Nuova versione di Shamoon, il malware che cancella i file e rende impossibile l'avvio del sistema operativo

Qualche giorno fa abbiamo descritto Shamoon, un malware dal potenziale altamente distruttivo: un wiper, nel dettaglio, ovvero un malware pensato per cancellare i file presenti nelle macchine infette. Shamoon inoltre sovrascrive il master boot record (MBR) rendendo impossibile il boot del sistema. La prima versione in diffusione, segnalata il 10 Dicembre proprio dall'Italia, ha preso di mira non soltanto home user, ma anche aziende. Tra queste, il "colpo grosso" è stata la compagnia petrolifera italiana Saipem. 

Per approfondire >> Shamoon, il nuovo malware che cancella i dati. Colpita l'italiana Saipem

La nuova versione

Il 23 Dicembre un utente francese ha caricato sulla piattaforma di scansione VirusTotal una nuova versione di questo malware, che tentava di camuffarsi da tool di ottimizzazione del sistema di una nota società cinese, Baidu. La particolarità è che questo malware è firmato con un certificato digitale della Baidu stessa emesso il 25 Marzo 2015 e ad oggi non più valido, perchè scaduto il 26 Marzo 2016. 

Ondata di phishing bersaglia utenti Apple: i truffatori rubano l'Apple ID e l'identità delle vittime

E' stata segnalata ieri da svariati siti specializzati una campagna di phishing che sta bersagliando utenti Apple. Le email sono confezionate per sembrare conferme di acquisto dall'Apple App Store: contengono un allegato PDF che sembra essere una fattura di pagamento per un app acquistata dall'account dell'utente per 30 dollari statunitensi. Nel testo c'è anche un link da cliccare nel caso in cui la transazione non sia stata autorizzata. Se l'utente fa clic sul collegamento, il danno è fatto. 

La prima segnalazione è di Lawrence Abrams di Bleeping Computer, che ha spiegato di aver ricevuto lo scorso fine settimana svariate segnalazioni tutte molto simili: utenti che segnalavano appunto di aver ricevuto email apparentemente provenienti dall'App Store di Apple contenenti fatture relative ad acquisti che non sapevano di aver effettuato. 

L'email è molto insidiosa: non c'è, come accade solitamente nelle campagne di phishing, alcuna frase che inciti o indichi all'utente di aprire (magari urgentemente) l'allegato. Gli attaccanti si affidano alla vittima stessa, la quale, ricevuta la fattura di un acquisto mai effettuato, aprirà il PDF proprio per sapere di che si tratta. 

Microsoft introduce una funzione di sicurezza: Sandbox Windows

Microsoft sta introducendo una nuova funzione, chiamata Windows Sandbox, che consentirà agli utenti di avviare in sicurezza gli eseguibili in un ambiente virtuale isolato dal resto del sistema operativo. Questa funzionalità sarà disponibile a partire dal prossimo Windows 10 Pro e Enterprise Insider- build 18305. 

E' infatti ormai una tecnica assodata nel mondo del cyber-crimine quella di diffondere programmi che eseguono comportamenti dannosi o che compromettono altri programmi già esistenti nel sistema operativo. Talvolta è molto difficile riconoscerne la pericolosità, perchè questi eseguibili sono presentati come software legittimi. Con la Sandbox di Windows sarà possibile avviare una macchina virtuale che esegue una copia di Windows creata dal sistema operativo installato sulla macchina. Tutto ciò in un ambiente desktop isolato dal normale sistema operativo: qualsiasi azione compiuta nella sandobox quindi non andrà a influire sul sistema operativo reale.

Come funziona la Sandbox di Windows?

Ennesimo bug in Facebook: app di terze parti accedono alle foto di 7 milioni di utenti

Ennesimo guaio in casa Facebook, per quanto riguarda sicurezza e privacy: un bug di programmazione del sito web di Facebook ha accidentalmente dato a oltre 1.500 app di terze parti accesso alle foto non pubblicate di 6.8 milioni di utenti.

