venerdì 27 aprile 2018

Necurs: la più grande SPAM botnet usa una tecnica che bypassa gli antivirus per diffondere malware.


Necurs è indubbiamente la botnet più estesa al mondo, composta da milioni di dispositivi infetti finiti sotto il suo controllo: ne abbiamo parlato spesso, come "centro nevralgico" di attacchi spam, phishing e per la distribuzione di exploit e a malware di ogni tipo. 

Proprio in questi giorni ha subito un update: ha migliorato il proprio "equipaggiamento" e usa attualmente una nuova tecnica per infettare le vittime. Questa tecnica consiste nell'invio di una mail ad una nuova, potenziale vittima con un file allegato: questo file, una volta estratto, contiene un altro file in formato .URL. Questo è un tipico file di collegamento che apre una pagina web direttamente nel browser invece che in una location in locale. La destinazione finale di questo link è un file script remoto che scarica e esegue automaticamente il payload finale. 

Necurs distribuisce Quant Loader via file .URL
In questa particolare ondata di email di spam Necurs sta distribuendo con una massiccia campagna di spam Quant Loader, un trojan che fondamentalmente si limita a assicurarsi la persistenza sull'hoste e a scaricare altri malware.

Questa tecnica non è assolutamente nuova, perchè già in passato i cyber criminali avevano ausato dei file .URL: è però una novità assoluta per Necurs. Ciò che contraddistingue questa tecnica è la catena d'infezione semplificata, che si basa ora sulla distribuzione di un solo file .URL zippato. Il che è una novità appunto, perchè negli ultimi sei anni, da quando Necurs è apparsa sulle scene, ha sempre preferito catene di infezione piuttosto complicate. 

giovedì 26 aprile 2018

Un ransomware colpisce la Remote Management Interface di HP


E' in corso un attacco che colpisce le interfacce di gestione remota iLO4 di Hewlett Packard Enterprise: il ransomware in questione cripta il disco rigido e richiede un riscatto in Bitcoin. Non è certo se il ransomware cripti interamente il disco rigido o meno, ma si ha riscontro di centinaia di vittime colpite a partire da ieri. 

HPE iLO4,altrimenti conosciuto come HPE Integrated Lights-Out, è una tecnologia integrata di gestione server inventata appunto da HP Enterprise per consentire all'amministratore di gestire da remoto il dispositivo. L'amministratore può collegarsi all'iLO usando un browser web o un app mobile: si viene quindi accolti da una pagina di login, come mostrato sotto.

martedì 24 aprile 2018

Microsoft lancia la protezione anti-phishing e anti malware per Google Chrome


Ora, sappiamo tutti che i rapporti tra le due grandi major non sono idilliaci, anzi. Infatti il lancio di Windows Defender Browser Protection (WDBP) non avviene tanto una stretta collaborazione tra Microsoft e Google, ma a causa della convinzione di Windows di poter garantire, con questo nuovo add-on, una protezione anti-phishing più efficace di quella ottenuta dai meccanismi di protezione di Chrome.

WDBP: di cosa stiamo parlando?
E' un add-on gratuito per Chrome che utilizza la stessa tecnologia anti malware e anti phishing di Edge, browser che, a detta di Redmond, può difendere l'utente in maniera più efficace rispetto alla concorrenza: per affermarlo Microsoft si basa su un rapporto del 2017 che spiega cme WDBP di Microsoft sia in grado di bloccare il 99% dei tentativi di phishing contro l'87% di Chrome e addirittura il 70% per Mozilla.

venerdì 20 aprile 2018

Chrome Store infestato di falsi Ad-Blocker: colpiti oltre 20 milioni di PC.


Tre giorni fa Google ha rimosso dal Play Store di Android oltre 35 app infette: tutti falsi antivirus (per saperne di più) che avevano superato i controlli "all'ingresso" imposti da Google grazie alla capacità di simulare le stesse attività di un app antivirus legittima. Oggi arriva un altro report che, nonostante gli sforzi di Google, dimostra che il problema non è risolto né nel mondo Android né in quello dei PC.

