Coin Hive termina il servizio: scompare lo script per il mining di criptovaluta più usato dai cyber attaccanti

Abbiamo parlato spesso di CoinHive, sopratutto in termini negativi: nato come servizio in-browser legittimo per il mining di criptovaluta, si è trasformato piuttosto velocemente in uno strumento di attacco usato di nascosto sulle macchine delle vittime. E' diventato cioè da strumento regolare per aumentare i profitti derivanti dalle visualizzazioni di un sito web (inizialmente sopratutto  per sostituire i fastidiosi ads pubblicitari), ad uno strumento di cyber attacco che ha permesso ai cyber criminali di guadagnare centinaia di migliaia di dollari sfruttando il computer di milioni di persone che si trovavano a visitare siti web appositamente compromessi. 

E' stato CoinHive stesso ad annunciare la definitiva sospensione del servizio a partire dall'8 Marzo 2019. 

In breve

Trojan bancario TrickBot: adesso ruba anche le credenziali di accesso da remoto

Il trojan bancario TrickBot non è certo nuovo, ma ci sono alcune novità: il modulo per il furto password di questo malware è stato recentemente aggiornato e la nuova versione è già in distribuzione. La nuova versione è stata individuata nel Gennaio 2019 e si è dimostrata essere una versione aggiornata di una variante già individuata in Novembre, la prima ad essere dotata di un modulo per il furto password di questo tipo.

Le credenziali sotto attacco sono quelle usate per autenticarsi ai server da remoto usando il Remote Desktop Protocol (RDP), VNC e PuTTY. 

Una complessa procedura di infezione

Quick Heal Threat Report - un approfondimento sul ransomware GandCrab

Il più importante e dannoso ransomware del 2018 è stato indubbiamente GandCrab. Individuato all'inizio del gennaio 2018, questo ransomware infettò oltre 48.000 nodi in meno di un mese. Un'infezione massiva che mise  immediatamente in allarme l'Europol e la convinse ad attaccare i server di GandCrab per sottrarne le chiavi di criptazione. Da allora GandCrab ha continuato ad evolversi ed aggiornarsi, lanciando in pochi mesi ben 5 diverse varianti (con svariate sottovarianti), diventando un serio rischio per gli utenti.  A conferma della sempre maggiore rilevanza di GandCrab arriva anche il fatto che gli stessi siti web compromessi usati in questi ultimi mesi per la distribuzione di Emotet (il trojan bancario "protagonista" del 2018) hanno iniziato a diffondere il ransomware GandCrab v.5.1. 

Un pò di storia... le versioni di GandCrab

Nuovo attacco in corso (anche in Italia): il malware-kit combina trojan, miner e malware per il furto dati

Alcuni ricercatori di sicurezza hanno dato notizia di una pericolosissima campagna di attacco, già individuata svariate volte in Italia, Cina, Taiwan e Hong Kong:  parliamo di un vero e proprio "kit da attacco" composto da due trojan e un miner per la criptovaluta Monero, in diffusione via internet e rete in area locale. 

Il kit è stato scoperto casualmente, quando i ricercatori di Trend Micro hanno individuato un attacco molto strano, durante il quale si scaricavano nella cartella Windows file apparentemente casuali su computer aventi la porta 445 aperta e non aggiornata, quindi vulnerabile alla compromissione con l'exploit del protocollo SMB di Window Server. La vulnerabilità sfruttata è la MS17-010, già risolta nel 2017. 

L'accesso nell'host

Attacco in corso contro aziende italiane: i vettori sono archivi cifrati

I ricercatori di sicurezza del CERT-PA hanno lanciato un allarme relativo ad una campagna di attacco in corso, da qualche giorno, in maniera specifica contro aziende e organizzazioni italiane. Il modus operandi è davvero insidioso: gli attaccanti sfruttano scambi email realmente intercorsi tra le vittime e, come indirizzi mittenti, delle email infette. Un meccanismo già noto in realtà, poiché già rilevato in precedenti campagne che, nel corso del 2018, hanno diffuso il malware infostealer Ursnif. 

