mercoledì 29 gennaio 2020

Report rivela che Avast vende i dati degli utenti a terze parti


Appena un mese fa Firefox rimuoveva dal portale degli add-on le estensioni di Avast Online Security, AVG Online Security, Avast SafePrice e AVG SafePrice dopo che il report del ricercatore  Vladimir Palant (creatore di AdBlock Plus) aveva scoperto come queste raccogliessero molti più dati sugli utenti di quanti ne servissero realmente per funzionare. Tali estensioni mostravano lo stesso comportamento su Chrome, in aperta violazione delle policy privacy anche del browser targato Google: anche in questo caso Google, pur in ritardo rispetto a Mozilla, aveva proceduto alla rimozione delle app incriminate dal Google Store. 



Nonostante il precedente, un nuovo report rivela che dalle parti di Avast non hanno imparato nulla dalla lezione: al contrario, si è registrata una netta accelerazione nella raccolta dei dati degli utenti. La notizia si deve ad una inchiesta congiunta da parte di Motherboard e PCMag, che svela come Avast esegua una minuziosa e dettagliatissima raccolta di tutte le attività che gli utenti compiono online tramite i suoi software e servizi antivirus gratuiti, per poi rivendere questi dati, tramite una sussidiaria, a terze parti. La sussidiaria in oggetto si chiama Jumpshot ed è stato proprio mettendo le mani su un documento riservato inviato dalla stessa ad un cliente che le redazioni delle due testate hanno avviato l'inchiesta. 

lunedì 27 gennaio 2020

Campagna di spam contro utenti italiani: il malware sLoad si diffonde via PEC


La segnalazione del Cert-PA è di stamattina, ma l'individuazione di un'ampia campagna di email di spam che diffonde il malware sLoad via circuito PEC risale a domenica sera. L'email di spam coinvolge centinaia di account PEC differenti ed è indirizzata sia verso utenti privati che enti pubblici. 

L'email ha come oggetto “Copia Cortesia – PDF Fattura Numero XXXXXXXX“ dove il numero solitamente è RX49712669619, ma sono state individuate anche alcune varianti nelle quali il fantomatico "codice fattura" può anche variare. E' stato il ricercatore indipendente reecdepp a riportare infatti una variante (visibile qui) "armata" di un archivio .ZIP dentro il quale è contenuto un falso PDF e un file VBS: questa variante mostra un "codice fattura" diverso. 

Il testo dell'email è il seguente:

venerdì 24 gennaio 2020

Sistemi macOS: uno su dieci è infettato col trojan Shlayer


Indubbiamente i sistemi operativi Mac sono meno soggetti a cyber attacchi, anche se da tempo, di pari passo con la maggior presenza di SO Mac nel mondo, la situazione sta cambiando... in negativo. Vi sono stati vari casi di malware pensati appositamente per macOS; nel Febbraio 2019 fu individuato CookieMiner un malware per rubare ed esfiltrare i web cookie relativi ai servizi online, insieme a password, messaggi di testo e credenziali vari. Colpiva solo dispositivi Mac. La backdoor EmPyre è una vecchia conoscenza invece, usata per controllo da remoto e persistenza: anche in questo caso il target erano i SO Mac. Vi sono molti altri esempi di malware pensati ad hoc per macOS, ma parliamo comunque di malware la cui diffusione è stata limitata. Non è un caso che sono ancora tantissimi gli utenti che ritengono il MAC sostanzialmente inattaccabile e inattaccato. 

Il fatto è che la realtà è cambiata: fino a pochi anni fa gli utenti dei sistemi operativi Mac si contavano sulle dita di una mano (rispetto alla diffusione di massa di Windows). La scarsa diffusione dei Mac rendeva nei fatti poco utile e appetibile per i cyber attaccanti prodigarsi in sforzi per programmare e diffondere malware per questi sistemi operativi. Adesso che il Mac ha raggiunto una platea molto ampia di utenti, l'attenzione dei cyber attaccanti si è di nuovo destata. E la conferma si è avuta con la diffusione raggiunta dal trojan Shlayer, individuato da alcuni vendor di sicurezza sul 10% - 12% dei dispositivi Mac che utilizzano le loro soluzioni. Parliamo di 32.000 campioni del malware e di 143 server di comando e controllo ad essi collegato. 

