giovedì 23 marzo 2017

Le nuove frontiere dei malware Android: sfruttare i framework plugin per infettare app legittime.



I Malware per Android stanno evolvendo e questa tendenza è diventata assolutamente chiara negli ultimi sei mesi: in questo periodo infatti diversi ceppi di malware stanno implementando la propria capacità di svolgere attività dannose attraverso i framework per i plugin. 

DroidPluign, Parallel Space e Virtual App sono alcuni dei framework plugin che sono stati usati da malware nei mesi recenti per diffondere malware, sopratutto adware. 

Che cosa sono i framework plugin?
Sono strumenti pensati per aiutare gli sviluppatori di Android. Il loro ruolo è estendere i sistemi operativi Android con funzioni e caratteristiche non previste nelle versioni base. Il loro ruolo principale è aggiungere il supporo per la virtualizzazione consentendo al SO Android di eseguire una macchina virtuale dalla quale eseguire un'altra funzione della stessa applicazione. E' grazie ai framework per plugin che alcune app social permettono all'utente di fare login in contemporanea su uno o più account social. 

Un'arma a doppio taglio...

mercoledì 22 marzo 2017

Ransomware CryptoShield: nuovo membro della famiglia CryptoMix, si diffonde via exploit kit


La famiglia dei ransomware CryptoMix si estende e conta un nuovo membro: CryptoShield 1.0 è stato individuato in the wild e viene distribuito via EITest e l'exploit kit RIG.

Come si diffonde...
CryptoShield viene diffuso attraverso siti compromessi: quando un utente ignaro naviga su questi siti, subisce una catena di attacchi EITest. EITest altro non è che un codice di attacco in Javascript che viene iniettato nei siti così da poter essere attivato dai visitatori. EITest, in questo caso, carica l'exploit kit RIG (che sfrutta le vulnerabilità dei software, sistemi operativi compresi, presenti nella macchina) e quindi scarica e installa il ransomware CryptoShield. Nel dettagglio lo script di EITest lancia il codice dannoso da un altro sito che ativa quindi l'exploit kit necessario per installare CryptoShield.

martedì 21 marzo 2017

Revenge Ransomare: nuovo membro della temibile famiglia CryptoMix. Si diffonde via Exploit kit


E' stata individuata una nuova variante della famiglia di ransomware CryptoMix, chiamata Revenge, diffusa via exploit kit. Questa variante presenta molte similitudini con il suo predecessore CryptoShield (anch'esso variante di CryptoMix) ma include cambiamenti minori comunque interessanti. Ad oggi non ha soluzione, quindi prestate molta attenzione ai siti sui quali navigate. 


Come si diffonde?
Revenge viene distribuito attraverso siti web hackerati, nelle pagine dei quali è stato aggiunto il javascript dell'Exploit Kit RIG: quando un utente visita il sito web dannoso, incrocia sulla sua strada il codice dannoso che tenterà appunto di eseguire l'exploit delle vulnerabilità dei software presenti nel computer al fine d installare il ransomware senza permesso e senza che l'utente ne sia a conoscenza. 

Come cripta i file?

giovedì 16 marzo 2017

Ti hanno rubato l'iPhone? Attenzione al phishing!


Ebbene si, i cyber-criminali ne hanno inventata un'altra delle loro: rubare le credenziali di accesso ad iCloud di coloro che hanno subito il furto del proprio iPhone. 

E' quanto ci racconta Brian Krebs, in un lunghissimo articolo che ricostruisce, passo per passo, l'intero sistema online pensato per truffare gli utenti della Apple. Con un nuovo trucco, ribattezzato da Krebs stesso come "iPhishing".  Si parla cioè di un vero e proprio "servizio" pensato per rubare al legittimo proprietario le credenziali di accesso agli account di iCloud e eseguire il reset delle stesse , così da poter rivendere l'account. 