Il report
AdGuard ha pubblicato un dettagliato report dove dimostra di aver individuato una lunghissima serie di estensioni infette che hanno registrato oltre 20 milioni di download complessivamente. La quasi totalità sono Ad-Blocker, cioè quelle estensioni che eliminano la pubblicità dalle pagine che visitiamo, impediscono l'apertura di pop up e, recentemente, bloccano anche i miner in browser di cripto valuta. 

Gli autori del report spiegano che il problema non è affatto nuovo, anzi: c'è solo stato un piccolo

giovedì 19 aprile 2018

Italia: attacchi malware e phishing via piattaforme di email marketing


I servizi di email marketing stanno diventando strumento molto utilizzato dai cyber criminali: la cosa è valida ovunque e l'Italia non fa eccezione anzi, si registra una crescita esponenziale di attacchi che sfruttano le piattaforme in questione per diffondere sia malware sia i più scontati attacchi di phishing. Per citare, tra tanti, un episodio "di peso" ricordiamo che, a Marzo, l'account della Red Bull fu violato e le sue liste di centinaia di migliaia di clienti furono usare per inviare una campagna di email di phishing massiva.

Lo conferma Libraesva, società italiana di sicurezza specializzata in sistemi di protezione per i servizi email. "Dallo scorso Dicembre" spiegano da Libraesva "abbiamo assistito ad una crescita di questo tipo di attacchi. La cosa sconcertante è che i pirati sembrano essere in grado di accedere ad un numero enorme di account compromessi, al punto da poterne utilizzare uno diverso al giorno".

Di che servizi parliamo?

mercoledì 18 aprile 2018

Android: gli aggiornamenti dei vendor sono disastrosi


Lo abbiamo detto varie volte: Android detiene il record di infezioni malware su piattaforma mobile. E, come tutte le cose, ciò ha un perché: anzi, più di uno. Il sistema "aperto" è la possibilità di installare app da qualsiasi shop presente online (si pensi a tutti gli app store di terze parti, difficilmente controllabili dal punto di vista della sicurezza... e già sappiamo che, nonostante gli sforzi, anche Google Play non è proprio una fortezza...) già spiegano in parte la debolezza della sicurezza di Android. La maggior parte dei danni però è causata dal sistema di aggiornamento. 

Citiamo qui il report dei Security Research Labs, pubblicato ieri e rintracciabile, in forma completa (in inglese)  qui

Qualche dato...

martedì 17 aprile 2018

L'update di Windows 10 introduce la protezione Ransomware


Anche se i ransomware si sono evoluti, diffondendosi molto meno tramite campagne di spam massive e privilegiando la distribuzione mirata, ciò non significa affatto che siano meno pericolosi. Microsoft concorda con questa affermazione evidentemente, tantochè lo Spring Creators Update ha introdotto una sezione dedicata alla Protezione Ransomware nelle impostazioni del Windows Defender Security Center. Questa nuova sezione è rintracciabile nelle impostazioni "Protezione da virus e minacce". 

lunedì 16 aprile 2018

Abbattuta EITest, rete di 52.000 server infetti usati per distribuire malware


Alcuni ricercatori di sicurezza sono riusciti a smantellare l'infrastruttura di comando e controllo dietro EITest, un network di server compromessi usati dai cyber criminali per distribuire malware, exploit kit e truffe di supporto tecnico. EITest, considerato "il Re della distribuzione di traffico", è un sistema composto da una lunghissima serie di server compromessi sui quali cyber attaccanti sconosciuti hanno installato backdoor: tramite queste backdoor, i criminali sottraggono traffico legittimo e reindirizzano gli utenti verso pagine web dannose. 

