martedì 22 gennaio 2019

Google Drive può diventare il Server di comando e controllo dei malware?


Dato che ormai la maggior parte delle soluzioni di sicurezza controlla costantemente il traffico di rete per rilevare indirizzi IP dannosi, gli attaccanti sono corsi ai ripari usando sempre più spesso le infrastrutture di servizi legittimi per nascondere/gestire le loro attività dannose. 

Alcuni ricercatori di sicurezza hanno individuato una nuova campagna malware, collegata al popolare gruppo di cyber attaccanti DarkHydrus APT, che usa Google Drive come server di comando e controllo (C2). Il gruppo è conosciuto per aver sfruttato il tool open source Phishery per rubare credenziali a enti governativi e istituti educativi di vari stati del Medio Oriente. 

La campagna attuale
L'attacco in corso vede l'uso di una nuova variante della backdoor usata già in passato da questo gruppo: parliamo di RogueRobin, che infetta le vittime una volta che queste vengono indotte con l'inganno ad aprire un documento Microsoft Excel contenente una macro VBA integrata (una tecnica di infezione diversa dal passato, dato che il gruppo ha sempre preferito sfruttare vulnerabilità 0-day di Windows). 

lunedì 21 gennaio 2019

Il ritorno dell'exploit kit Fallout (col ransomware GandCrab)


Fallout EK è tutt'altro che una nuova conoscenza: ne abbiamo già parlato a Settembre dello scorso anno, quando numerosi ricercatori di sicurezza lo individuarono, in contesti diversi, a distribuire sia ransomware che trojan che altri tipi di programmi indesiderati. 

Dopo una settimana di pausa, tra il 27 Dicembre e il 4 Gennaio (periodo nel quale in Internet non c'era traccia di lui), Fallout è tornato in "in affari", con numerosi nuovi strumenti di supporto: il supporto HTTPS, un nuovo exploit Flash, la capacità di fornire il payload tramite Powershell ecc...

Prima di questa breve pausa, Fallout EK sfruttava due vulnerabilità:

- la CVE-2018-4878 di Adobe Flash Player (use-after-free);
- la CVE-2018-8174 di VBScript di Windows (esecuzione codice da remoto).

Le novità
Stando alle analisi di alcuni ricercatori di sicurezza, la nuova versione di Fallout EK è adesso capace di sfruttare la vulnerabilità CVE-2018-15982, scoperta e risolta da Adobe il 5 Dicembre 2018. Una volta sfruttata, la vulnerabilità CVE-2018-15982 consente all'attaccante di eseguire codice arbitrario sulla macchina bersaglio, se questa esegue Flash Player fino alla versione 31.0.0.153.

venerdì 18 gennaio 2019

10 years challenge: è (solo) una sfida social o un Grande Fratello?


Molti di noi si saranno accorti della nuova sfida che sta tenendo banco su Facebook e Instagram in questi giorni: parliamo della "10 years challenge", un gioco sui social nel quale si confrontano le proprie foto di oggi con quelle scattate dieci anni fa, usando l'hastag #10yearschallenge. "Un gioco innocuo, tipicamente da social" staranno pensando in molti.

Eppure, qualche giorno fa, la giornalista e scrittrice Kate O'Neill ha sollevato un vero e proprio polverone con un semplice tweet, nel quale si domanda (lecitamente aggiungiamo noi) se e come verranno usati questi dati. Nel dettaglio si domanda se il confronto tra le nostre foto di oggi e quelle di 10 anni fa serviranno ad addestrare un algoritmo di riconoscimento facciale, affinando la capacità di riconoscere come cambiano le persone col progredire dell'età.

Un passo indietro...il machine learning

giovedì 17 gennaio 2019

Torna alla carica la truffa di "Whatsapp Gold"


Nel mondo social, l'emergenza fake news e fake app non è affatto una novità, ma anzi la realtà quotidiana con la quale si devono confrontare milioni di utenti nel mondo. Tra queste "fake",  nel 2017 si era distinta una truffa che, tramite messaggi Whatsapp, invitava gli utenti a installare "Whatsapp Gold". Questo mese, leggermente rivista e corretta, questa truffa è tornata di nuovo a minacciare la nostra sicurezza. 

