martedì 10 settembre 2019

La settimana nera degli exploit kit ci ricorda perchè è fondamentale aggiornare software e sistemi


Nell'ultima settimana, ma anche in questi giorni, sono in corso molteplici campagne di malvertising che colpiscono utenti Windows,  per reindirizzarli verso exploit kit che installano trojan per il furto password, ransomware e altri malware. 

Tra tante, descriviamo tre campagne individuate dal ricercatore indipendente nao_sec, nelle quali malvertising di vario tipo reindirizza gli utenti su landing page compromesse con exploit kit di vario genere. La maggior parte di queste landing page sono ospitate su siti web hackerati appositamente. 

Il trojan bancario Ramnit e GrandSoft EK
Una di queste campagne vede l'exploit kit GrandSoft diffondere il trojan bancario Ramnit, dotato di moduli appositi per il furto password e delle credenziali di banking online, account FTP, account social... ma anche per il furto della cronologia del browser e per l'iniezione di script. 

GrandSoft EK è un exploit kit in circolazione già da anni, ma ha mostrato un certo ritorno all'attività nell'ultimo anno. Nel 2018 tornò in attività per diffondere il famigerato ransomware GandCrab. Sfrutta una sola vulnerabilità, la CVE-2016-0189 dei motori Microsoft JScript e VBScript, utilizzati in Internet Explorer e molti altri prodotti. Questa vulnerabilità consente ai cyber attaccanti di eseguire codice arbitrario da remoto sulla macchina bersaglio o causare un DoS. E' stata risolta già nel 2016, ma pochissimi utenti hanno installato la relativa patch, quindi è ancora profittevole per i cyber attaccanti bersagliare una vulnerabilità considerabile ormai obsoleta. 

RIG EK diffonde il trojan Amadey
RIG EK adesso bersaglia la vulnerabilità CVE-2018-15982 di Flash Player e la CVE-2018-8174 di Microsoft Internet Explorer VBScript Engine. La prima è una vulnerabilità di livello critico che consente ad un attaccante remoto di aumentare i privilegi e eseguire codice arbitrario. La seconda può corrompere la memoria e consentire all'attaccante l'esecuzione di codice da remoto. 

Gli utenti di Internet Explorer che dovessero incappare nella landing page vedranno il browser crashare nel momento in cui l'exploit installerà il malware. 


Amadey è un trojan per il furto password e informazioni, dotato di un particolare sistema di individuazione di soluzioni antivirus sul sistema infetto: qualora riscontri antivirus in esecuzione sulla macchina bersaglio, sospende temporaneamente le attività e invia le informazioni al proprio server di comando e controllo, in attesa di istruzioni specifiche da parte dei propri sviluppatori. 

Radio EK installa il ransomware Nemty
Di Nemty abbiamo parlato qualche giorno fa: è un ransowmare nuovissimo, che si sta distinguendo perchè in pochissimi giorni sta già usufruendo di molteplici supporti per la diffusione: appena tre giorni fa è stato individuato in diffusione tramite l'exploit kit RIG (per approfondire leggi qui). 

La buona notizia è che l'exploit kit Radio è piuttosto semplice e sfrutta una sola vulnerabilità, la stessa dell'exploit kit GrandSoft (CVE-2016-0189) risolta nel 2016 da Microsoft. 

Fonte: bleepingcomputer.com

Difendersi dagli exploit kit?
"Per funzionare, un exploit kit deve individuare sul sistema bersaglio la/le vulnerabilità per la quale porta con sé il codice necessari a sfruttarla e ottenere l'accesso all'host. Le vulnerabilità risiedono principalmente in software o sistemi operativi obsoleti, quindi la prima difesa è sicuramente quella di eseguire sempre software e sistema operativo aggiornati all'ultima versione disponibile: gli update contengono infatti i fix necessari per molteplici vulnerabilità. Sopratutto, è importante aggiornare i software che interagiscono con i browser ad esempio Adobe Flash, PDF reader ecc.." spiega Alessandro Papini, esperto di cyber sicurezza e Presidente di Accademia Italiana Privacy.

"Un altro piccolo accorgimento è quello di rimuovere i software che non sono più in uso: spesso ci dimentichiamo addirittura di avere installato certo software.. figuriamoci se ci preoccupiamo di aggiornarli. Più software in disuso ci sono, più aumenta il rischio che questi, non aggiornati, presentino vulnerabilità sfruttabili da cyber attaccanti. Disinstallarli non solo garantisce migliori prestazioni del sistema, ma riduce anche l'esposizione a vulnerabilità"

Nessun commento:

Posta un commento