martedì 19 febbraio 2019

Attacco in corso contro aziende italiane: i vettori sono archivi cifrati


I ricercatori di sicurezza del CERT-PA hanno lanciato un allarme relativo ad una campagna di attacco in corso, da qualche giorno, in maniera specifica contro aziende e organizzazioni italiane. Il modus operandi è davvero insidioso: gli attaccanti sfruttano scambi email realmente intercorsi tra le vittime e, come indirizzi mittenti, delle email infette. Un meccanismo già noto in realtà, poiché già rilevato in precedenti campagne che, nel corso del 2018, hanno diffuso il malware infostealer Ursnif. 

Le email fake
Le email di questa campagna sono contraddistinte dalla presenza di allegati compressi protetti da password: all'interno di questi archivi sono inseriti documenti dannosi che contengono, entro una macro integrata, script PowerShell che avviano il download e l'esecuzione del trojan Ursnif sul sistema bersaglio.  Questa è una tecnica niente affatto nuovo, ma molto efficace per nascondere i documenti dannosi ai software e alle varie misure di sicurezza aziendali (controlli perimetrali in primis). 

lunedì 18 febbraio 2019

I miner di criptovaluta sbarcano sul Microsoft Store per la prima volta


E' stato individuato sul Microsoft Store un gruppo di 8 applicazioni potenzialmente indesiderate (PUA), responsabili del download sul dispositivo degli script dannosi per il mining di criptovaluta Coinhive Monero (XMR). Sfruttano, per la diffusione, la libreria legittima Google Tag Manager (GTM).  I fatti interessanti relativi a queste individuazioni sono due: 
  • è la prima volta che vengono riscontrati miner di criptovaluta illegittimi sul Microsoft Store;
  • GTM è un sistema di gestione dei tag progettato da Google per aiutare gli sviluppatori a inserire contenuti KJavascript e HTML nelle proprie app a scopo di analisi e monitoraggio ed è la prima volta che il sistema viene invece usato per distribuire script dannosi di questo tipo.
Le app compromesse (e già rimosse da Microsoft) sono:
  1. Fast-search Lite
  2. Battery Optimizer (Tutorials)
  3. VPN Browser+
  4. Downloader for YouTub Videos
  5. Clean Master+ (Tutorials)
  6. FastTube
  7. Findoo Browser 2019
  8. Findoo Mobile & Desktop Search. 

venerdì 15 febbraio 2019

Emotet torna alla carica: nuova variante evita l'individuazione da parte degli antivirus


Del trojan Emotet abbiamo parlato recentemente, come un dei "Top 10 Malware" del 2019:  che stia diventando uno strumento malware estremamente pericoloso è un dato di fatto confermato anche da uno specifico avviso di sicurezza diramato dal CERT-USA nel Luglio 2018, dall'attenzione della comunità dei ricercatori di sicurezza, ma anche dal continuo investimento che i suoi gestori stanno facendo nel migliorarlo e affinarlo costantemente.

Emotet in breve
Emotet, conosciuto anche come Geodo o Heodo, è un trojan modulare sviluppato per rubare, principalmente, informazioni bancarie o finanziarie come le credenziali di accesso all'home banking o i wallet di criptovalute. Oltre a ciò, esfiltra dati sensibili, credenziali di login di svariate tipologie di servizi e informazioni personali. Non viene mai da solo, anzi, funge da distributore di altri trojan bancari, malware per il furto dati o bot modulari altamente personalizzabili come Trickbot.  Bersaglia utenti in tutto il mondo, con una particolare attenzione però a utenti statunitensi ed europei.

La nuova campagna

giovedì 14 febbraio 2019

Malware per macOS disabilita la protezione Gatekeeper


E' stata individuata una nuova variante di Shlayer, un malware multi-stage che colpisce esclusivamente utenti dei sistemi operativi Mac.  La nuova variante riesce ad ottenere i privilegi di amministrazione sul sistema infetto sfruttando una tecnica (vecchia di due anni, ma ancora efficace) con la quale disabilita il Gatekeeper, ovvero quella tecnologia, prevista in ogni macOS, che ha lo scopo di garantire che sul Mac vengano eseguiti solo software affidabili.

Shlayer è stato individuato in azione per la prima volta come parte di una campagna malware durata per tutto il Febbraio 2018, nella quale falsi Installer di Adobe Flash Player diffondevano alcune famiglie di malware per piattaforme Mac. 