Whastapp Gold Scam
Così è stata definita dai ricercatori di sicurezza questa truffa, nella quale gli attaccanti inviano ad ignari utenti dei messaggi Whatsapp che li invitano a scaricare un update di WhatsApp per ottenere, appunto, la Gold Version della popolarissima app: Whatsapp Gold dovrebbe essere, così suggeriscono i messaggi fake, la versione premium di Whatsapp passando alla quale si sbloccheranno funzionalità e si otterranno abilità extra. Peccato che l'update altro non sia che il payload di un malware. Whatsapp ha già confermato che si tratta di una bufala diffusa da truffatori: non esiste infatti alcun Whatsapp Gold. 

mercoledì 16 gennaio 2019

Emotet Alert: nuova campagna spam diffonde una nuova e più pericolosa versione del trojan


Emotet ha segnato un periodo di attività ridotta la scorsa settimana, ma ieri alcuni ricercatori di sicurezza hanno individuato una nuova campagna di email di spam che distribuisce una nuova versione di questo trojan: nuove versione che presenta nuove funzionalità dannose.

Emotet in breve
Ricordiamo che Emotet, recante inizialmente solo funzionalità di trojan bancario, è attualmente annoverabile tra i malware modulari: è cioè pensato per subire l'aggiunta di altri payload che ne possono aumentare le funzionalità dannose (infostealer, ransomware ecc..). La costante evoluzione delle funzioni incluse in Emotet, lo renderanno per parecchio tempo uno dei protagonisti della Top10 dei malware di quest'anno. 

La campagna di distribuzione

martedì 15 gennaio 2019

Facebook e Privacy: scoperte app per Android che forniscono dati a Facebook


da Quick Heal Italia 

E' stata Privacy International (PI), una organizzazione no profit britannica il cui nome già suggerisce lo scopo, a denunciare 20 applicazioni regolarmente presenti sullo store di Google: PI ha analizzato tali app a partire dal 25 Maggio 2018, giorno in cui è entrato definitivamente in vigore il nuovo regolamento europeo per la privacy e la sicurezza dei dati, il cosiddetto GDPR.

Vedi il report completo qui >> How Apps on Android Share Data with Facebook

L'analisi è stata compiuta su 34 applicazioni tra le più diffuse sul Play Store di Google, per verificare il livello di privacy degli utenti e di sicurezza dei dati. I risultati sono preoccupanti: ben 20 app invierebbero dati a Facebook, anche di utenti che non risultano iscritti al famoso social network.

Tra le app incriminate troviamo "pezzi grossi" del calibro di Tripadvisor, Kajak, Skyscanner (app

lunedì 14 gennaio 2019

Il ransomware Ryuk fa coppia col trojan Trickbot per accedere alle reti infette



Ryuk è sempre stato considerato un ransomware "mirato": la sua modalità di attacco ha sempre previsto un preciso obiettivo, sul quale tentare l'accesso tramite i servizi di Desktop Remoto o altri metodi diretti (furto di credenziali). Ottenuto l'accesso, si concentra su server e dati di alto profilo, così da poter estorcere come riscatto la somma più alta possibile.

Ruyk è conosciuto proprio per queste caratteristiche: ha un alto impatto sulle reti che infetta, richiede elevatissimi riscatti ed ha avuto un grandissimo "successo", se teniamo di conto che i report fissano a circa 3.7 milioni di dollari il guadagno di questo malware. E' recentissimo (qualche settimana fa) l'uso di Ryuk Ransomware per attaccare la distribuzione dei cartacei di grandissime firme del giornalismo, come il Wall Street Journal, il New York Times e il Los Angeles Times. 