Come è iniziata l'inchiesta di Krebs?

martedì 14 marzo 2017

PetrWrap: qualcuno ha rubato il ransomware Petya e lo ha reso ancora più temibile


E' stata individuata, in the wild, una versione "non autorizzata" del ransomware Petya, pesantemente rimodificata e che colpisce sopratutto le aziende. Questa nuova versione di Petya si chiama PetrWrap e attacca appunto reti aziendali usando l'utilità di Windows PsExec per installarsi su server e endpoint vulnerabili. 

Qualcuno ha "sviluppato" il ransomware Petya
Di Petya ne avevamo già parlato qua, come esempio di RaaS (Ransoimware as a service): fa parte di una famiglia di ransomware che comprende anche Mischa e GoldenEye, tutti e tre in vendita nel Dark Web.  Le persone che "affittano" Petya attraverso il servizio online ricevono il codice binario dannoso che dovrà poi essere inviato alle vittime via campagne di spam oppure tramite exploit kit, a seconda del metodo di distribuzione che viene scelto. Una volta che le vittime vengono infettate, tutte le informazioni sono inviate al gestionale di Petya, tramite il quale si gestiscono anche le operazioni di pagamento. I soldi ricevuti dai riscatti vanno in parte all'affittuario del ransomware, in parte ai gestori del servizio. 

lunedì 13 marzo 2017

Malware e Ransomware per Smartphone Android trovati pre-installati su 38 famosi modelli


Due grosse compagnie hanno scoperto che qualcuno ha segretamente installato malware su 38 diversi modelli di smartphone che le due compagnie stesse distribuiscono nel mercato. 

Secondo Chek Point, l'installazione delle app dannose è avvenuto in qualche punto della catena di distribuzione dei dispositivi stessi, in un punto intermedio tra l'uscita del telefono dall'industria manifatturiera e prima dell'arrivo alle due compagnie.

venerdì 10 marzo 2017

Nuova versione del ransomware Cerber: per la prima volta non modifica il nome dei file.


Da quando Cerber è stato rilasciato la prima volta, nei primi di Marzo del 2016, questo ransomware non si è limitato a criptare i file, ma anche, molto fastidiosamente, a criptare i nomi degli stessi. Questo rende molto molto difficile, per utenti e amministratori, determinare quali file sono criptati e ripristinarli dai backup. Nel tempo sono state lanciate diverse versioni di Cerber, ma questa caratteristica è sempre rimasta una costante.

Questo era vero fino ad oggi, poiché è stata infatti individuata una nuova versione di Cerber che lascia intatto il nome del file e aggiunge soltanto un'estensione casuale di 4 caratteri. Di seguito la foto

giovedì 9 marzo 2017

Fuga di dati dalla rete di spam più grande del mondo: più di 1,4 miliardi di utenti finiscono esposti online. E emergono gravi irregolarità...



E' stato diffuso in rete un database con più di 1,4 miliardi di indirizzi email combinati con nomi reali, indirizzi IP e spesso perfino indirizzi fisici: la più grande fuga di dati del 2017 (per entità, mentre per gravità attualmente il premio va all'operazione Vault7 di WikiLeaks, di cui abbiamo parlato qui), superiore anche a quelle che hanno riguardato Yahoo negli scorsi anni. 

Il database e i dati che contiene...
Questa repository, non garantita ed esposta al pubblico, è legata ai backup di rete di Fiume City Media (RCM), una tra le più famose organizzazioni di spamming, guidata da Matt Ferrisi e Alvin Slocombe: è stata individuata da ricercatori di MacKeeper e CSOOline.

mercoledì 8 marzo 2017

VAULT 7: WikiLeaks pubblica 8000 file che svelano l'arsenale per hacking della CIA


Due giorni fa WikiLeaks ha pubblicato una lunga serie di tool per l'hackeraggio usati solitamente dalla CIA per spiare milioni di individui privati, aziende, compagnie e associazioni in tutto il mondo. 