Le email fake

Le email di questa campagna sono contraddistinte dalla presenza di allegati compressi protetti da password: all'interno di questi archivi sono inseriti documenti dannosi che contengono, entro una macro integrata, script PowerShell che avviano il download e l'esecuzione del trojan Ursnif sul sistema bersaglio.  Questa è una tecnica niente affatto nuovo, ma molto efficace per nascondere i documenti dannosi ai software e alle varie misure di sicurezza aziendali (controlli perimetrali in primis). 

I miner di criptovaluta sbarcano sul Microsoft Store per la prima volta

E' stato individuato sul Microsoft Store un gruppo di 8 applicazioni potenzialmente indesiderate (PUA), responsabili del download sul dispositivo degli script dannosi per il mining di criptovaluta Coinhive Monero (XMR). Sfruttano, per la diffusione, la libreria legittima Google Tag Manager (GTM).  I fatti interessanti relativi a queste individuazioni sono due: 

• è la prima volta che vengono riscontrati miner di criptovaluta illegittimi sul Microsoft Store;
• GTM è un sistema di gestione dei tag progettato da Google per aiutare gli sviluppatori a inserire contenuti KJavascript e HTML nelle proprie app a scopo di analisi e monitoraggio ed è la prima volta che il sistema viene invece usato per distribuire script dannosi di questo tipo.

Le app compromesse (e già rimosse da Microsoft) sono:

1. Fast-search Lite
2. Battery Optimizer (Tutorials)
3. VPN Browser+
4. Downloader for YouTub Videos
5. Clean Master+ (Tutorials)
6. FastTube
7. Findoo Browser 2019
8. Findoo Mobile & Desktop Search. 

Emotet torna alla carica: nuova variante evita l'individuazione da parte degli antivirus

Del trojan Emotet abbiamo parlato recentemente, come un dei "Top 10 Malware" del 2019:  che stia diventando uno strumento malware estremamente pericoloso è un dato di fatto confermato anche da uno specifico avviso di sicurezza diramato dal CERT-USA nel Luglio 2018, dall'attenzione della comunità dei ricercatori di sicurezza, ma anche dal continuo investimento che i suoi gestori stanno facendo nel migliorarlo e affinarlo costantemente.

Emotet in breve

Emotet, conosciuto anche come Geodo o Heodo, è un trojan modulare sviluppato per rubare, principalmente, informazioni bancarie o finanziarie come le credenziali di accesso all'home banking o i wallet di criptovalute. Oltre a ciò, esfiltra dati sensibili, credenziali di login di svariate tipologie di servizi e informazioni personali. Non viene mai da solo, anzi, funge da distributore di altri trojan bancari, malware per il furto dati o bot modulari altamente personalizzabili come Trickbot.  Bersaglia utenti in tutto il mondo, con una particolare attenzione però a utenti statunitensi ed europei.

La nuova campagna

Malware per macOS disabilita la protezione Gatekeeper

E' stata individuata una nuova variante di Shlayer, un malware multi-stage che colpisce esclusivamente utenti dei sistemi operativi Mac.  La nuova variante riesce ad ottenere i privilegi di amministrazione sul sistema infetto sfruttando una tecnica (vecchia di due anni, ma ancora efficace) con la quale disabilita il Gatekeeper, ovvero quella tecnologia, prevista in ogni macOS, che ha lo scopo di garantire che sul Mac vengano eseguiti solo software affidabili.

Shlayer è stato individuato in azione per la prima volta come parte di una campagna malware durata per tutto il Febbraio 2018, nella quale falsi Installer di Adobe Flash Player diffondevano alcune famiglie di malware per piattaforme Mac. 

La nuova versione

Fattura elettronica: esplode il rischio di attacchi via PEC. Campagna malware in corso in Italia

La recente normativa sulla fatturazione elettronica ha dato nuovo impulso all'uso della PEC, la Posta Elettronica Certificata. Di per sè la PEC è uno strumento molto utile, che garantisce la tracciabilità del mittente e l'ufficialità delle comunicazioni.  Nel mondo del cyber crimine, però, quando uno strumento informatico va incontro ad un utilizzo massivo, questo diventa immediatamente bersaglio delle attenzioni degli attaccanti come possibile mezzo per veicolare efficaci e capillari attacchi. 

