mercoledì 30 agosto 2017

Botnet WireX: smantellata una grossa botnet di dispositivi Android usata per attacchi DDOS


Un numero molto ampio di ricercatori di svariati vendor di sicurezza ha individuato una botnet, chiamata wireX, composta esclusivamente da dispositivi Android compromessi. Tutti i dispositivi che sono finiti ad essere nodi della botnet sono accomunati dal fatto di avere installate app dannose progettate per generare grandi volumi di traffico finalizzati alla costruzione di attacchi DDoS coordinati. 

La rete è stata smantellata da una task force composta da vari team di ricerca, delle vittime stesse e dell'FBI: è bastato individuare il malware responsabile del "reclutamento" nella rete per metterla in down.

Qualche dato in più
La botnet WireX è stata attivata, si presume, intorno al 2 o 3 di Agosto: svariati sono stati gli attacchi DDoS lanciati, ma il picco si è sviluppato a partire dal 17 Agosto in poi. Vittime principali sono stati fornitori di contenuti digitali e Content Delivery Network (reti di distribuzione di contenuti digitali). Gli attacchi sono stati generati da oltre 70.000 smartphone distribuiti in oltre 100 paesi diversi. Il totale massimo di dispositivi attivati nel momento di picco è stato invece di oltre 120.000 dispositivi.Nella foto sotto, Akamai stima il numero di dispositivi componenti la rete in base al numero di IP unici individuati al momento del picco di attacco.

martedì 29 agosto 2017

Apple Warning. Un attacco di phishing che... funziona come un ransomware


Da qualche tempo stiamo scrivendo alcuni articoli volti a contraddire uno dei più comuni miti metropolitani, ovvero il fatto che i dispositivi Apple (iPhone, iPad e sopratutto i Macbook) non necessitino di antivirus nè particolari attenzioni perché, fondamentalmente, inattaccabili.
Abbiamo già parlato di malware per Mac pensati per attivare la webcam e registrare audio e video a insaputa della vittima, di un malware particolare come MacDownloader e di alcuni ransomware per Mac, come Patcher

In questi giorni però è stata scoperta una vera e propria truffa ai danni dei clienti Apple, particolarmente innovativa e inedita: un attacco di phishing che comporta il rapimento del dispositivo e, conseguentemente, una richiesta di riscatto per riaverne accesso.

Come funziona l'attacco
Si sono registrati svariati attacchi, sopratutto all'estero, ma l'Italia non è rimasta indenne. L'attacco comincia con la più classica delle email di phishing che viene confezionata per simulare una

lunedì 28 agosto 2017

Il ransomware SyncCrypt si nasconde dentro una immagine JPG


E' stato individuato, giusto qualche giorno fa, un nuovo ransomware che si diffonde in maniera un pò insolita rispetto ai tradizionali metodi di diffusione. Il ransomware in questione si chiama SyncCrypt, si diffonde tramite email di spam e modifica l'estensione dei file in .kk

Come si diffonde
Si diffonde tramite email di spam che contengono, come allegato, un file .WSF. Questo metodo di diffusione è piuttosto comune, ma c'è una particolarità che contraddistingue il download e l'installazione del ransomware, la quale rende interessante lo studio di questo malware. Lo script WSF infatti scarica alcune immagini che hanno integrati dei file .ZIP: questi a loro volta contengono i file necessari a infettare il computer. Questo metodo ha il grande vantaggio per i cyber-criminali di rendere praticamente invisibile l'eseguibile del ransomware alla maggior parte dei controlli da parte dei software antivirus. 

L'immagine e i file zip collegati

venerdì 4 agosto 2017

Il ransomware Cerber ora ruba anche le password degli account e dati dai portafogli Bitcoin


L'ultima versione del ransomware Cerber (ne abbiamo parlato qui)  ha avuto un aggiornamento che gli consente di rubare informazioni dai dispositivi delle vittime, come fosse appunto un infostealer (trojan pensati appositamente per rubare informazioni come le password degli account). 

Nel dettaglio questa ultima versione di Cerber può rubare le password dai browser e perfino file riguardanti i portafogli di Bitcoin. 

La funzione infostealer di Cerber
Più precisamente Cerber può rubare le password memorizzate nei browser web come Internet

giovedì 3 agosto 2017

Ransomware GlobeImposter: in distribuzione via email di spam in 4 diverse versioni

La campagna di mail di spam Blank Slate ha legato per ora il suo nome al ransomware Aleta, una nuova versione del ransomware BTCware (chi volesse saperne di più può leggere qui). Da qualche giorno però sono riprese ondate di mail di spam provenienti dalla stessa fonti, ma che mettono in distribuzione diverse varianti del ransomware Globe Imposter. Nel dettaglio sono in distribuzione, praticamente in contemporanea, 4 diverse versioni del ransomware. 

Come si diffonde?
La campagna Blank Slate prende il nome dal fatto, caratterizzante della campagna stessa, di non recare nessun testo in oggetto della mail.

mercoledì 2 agosto 2017

[Quick Heal Lab] Report delle minacce 2° trimestre 2017: Ransomware e Exploit


Nel secondo trimestre del 2017, i Lab Quick Heal hanno individuato oltre 224 milioni di malware: il mese di Aprile detiene il record di individuazioni. Rispetto al primo trimestre del 2017 abbiamo registrato una riduzione del 24% nel numero delle individuazioni (nel primo trimestre furono 295 milioni di malware). Il tipo di malware più individuato in questo trimestre è un trojan che modifica le impostazioni del browser e sottrae informazioni sensibili alla vittima. I free software si confermano come il mezzo più usato per la diffusione di infezioni, seguiti dalle email di spam e i dispositivi removibili. Sono stati individuati anche 8 nuove famiglie di Ransomware e bloccati oltre 1 milione di tentativi di exploit finalizzati alla diffusione di ransomware. 

Rispetto ad Android si è registrato un calo di individuazioni di malware del 21%. App Store di terze parti continuano ad essere la fonte prioritaria nella diffusione di app dannose. I ransomware per