Venerdì 14 Dicembre è stato Facebook stesso ad annunciare il bug, pubblicando un comunicato nel quale i tecnici affermano di aver individuato un nuovo bug nell'API del sistema di condivisione delle immagini che ha consentito a oltre 876 sviluppatori l'accesso alle foto private degli utenti, nel dettaglio quelle mai condivise nella timeline, comprese le immagini caricate nelle Storie di Facebook o nel MarketPlace.

"Quando qualcuno concede ad un'app le permissioni per accedere alle proprie foto su Facebook, di norma concediamo l'accesso solo a quelle che le persone hanno condiviso sulla propria timeline. In questo caso, il bug ha permesso potenzialmente ad una serie di sviluppatori di avere accesso anche ad altre foto" si legge nella nota di Facebook.

Shamoon, il nuovo malware che cancella i dati. Colpita l'italiana Saipem

Shamoon è tornato alla carica poco meno di un mese fa e lo ha fatto in grande stile: attualmente è in diffusione in the wild una nuova versione di questo malware wiper, la cui unica funzione è quella di cancellare (wiping) i dati contenuti nelle macchine bersaglio. La prima segnalazione di infezione è arrivata proprio dall'Italia: il 10 Dicembre 2018 è stata caricato il nuovo esemplare su VirusTotal. 

E c'è già una vittima illustre: la compagnia petrolifera italiana Saipem (vedi più avanti). Dopo 3 giorni sono seguite svariate altre segnalazioni provenienti dai Paesi Bassi. Era qualche anno che non si avevano notizie di questo wiper, che debuttò nel 2012 contro la Saudi Aramco, azienda petrolifera che subì la cancellazione dei dati su oltre 35.000 computer. 

Analisi tecnica

Individuato in diffusione malware per MAC: combina backdoor e miner

All'inizio della settimana in corso alcuni ricercatori di sicurezza hanno individuato un nuovo malware per Mac che combina due differenti tool open-source: la backdoor EmPyre e il miner di criptovaluta XMRig. Questo malware è attualmente diffuso tramite un applicativo di nome Adobe Zii, un software per "piratare" svariate applicazioni di Adobe. In ogni caso i ricercatori sono piuttosto certi nell'affermare che il software Adobe Zii che diffonde il nuovo malware non sia "l'originale", ma una versione ulteriormente modificata dello stesso: ad esempio i loghi differiscono. 

Come infetta i Mac?

Il Trojan bancario DanaBot sta bersagliando l'Italia

Gli autori del trojan bancario DanaBot hanno aggiornato il malware con nuove funzioni che gli consentono di raccogliere indirizzi email e inviare spam direttamente dalla casella di posta della vittima. 

L'ultima versione trovata in diffusione raggiunge questo scopo iniettando codice Javascript nelle pagine di specifici servizi email web-based. Tra i target ci sono tutti i servizi di posta elettronica basati su Roundcube, Horde e Openx-Xchange. Ciò che è importante specificare è che gli autori di DanaBot hanno scelto l'Europa, come obiettivo, diffondendo il trojan quasi esclusivamente in Italia, Germania, Austria.

Le analisi dei ricercatori di sicurezza hanno rivelato anche che uno degli script usati da danaBot per il web-injection può inviare messaggi dannosi dal proprietario dell'account, come risposta alle email presenti nella Posta in Arrivo. 

Una Botnet di 20.000 siti WordPress infettava altri siti WordPress

Usavano una botnet di oltre 20.000 siti WordPress per attaccare e infettare altri siti WordPress. Una volta compromessi nuovi siti, questi venivano aggiunti alla botnet e usati anch'essi per attaccare altri obiettivi secondo i comandi inviati dagli attaccanti. 

I 20.000 siti WordPress costituivano una botnet finalizzata al brute-forcing delle credenziali di login di siti WordPress in Internet: i dati parlano di circa 5 milioni di tentativi di autenticazione provenienti da questa botnet. Gli attacchi di brute-force sono diretti contro l'implementazione XML-RPC di WordPress e tentano infinite combinazioni fino ad individuare un account sul quale tali credenziali sono valide. XML-RPC è un'implementazione molto utile per alcuni utenti, poichè permette di postare contenuti da remoto su siti WordPress usando WordPress stesso o altre API: si trova nella directory principale di installazione di WordPres, nel dettaglio nel file xmlrpc.php. 