Prima dell'entrata in vigore,  lo scorso 1° Gennaio, del nuovo sistema di fatturazione elettronica la PEC rimaneva uno strumento utilizzato in ambiti piuttosto limitati, sopratutto in caso di comunicazioni con le Pubbliche Amministrazioni, con gli ordini professionali o in altri ridotti ambiti di comunicazione formale. Nonostante la limitata diffusione, già nel Marzo 2017 le PEC erano state sfruttate per distribuire in maniera massiccia un ransomware, Cyrpt0L0cker. L'utilizzo della PEC infatti rende più credibile l'email e può indurre il destinatario ad aprire con più facilità eventuali allegati o link dannosi. 

Nuova campagna malware via PEC

Nuovo malware per MAC ruba credenziali bancarie e dei portafogli di criptovaluta

CookieMiner è un nuovo malware capace di rubare e esfiltrare dai browser web i cookie relativi ai wallet dei servizi online e ai siti web di scambio di criptovaluta, così come password, messaggi di testo e credenziali dellle carte di credito. Questo malware colpisce soltanto i dispositivi MAC e condivide parti di codice con esemplari di malware già conosciuti: OSX.DarthMiner e OSX.LamePyre. Tutti questi malware usano la backdoor EmPyre a fini di controllo da remoto e persistenza e per inviare comandi arbitrari ai MAC infetti dopo il successo dell'exploit. 

Dato che ormai la quasi totalità degli exchange di criptovaluta e dei servizi di wallet online usano metodi di autenticazione a più fattori, CookieMiner tenta di aggirare questi processi di autenticazione collezionando una complessa combinazione di credenziali di login, messaggi di testo e cookie web. 

CookieMiner consente ai suoi sviluppatori di mettere le mani su una grande quantità di dati dalle macchine compromesse: tutto inizia con uno script shell che avvia la raccolta dei cookie dal browser e li carica su un server remoto che esegue il servizio curldrop.

Attenzione: attaccanti usano falso TeamViewer per diffondere malware

TeamViewer è un famosissimo software di condivisione del dekstop da remoto: è usato da oltre 1 miliardo di utenti e, ovviamente, è un target assai interessante per i cyber truffatori. Qualche giorno fa alcuni ricercatori di sicurezza hanno individuato una campagna malware che attacca gli ignari utenti con una versione manomessa e dannosa di TeamViewer. 

N.B: il sito ufficiale di TeamViewer NON E'STATO COMPROMESSO. I download dal sito ufficiale sono sicuri. Le versioni dannose in analisi provengono da fonti di terze parti.

Tutto inizia il 20 Gennaio, quando un ricercatore di sicurezza che gestisce il Twitter di FewAtoms ha rilevato un URL dannoso contenente una directory aperta che conduceva gli utenti al download di un archivio auto-estraente. Analisi approfondite di questo archivio hanno portato a individuare, "travestito" appunto da TeamViewer un trojan-spyware programmato per raccogliere e rubare le informazioni dell'utente. 

Il trojan per il furto di credenziali Azorult si camuffa da Google Update e diventa invisibile

Azorult è una vecchia conoscenza: è un info-stealer, un trojan progettato per sottrarre informazioni e credenziali dai sistemi infetti.  E' pensato per estrarre più informazioni  e dati sensibili possibile da più fonti: file,  cookie, cronologia del browser per estrarre le credenziali bancarie e i dati dei Portafogli di criptovalute. E' un trojan in evoluzione continua, noto anche come downloader dei payload di altri malware in campagne di infezione organizzate in più fasi. Spesso è stato individuato in campagne che diffondono su vasta scala ransomware, altri info-stealer e malware per il mining di criptovaluta. 

Qualche giorno fa è stata individuata una nuova campagna di diffusione di Azorult: anziché usare la classica campagna di spam, gli autori di Azorult lo propongono come installer per i Google Update. Se un utente scarica ed esegue il Google Update fake, questo ottiene immediatamente la persistenza sul computer sostituendo l'Updater legittimo. 

Un certificato rubato per legittimare il falso Google Updater