Questa attività dannosa è conosciuta col nome di "traffic distribution": molti cyber criminali costruiscono tali botnet e le affittano "ai colleghi" affinché possano sfruttare il traffico per compiere le proprie attività illecite. 

Nata nel 2011, in affitto dal 2014
EITest è comparsa sulle scene nel tardo 2011: inizialmente però non era un sistema di distribuzione di traffico affittabile. Gli autori lo usavano principalmente per distribuire i loro exploit kit, ad esempio Glazunov, che usavano per infettare gli utenti col trojan Zaccess. 

Al tempo, non costituiva assolutamente un grave rischio: gli operatori di EITest infatti hanno iniziato a rivedere e rielaborare la propria infrastruttura solo nel 2013, per poi iniziare ad affittarla ad altri autori di malware nel Luglio 2014.  Secondo vari ricercatori, EITest ha iniziato a vendere il traffico dirottato da siti compromessi a 20 dollari per 1000 utenti, vendendo blocchi di traffico di una dimensione minima di 50.000 utenti. Da allora EITest è diventato un problema reale per la cyber sicurezza, venendo coinvolto nella distribuzione di innumerevoli famiglie di ransomware (vedi qui e qui), rendirizzando enormi quantità di traffico verso exploit kit famosi e famigerati come Anlger e RIG e recentemente inviando perfino numerose truffe di ingegneria sociale (falso supporto tecnico, falsi pacchetti font, falsi update ecc...). 

Abbattuto il dominio chiave di EITest

venerdì 13 aprile 2018

Falla in Microsoft Outlook può consentire il furto delle password di Windows


Un ricercatore di sicurezza ha individuato una grave vulnerabilità presente in Outlook: per questa falla Microsoft ha rilasciato già una patch questo mese, ma incompleta, nonostante abbia ricevuto il report sulla stessa ben 18 mesi fa. 

CVE-2018-0950
La vulnerabilità in questione è la CVE-2018-0950 e consente ad un attaccante di sottrarre informazioni sensibili, comprese le credenziali di login dell'utente Windows, semplicemente convincendo una vittima a visualizzare in anteprima una email con Microsoft Outlook senza ulteriori interazioni da parte dell'utente stesso. 

La vulnerabilità è stata individuata da Will Dormann del CERT Coordination Center (CERT/CC) e risiede nella maniera in cui Outlook esegue il rendering di contenuti OLE ospitati in remoto quando viene visualizzato in anteprima un messaggio di posta RTF, avviando in automatico le connessioni SMB. Un attaccante remoto può sfruttare questa falla inviando una email RTF alla vittima designata, contenendo un file immagine ospitato in remoto, caricato dal server SMB controllato dall'attaccante. 

Come funziona l'attacco

giovedì 12 aprile 2018

Microsoft elimina la verifica della chiave di registro per gli antivirus da tutte le versioni di Windows


Microsoft ha deciso di rimuovere la verifica obbligatoria della chiave di Registro degli antivirus introdotta subito dopo la divulgazione delle vulnerabilità di Spectre e Meltdown (ne avevamo già parlato qui). Microsoft aveva deciso di usare la chiave di registro per impedire l'installazione degli aggiornamenti di Windows su computer che eseguono software antivirus incompatibili con le patch per Meltdown e Spectre. I vendor di antivirus dovevano creare questa chiave di registro sui computer degli utenti per segnalare l'effettivo aggiornamento dei propri prodotti con le modifiche necessarie a non interferire con le patch di Microsoft. 

Questo meccanismo ha però prodotto disagi non secondari: i software antivirus incompatibili sono andati in crash fino a portare Windows alla famigerata Blue Screen. 