Il vero problema di XML-RPC è che, di default, non prevede alcuna limitazione all'ammontare i richieste API che gli vengono indirizzate: ciò significa, concretamente, che un attaccante può tentare e ritentare diversi nomi utenti e password senza alcuna limitazione e senza che questo comporti nessun tipo di alert per l'utente. L'utente vittima può individuare questi tentativi di accesso solo verificando i log. 

Come funziona questo attacco?

KingMiner attacca i server Windows

I cryptominer sono malware pensati specificatamente per effettuare il mining di criptovaluta, cioè l'estrazione di monete digitali quali Monero, Ethereum, Bitcoin ecc..E' un tipo di minaccia della quale abbiamo parlato abbondantemente perchè, in questo 2018, ha mostrato un incremento esponenziale e una evoluzione continua. 

L'ultimo esemplare individuato si chiama KingMiner e prende di  mira i server Microsoft Windows per estrarre la criptovaluta Monero (XRM): in realtà la prima individuazione risale già al Giugno 2018, ma al tempo era un esemplare veramente rozzo e poco pericoloso. Successivamente ne sono state individuate in-the-wild numerose nuove varianti sempre più avanzate: ad oggi KingMiner si caratterizza principalmente per l'uso di una vasta gamma di tecniche di evasione che lo rendono tra i malware più difficili da individuare. 

Gli obiettivi e le tecniche di infezione

Falsa assistenza online: invece di risolvere i ransomware avevano accordi coi truffatori

Succede molto spesso: si viene colpiti da un ransomware, si cerca nel web per capire se esista o meno una soluzione per la particolare versione di malware che ha infettato il nostro sistema. Oppure si chiede consiglio ad un esperto. In entrambi i casi si corrono comunque dei rischi: ad esempio, la maggior parte dei siti web risultanti nelle prime posizioni delle ricerche sui motori di ricerca più diffusi sono fake pensati solo per indurre le vittime di ransomware a scaricare una serie di software aventi funzioni ben diverse da quelle promesse. 

Non si è del tutto al sicuro neppure contattando esperti: non tutti infatti sono "veri esperti", ma potremmo anche imbatterci in complici degli attaccanti stessi. E' il caso della società russa Dr.Shifro: questa azienda promette assistenza in caso di attacchi ransomware, fornendo tool di risoluzione della criptazione che rimettano in chiaro i file senza dover pagare il riscatto agli attaccanti. Questa di per sé non è un'attività sospetta: sono moltissime le società (noi compresi) che offrono assistenza per i ransomware, un problema piuttosto diffuso e che può avere effetti devastanti, sopratutto per le aziende. Bisogna però insospettirsi (e così è stato nel caso di Dr.Shifro) se vengono offerte soluzioni a ransomware dei quali nessuna società di assistenza è in grado di offrire soluzione. 

Come si è scoperta la truffa?

Uber e Data Breach. Indagine del Garante

di Dott.ssa Matteucci Silvia | Accademia Italiana Privacy

Lo scandalo è scoppiato nel Novembre 2017, quando uno scoop di Bloomberg ha obbligato il management di Uber ad ammettere di aver subito un colossale furto di dati, che l’azienda ha cercato di “insabbiare” pagando un riscatto di 100.000 dollari agli hacker per cancellare i dati rubati. L’azienda aveva nascosto, per più di un anno, la violazione dei suoi sistemi e il furto di dati di circa 57 milioni di account su dipendenti e clienti. Nello specifico, sono state “trafugate le informazioni contenute nella licenza di guida di 600 mila americani e nomi, indirizzi di posta elettronica e numeri di telefono di oltre 50 milioni di iscritti all’applicazione di trasporti (50 milioni sono clienti e 7 milioni sono autisti). Non sarebbero stati coinvolti i dati delle carte di credito o quelli relativi agli spostamenti”. 

A distanza di quasi un anno, scopriamo che la strategia difensiva della piattaforma di noleggio auto con conducente non ha convinto nessuno, nemmeno il Procuratore Generale di New York. Difatti, la punizione, decisamente pesante, è arrivata.

125 milioni di euro...