Questa fuga di dati, nome in codice Vault7, arriva dopo quella di un altro gruppo di hacker, autodefinitisi come "The Shadow Brokers", che erano già riusciti a entrare in possesso di alcuni di questi strumenti nell'Estate del 2016. Il gruppo, che affermò già al tempo pubblicamente di aver sottratto questi strumenti all'NSA (l'Agenzia di Sicurezza Nazionale statunitense), si è nel frattempo sciolto. 

Secondo la dichiarazione per la stampa rilasciata da WikiLeaks, l'organizzazione è entrata in possesso della "maggior parte dell'arsenale di hackeraggio della CIA, inclusi malware, virus, trojan, exploit "zero day", malware per il controllo dei sistemi da remoto e relativa documentazione". WikiLeaks ha deciso di non pubblicare online gli strumenti stessi, ma di limitarsi alla pubblicazione di pdf. 

venerdì 3 marzo 2017

RANSOMWARE DHARMA: risolvibile la criptazione in .dharma


Nel Giugno 2016 viene rilasciata la master key e il decryptor del ransomware Crysis. Pochissimi giorni dopo irrompe sulla scena una nuova famiglia di ransomware, Dharma appunto, molto simile al ransomware Crysis. 

Inizialmente usava una sola estensione, [indirizzo email].dharma. Poco tempo dopo ne sono uscite altre varianti, le più diffuse delle quali criptano aggiungendo al nome del file le estensioni [indirizzo email].wallet o [indirizzo email].zzzzz. 

Ricapitolando, le estensioni sono:

1. nomefile.[email].dharma
2.nomefile.[email].wallet
3. nomefile.[email].zzzzz

giovedì 2 marzo 2017

Cryptolocker alert: Italia sotto attacco. E' in corso una campagna di diffusione via PEC



Il ransomware Cryptolocker è ormai una nostra vecchia conoscenza. L'ultima versione, che si presenta col nome Crypt0L0cker, viene distribuita a più riprese con incessanti campagne di spam che prendono di mira Stati (tavolta Continenti) diversi, con una particolare attenzione per l'Europa e per l'Australia. In questi giorni è in corso una vasta campagna di distribuzione in Europa.

Stiamo ricevendo infatti, in questi giorni, moltissime richieste di aiuto per la decriptazione e di queste una buona quota proviene da vittime italiane. La stessa cosa, che ci dà appunto conferma della campagna di distribuzione, sta facendo Lawrance Abrams di BleepingComputer, anch'esso sommerso di richieste di aiuto. Conferma che il sito ID Ranmsomware (utile a individuare il tipo di ransomware di cui si è rimasti vittima caricando un file criptato e la richiesta di riscatto) ha registrato dati allarmanti: se a Gennaio il numero si assestava intorno a 100, in pochi giorni a metà Febbraio si sono registrati oltre 400  invii relativi a Crypt0L0cker.  Abrams ha poi chiesto al Microsoft Malware Protection Center conferma dell'effettiva campagna di distribuzione e i dati ottenuti sono chiarissimi, come si può vedere nella foto sotto.

mercoledì 1 marzo 2017

Ancora problemi per Wordpress: milioni di siti vulnerabili ad un exploit SQL injection.


Ancora problemi (ma questo è bello grosso) per Wordpress: milioni di siti vulnerabili ad un exploit SQL injection. 


C'è un famoso e diffuso plugin per Wordpress installato su più di un milione di siti web che produce una gravissima vulnerabilità in SQL. Il Plugin si chiama NextGEN Gallery ed è così popolare da avere esso stesso un set di plugin.  Questo plugin determina una grave vulnerabilità "SQL Injection" che potrebbe consentire ad un attaccante di rubare i dati contenuti nel database del sito web. Sucuri, agenzia di ricerca che ha condotto lo studio su questa vulnerabilità, ha dato una valutazione di rischio di questa vulnerabilità pari a 9 su 10 (critical risk), anche tenendo di conto il fatto che è sfruttabile anche da attaccanti non particolarmente abili.