Windows 10: già rimossa lo scorso mese la chiave di registro

mercoledì 11 aprile 2018

WebAuthn, un nuovo standard di autenticazione per superare il sistema delle password nel web


La Fido Alliance e il W3C hanno introdotto un nuovo standard per l'autenticazione nel web: molto intuitivamente, è stato rinominato "Web Authentication (o WebAuthn)" e, nel lungo periodo, dovrebbe soppiantare definitivamente l'uso delle password. Evidentemente il tema delle autenticazioni sicure è un tema assai caldo: qualche tempo fa parlammo dello standard WPA3, approntato da Wi-Fi Alliance, che introduceva, tra altre cose, la criptazione delle connessioni tra ogni dispositivo connesso e il router o punto di accesso (leggi qui l'articolo completo).

Google, Microsoft e Mozilla, i tre più importanti produttori di browser la mondo, hanno appoggiato ufficialmente la nuova API W3C (WebAuthn appunto), pubblicizzandola proprio come  alternativa affidabile all'autenticazione online senza password. 

WebAuthn

martedì 10 aprile 2018

Nuove varianti del ransomware Matrix: diffusi via Remote Desktop Service


Sono state individuate due nuove varianti del ransomware Matrix: entrambe vengono installate attraverso servizi di desktop remoto hackerati. Criptano i file presenti sul computer attaccato, ma uno dei due è più avanzato dell'altro, presentando più messaggi di debug e usando i blocchi per ripulire lo spazio libero. 

Sulla base dei messaggi di debug visualizzati dal ransomware quando è in esecuzione e da vari report, emerge che questo ransomware viene distribuito alle vittime "bucando" le password dei servizi di Desktop Remoto connessi direttamente al web. Una volta ottenuto l'accesso al computer, gli attaccanti caricano l'installer e lo eseguono. 

Due varianti in distribuzione...
Attualmente vengono diffuse due nuove varianti: entrambe diffuse via RDP, criptano anche le condivisioni di rete non mappate, mostrano una finestra con lo stato di avanzamento della criptazione, eliminano le copie shadow di volume così da impedire il ripristino del sistema e criptano appunto i file. Vi sono anche delle differenze tra le due versioni: le elenchiamo di seguito.

Variante 1:  [Files4463@tuta.io]

lunedì 9 aprile 2018

Un trojan sta flagellando l'Italia: si chiama URSNIF


Utilizza, per la diffusione, un sistema piuttosto raffinato di ingegneria sociale, si diffonde tramite allegati dannosi. Il fatto che la maggior parte degli antivirus in commercio ne riesca a riconoscere gli allegati infetti non ha ridotto, evidentemente, la diffusione dello stesso. Sembra banale, ma lo ripetiamo: se l'antivirus avvisa che un allegato è dannoso, forse non è il caso di aprirlo!

Come si diffonde...
non si tratta di un malware molto sofisticato, semplicemente gli attaccanti hanno trovato un sistema ingegnoso di diffusione. Nella quasi totalità dei casi i malware che si diffondono via email usano un meccanismo piuttosto ripetitivo per la diffusione: una volta infettato un computer, usano la lista dei contatti per inviare una serie di email con allegato il trojan stesso. E' una tecnica, questa, che ha goduto di grande successo tra i cyber truffatori negli anni 2000 circa, ma poi ha "perso smalto": una volta conosciuto il trucchetto, occorre essere molto bravi ad impostare in maniera coerente oggetto e contenuto delle email stesse per convincere la vittima ad aprire l'email stessa e l'allegato.

venerdì 6 aprile 2018

Il ransomware WhiteRose, diffuso solo in Europa, è decriptabile!


Recentemente è stato individuato un nuovo ransomware, ispirato indubbiamente alla famiglia di ransomware InfineTear. Questo ransomware è stato rinominato dai ricercatori come Whiterose perchè modifica le estensioni dei file criptati aggiungendovi l'estensione .WHITEROSE. Non è ancora chiaro come venga diffuso: per ora alcune vittime hanno indicato, come possibile metodologia di attacco, l'installazione manuale dopo hacking dei servizi di Desktop Remoto. Colpisce esclusivamente in Europa, con una particolare attenzione alla Spagna.