Nei giorni scorsi, da parte dei ricercatori di FireEye e CrowdStrike sono state condotte ulteriori

giovedì 10 gennaio 2019

Il Phishing si evolve e batte l'autenticazione a due fattori 2FA: arriva il super tool Modlishka


Nell'eterna lotta tra il cybercrime e la sicurezza informatica, i ricercatori di sicurezza avevano assestato un duro colpo, almeno per quanto riguarda la guerra al phishing: l'autenticazione a due fattori ha reso non sufficiente la detenzione della password di un account per potervi accedere. E' stato però un ricercatore di sicurezza (strano a dirsi, ma neppure troppo, ormai) a inventare il super tool per portare attacchi di phishing in grado di bypassare l'autenticazione a due fattori. 

Il tool, come spiega Piotr Duszynski - il suo creatore, è un "reverse proxy" programmato appositamente per gestire operazioni di phishing. Per "reverse proxy" si intende un tipo di proxy che recupera i contenuti per conto di un client da uno o più server. Tali contenuti vengono trasmessi al client come provenienti dallo stesso proxy: il proxy appare quindi al client come un server. Il funzionamento, in parole semplici, è questo: l'attaccante invece di creare una copia esatta del sito che vuole imitare può usare Modlishka come server per ospitare un sito da usare come tramite tra la vittima e il sito originale mentre ne replica i contenuti in real-time. 

mercoledì 9 gennaio 2019

In corso una campagna di diffusione del trojan bancario Emotet: sfrutta una nuova tecnica per ingannare gli utenti


Sono ormai molteplici i ricercatori di sicurezza e i major vendor che considerano Emotet la minaccia principale del 2018, per evidenti "meriti sul campo". Minaccia che col 2019 potrebbe manifestarsi con ancora più forza. 

A partire da Novembre, è in corso una vasta campagna di spam per distribuire questo trojan bancario: centinaia di migliaia sono gli utenti infetti in America Latina, Europa e altre parti del mondo. Vediamo quindi nel dettaglio il funzionamento di questa campagna.

Per approfondire >> 
L'evoluzione di Emotet: in 4 anni si evolve da trojan a complesso distributore di minacce

Il misterioso e (quasi) invisibile quadratino nero

martedì 8 gennaio 2019

Massimizzare il profitto di un attacco ransomware? Gruppo di cyber attaccanti usa il ransomware Gandcrab e un nuovo infostealer


I cyber criminali dietro GandCrab hanno aggiunto il malware per il furto di informazioni Vidar nel processo di distribuzione del ransomware: l'intento è chiaramente quello di aumentare i profitti rubando informazioni sensibili (da riutilizzare/rivendere) prima di avviare la criptazione dei file del computer. 

I ricercatori hanno scoperto questa novità seguendo le tracce di una campagna di malvertising rivolta a utenti di tracker torrent e di siti per il video streaming: hanno così scoperto che l'exploit kit Fallout è stato usato per diffondere un nuovo infostealer chiamato Vidar, usato a sua volta come downloader per GandCrab. 

venerdì 4 gennaio 2019

Il ransomware WannaCry e l'exploit EternalBlue ancora in attività: sono davvero eterni?


EternalBlue non è un semplice exploit kit, ma l'Exploit Kit con le maiuscole: per chi non ricordasse la sua storia, stiamo parlando del kit per sfruttare una vulnerabilità dell'implementazione della v.1 del protocollo SMB e penetrare non solo nel sistema bersaglio, ma anche nella rete. E' l'exploit kit che, sottratto dai server della National Security Agency, è stato alla base della impressionante virulenza di WannaCry, BadRabbit e del wiper NotPetya. 

Per approfondire >> L'exploit di WannaCry,NotPetya e BadRabbit: EternalBlue 1 anno dopo

Qualcuno probabilmente penserà che, passato tutto questo tempo, EternalBlue sia un'arma spuntata, a maggior ragione che la vulnerabilità dell'SMB sfruttata è stata risolta con la pubblicazione del relativo bollettino di sicurezza (MS17-010) contenente la patch per le vulnerabilità attaccate da EternalBlue. Non è assolutamente così, purtoppo e questa fine 2018/inizio 2019 ce ne ha già fornito conferma. 

1. La conferma: WannaCry è inattivo, ma i computer infetti sono ancora milioni.