La nuova versione

mercoledì 13 febbraio 2019

Fattura elettronica: esplode il rischio di attacchi via PEC. Campagna malware in corso in Italia


La recente normativa sulla fatturazione elettronica ha dato nuovo impulso all'uso della PEC, la Posta Elettronica Certificata. Di per sè la PEC è uno strumento molto utile, che garantisce la tracciabilità del mittente e l'ufficialità delle comunicazioni.  Nel mondo del cyber crimine, però, quando uno strumento informatico va incontro ad un utilizzo massivo, questo diventa immediatamente bersaglio delle attenzioni degli attaccanti come possibile mezzo per veicolare efficaci e capillari attacchi. 

Prima dell'entrata in vigore,  lo scorso 1° Gennaio, del nuovo sistema di fatturazione elettronica la PEC rimaneva uno strumento utilizzato in ambiti piuttosto limitati, sopratutto in caso di comunicazioni con le Pubbliche Amministrazioni, con gli ordini professionali o in altri ridotti ambiti di comunicazione formale. Nonostante la limitata diffusione, già nel Marzo 2017 le PEC erano state sfruttate per distribuire in maniera massiccia un ransomware, Cyrpt0L0cker. L'utilizzo della PEC infatti rende più credibile l'email e può indurre il destinatario ad aprire con più facilità eventuali allegati o link dannosi. 

Nuova campagna malware via PEC

martedì 5 febbraio 2019

Nuovo malware per MAC ruba credenziali bancarie e dei portafogli di criptovaluta


CookieMiner è un nuovo malware capace di rubare e esfiltrare dai browser web i cookie relativi ai wallet dei servizi online e ai siti web di scambio di criptovaluta, così come password, messaggi di testo e credenziali dellle carte di credito. Questo malware colpisce soltanto i dispositivi MAC e condivide parti di codice con esemplari di malware già conosciuti: OSX.DarthMiner e OSX.LamePyre. Tutti questi malware usano la backdoor EmPyre a fini di controllo da remoto e persistenza e per inviare comandi arbitrari ai MAC infetti dopo il successo dell'exploit. 

Dato che ormai la quasi totalità degli exchange di criptovaluta e dei servizi di wallet online usano metodi di autenticazione a più fattori, CookieMiner tenta di aggirare questi processi di autenticazione collezionando una complessa combinazione di credenziali di login, messaggi di testo e cookie web. 

CookieMiner consente ai suoi sviluppatori di mettere le mani su una grande quantità di dati dalle macchine compromesse: tutto inizia con uno script shell che avvia la raccolta dei cookie dal browser e li carica su un server remoto che esegue il servizio curldrop.

lunedì 4 febbraio 2019

Attenzione: attaccanti usano falso TeamViewer per diffondere malware


TeamViewer è un famosissimo software di condivisione del dekstop da remoto: è usato da oltre 1 miliardo di utenti e, ovviamente, è un target assai interessante per i cyber truffatori. Qualche giorno fa alcuni ricercatori di sicurezza hanno individuato una campagna malware che attacca gli ignari utenti con una versione manomessa e dannosa di TeamViewer

N.B: il sito ufficiale di TeamViewer NON E'STATO COMPROMESSO. I download dal sito ufficiale sono sicuri. Le versioni dannose in analisi provengono da fonti di terze parti.

Tutto inizia il 20 Gennaio, quando un ricercatore di sicurezza che gestisce il Twitter di FewAtoms ha rilevato un URL dannoso contenente una directory aperta che conduceva gli utenti al download di un archivio auto-estraente. Analisi approfondite di questo archivio hanno portato a individuare, "travestito" appunto da TeamViewer un trojan-spyware programmato per raccogliere e rubare le informazioni dell'utente. 

venerdì 1 febbraio 2019

Il trojan per il furto di credenziali Azorult si camuffa da Google Update e diventa invisibile


Azorult è una vecchia conoscenza: è un info-stealer, un trojan progettato per sottrarre informazioni e credenziali dai sistemi infetti.  E' pensato per estrarre più informazioni  e dati sensibili possibile da più fonti: file,  cookie, cronologia del browser per estrarre le credenziali bancarie e i dati dei Portafogli di criptovalute. E' un trojan in evoluzione continua, noto anche come downloader dei payload di altri malware in campagne di infezione organizzate in più fasi. Spesso è stato individuato in campagne che diffondono su vasta scala ransomware, altri info-stealer e malware per il mining di criptovaluta. 

Qualche giorno fa è stata individuata una nuova campagna di diffusione di Azorult: anziché usare la classica campagna di spam, gli autori di Azorult lo propongono come installer per i Google Update. Se un utente scarica ed esegue il Google Update fake, questo ottiene immediatamente la persistenza sul computer sostituendo l'Updater legittimo. 

Un certificato rubato per legittimare il falso Google Updater