La buona notizia è che il ransomware è risolvibile, con l'assistenza dei nostri tecnici di Decryptolocker in collaborazione con Dr.Web.  Basterà inviare una email con due file criptati e la richiesta di riscatto all'email alessandro@nwkcloud.com e i nostri tecnici provvederanno ad analisi dei file. 

Come cripta i file?

giovedì 5 aprile 2018

[GDPR] Data Controller e Data Processor: chi sono e che responsabilità hanno?


Il GDPR non solo specifica e dettaglia il ruolo di alcune figure afferenti alla privacy e sicurezza dei dati giò esistenti nel nostro ordinamento, ma ne introduce anche di nuove. Ne elenchiamo e dettagliamo 3: il D.P.P (rimandiamo all'articolo Il DPO: una figura professionale per privacy e sicurezza), il Data Controller e il Data Processor. 

1. Chi è il Data Controller?
Il Data controller, definito dall'articolo 4 del GDPR, è la persona fisica o legale, l'autorità pubblica, l'ente ecc... che individualmente o in collaborazione con altri soggetti, determina finalità e mezzi del trattamento dei dati personali: è il Titolare del trattamento. Non è, quindi, chi gestisce i dati, ma chi decide il motivo e le modalità del trattamento ed è responsabile giuridicamente dell'ottemperanza degli obblighi previsti dalla normativa, sia nazionale che internazionale, in materia di protezione dei dati personali, compreso l'obbligo di notifica al Garante nei casi previsti. Tra questi obblighi è importante ricordare che il titolare del trattamento deve porre in essere misure tecniche e organizzative adeguate per garantire, sin dalla fase della progettazione, la tutela dei diritti dell'interessato (privacy by design): ad esempio deve occuparsi di organizzare un piano di mitigazione dei rischi, del P.i.A (Privacy Impact Assessment, un documento di valutazione dei rischi che l’azienda ha l’obbligo di redigere, comprendente un elenco dei rischi all’interno dell’azienda - per esempio incendio oppure allagamento- e un programma con le indicazioni per gestirli e risolverli) ecc...

mercoledì 4 aprile 2018

Google vieta le estensioni che permettono il mining di criptovaluta


Secondo molti, le criptovalute rappresentano il futuro e sono moltissimi quelli che rimpiangono di non aver investito in Bitcoin o simili. Come succede in questi casi però, se si presenta una possibile novità positiva ci sarà qualcuno che tenterà di metterci le mani sopra in modo fraudolento. Proprio per questo motivo, si sono moltiplicati fino a diventare una ondata gli episodi di mining di criptovaluta compiuti senza il permesso degli utenti: parliamo di attacchi volti a sfruttare di nascosto la capacità di calcolo delle CPU degli utenti che navigano nel web. Ultimamente si sono susseguiti numerosi interventi volti a prevenire questo tipo di situazioni (se sei un utente Firefox vedi qui), l'ultimo in ordine di tempo viene direttamente da Google che ha deciso di escludere dal webstore di Chrome le estensioni che permettono il mining di criptovalute. 

La decisione di Google è arrivata in seguito all'aver riscontrato un aumento delle presenza di

martedì 3 aprile 2018

Sconfitto l'erede di Cerber, il ransomware Magniber: disponibili tool gratuiti per la decriptazione


Vi ricordate Magniber? Per chi non lo ricorda (ne abbiamo parlato qui) è un ransomware individuato attorno alla fine di Ottobre del 2017 e viene distribuito attraverso l'exploit kit Magnitude. 

L'erede di Cerber
Cerber è il famosissimo ransomware mai risolto, responsabile della criptazione dei file di migliaia di utenti. Magniber ne fu il successore, una fusione appunto tra Magnitude come vettore di attacco e Cerber come ransomware: fu ai primi di settembre 2017 infatti che Magnitude smise di distribuire Cerber per preferire Magniber.



Come cripta i file?