni sulla vittima in uno specifico album su Imgur, meccanismo che garantisce una più ampia possibilità di evadere all’individuazione di restare nascosto nel sistema.

Imgur è stato informato dell’uso che viene fatto del proprio servizio, ovviamente.
Attualmente si conoscono già circa 8000 casi di infezione, sparsi nel mondo: a meno di cambiamenti, non pare quindi essere in corso una campagna mirata verso alcuni tipi specifici di utenti. 

lunedì 10 ottobre 2016

Steam hacked! Alcuni account violati diffondono trojan

Alcuni utenti hanno segnalato la diffusione di un trojan nella famosa piattaforma di distribuzione digitale Steam: sono stati segnalati diversi account, evidentemente compromessi, dai quali vengono aperte sessioni di chat volte a convincere le potenziali vittime a fare clic su link esterni alla piattaforma. Secondo le segnalazioni, dagli account violati vengono inviati ( a insaputa dell’utente) una serie di messaggi di SPAM come quello visibile nella foto sotto: in questi messaggi si cerca di convincere la vittima a navigare sul sito videomeo.pw e guardare un video.



Quando la vittima apre la pagina, si apre una schermata che avvisa della necessità dell’aggiornamento dei plugin di Flash Player per poter visualizzare il video.

venerdì 7 ottobre 2016

Ransomware Locky: indicazioni per un ripristino parziale dei dati.

Fonte: tradotto e riadattato da bleepingcoomputer.com. Non possiamo garantire la totale efficacia di questi ripristini.


E’ possibile decriptare gratuitamente file criptati da Locky?
Sfortunatamente non è ancora disponibile un tool di decriptazione che rimetta in chiaro i file criptati dal ransomware Locky. Se ne potrà parlare quando qualcuno riuscirà a recuperare sulla chiave di decriptazione dal server Command&Control di Locky. Tenete quindi da parte i file, così da poterli recuperare non appena verrà rilasciato un sistema gratuito di decriptazione.

Mac inattaccabile? Individuati malware che possono rubare audio e video degli utenti


Rispetto a Windows, i computer Apple Mac sono considerati molto più sicuri in quanto sostanzialmente inattaccabili e inviolabili. Semplicemente, però, questa affermazione non è più veritiera: la colpa non è da imputare a Mac OS X, bensì ai cyber-criminali che stanno sempre più affinando le proprie tecniche.

giovedì 6 ottobre 2016

Yahoo! si fa rubare i dati di 500 milioni di account: se hai una mail Yahoo! leggi qui!

A fine Settembre Yahoo! ha annunciato il furto dei dati di 500 milioni di utenti: questo numero deriverebbe dalla somma di due attacchi avvenuti nel 2014 sui quali c’è il forte sospetto ci sia lo zampino di uno Stato, nel dettaglio la Russia. 













E’ stato il Wall Street Journal a rivelare il collegamento tra questo enorme furto di dati e la Russia; nell’Autunno del 2014 i tecnici di Yahoo! individuarono un attacco informatico finalizzato a cercare di ottenere i dati di una 40ina di utenti registrati: immediata fu la denuncia da parte di Yahoo! all’Fbi. Giusto qualche settimana dopo, gli stessi data center furono di nuovo attaccati e furono per l’appunto sottratti i dati di circa 500 milioni di account: impossibile stabilire se la fonte dell’attacco fosse la stessa del primo, ma il sospetto è grande.

La particolarità è che è in corso una trattativa di vendita tra la Ceo di Yahoo!, Marissa Mayer, e Verizon ed è proprio in questo contesto che sta emergendo la verità: Verizon è stata tenuta all’oscuro di questa enorme fuga di dati fino a pochissimi giorni fa. Anche perché negli Stati Uniti, la legislazione sulla privacy è molto meno stringente che in Europa: Yahoo! non era tenuta a comunicare la violazione dei propri data center poichè non sarebbe stato sottratto alcun dato finanziario.

mercoledì 5 ottobre 2016

Un nuovo ransomware open source per Linux divide la comunità di Infosec.

I ricercatori di sicurezza non sono stati in grado di decidere se pubblicare il ransomware open source su GitHub fosse una buona o cattiva idea. 


AGGIORNAMENTO: Zaitsev ha chiesto a Softpedia di rimuovere il progetto da GitHub poco dopo la pubblicazione dell’articolo che potete trovare qua sotto. 

CryptoTooper, un kit open source per la costruzione di un ransomware per Linux ha diviso la comunità Infosec a metà.

 La patata bollente al centro del dibattito è la stessa problematica che circondava i kit di programmazione dei ransomware EDA2 e Hidden Tear per Windows di Utku Sen.  Ovvero: è accettabile e corretto che ricercatori di sicurezza creino “ransomware a scopi didattici” e distribuirli poi su GitHub?

Ransomware alert: rilasciata la nuova versione di Cerber


La scorsa settimana è stata rilasciata una nuova versione del ransomware Cerber che presenta nuove funzionalità.  

lunedì 3 ottobre 2016

Rilasciata la versione 53.0.2785.143 di Google Chrome


È stata rilasciata la versione 53.0.3785.143 di Google Chrome per Windows, OS X e Linux.
Le vulnerabilità risolte da questo aggiornamento possono essere sfruttate per eseguire codici da remoto.