Qualche dettaglio tecnico

martedì 21 gennaio 2020

FTcode torna alla carica: la nuova versione ruba anche le credenziali di login


FTcode
è un ransomware individuato per la prima volta nel 2013, ma tornato in diffusione soltanto tra Settembre e Ottobre del 2019 dopo anni di silenzio. Ne avevamo parlato qui, perchè il Cert-PA aveva individuato una campagna di email di spam che distribuiva il payload del ransomware soltanto contro utenti italiani. 

Parliamo di un ransomware già molto insidioso completamente sviluppato in PowerShell, che non necessità di scaricare alcun componente aggiuntivo per criptare i dispositivi ma che può anche essere facilmente modificato dai suoi sviluppatori per aggiungere nuove funzionalità . Ed è successo proprio questo. Ecco le novità.

Nuova versione ruba le credenziali salvate
E' stata individuata, già in diffusione, una nuova versione di FTcode che mostra l'aggiunta di una nuova componente dannosa: parliamo di una funzionalità di furto dati che consente al malware di raccogliere ed esfiltrare le credenziali di login salvate sulla macchina bersaglio prima dell'avvio del meccanismo di criptazione. 

venerdì 17 gennaio 2020

L'exploit kit di WannaCry torna alla carica: il ransomware 5ss5c recupera EternalBlue


Ricorderete sicuramente WannaCry, il ransomware con capacità di diffusione simili a un worm che registrò così tante infezioni e mostro virulenza tale da essere a tutt'oggi considerato l'attacco ransomware più devastante della storia. L'impressionante virulenza di WannaCry derivava dall'uso di un exploit kit ben preciso, EternalBlue appunto. 


EternalBlue in breve
EternalBlue è un exploit kit sviluppato dalla divisione cyber dell'NSA, l'Agenzia di Sicurezza nazionale degli Stati Uniti. Rientrava in una più ampia serie di tool che gli Stati Uniti usavano per questioni di sicurezza nazionale: peccato che nel 2016 tutti questi tool sono stati rubati dai server NSA. Il furto, avvenuto per opera del gruppo di hacking Shadow Broker, ha avuto come conseguenza la perdita di controllo da parte dell'NSA di tutti gli exploit kit sottratti e, ovviamente, l'impiego degli stessi da parte del cyber crimine. 

giovedì 16 gennaio 2020

Ransomware: si diffonde la pratica della pubblicazione dei dati rubati per chi non paga il riscatto


Il capofila, ne abbiamo parlato ampiamente, è stato il ransomware Maze. Fin dal primo "colpo grosso" contro Allied Universal, una delle principali aziende di servizi di sicurezza statunitense, Maze si è distinto per la pratica di rendere pubblica una parte dei dati sottratti dai sistemi infetti, come forma di pressione ulteriore al fine di convincere la vittima a pagare il riscatto. Di questa pratica gli attori di Maze, ransomware usato ormai a cascata contro obiettivi mirati come enti pubblici e aziende, scuole e ospedali negli U.S.A, ne hanno fatto una specializzazione, al punto da aver perfino aperto un "sito di news" dove pubblicare i dati: questo anche perché ben presto la stampa di settore (e non solo) ha deciso di non dare più spazio a questa tipologia di ricatto e di non far girare alcun database di dati rubati e pubblicati a fini estorsivi. 

La tecnica funziona, purtroppo, e si cominciano a registrare casi di emulazione da parte di nomi altisonanti nel panorama delle cyber minacce: primo tra tutti Sodinokibi, ma appena due giorni fa anche gli attori dietro al ransomware Nemty hanno effettuato le prime operazioni di pubblicazione dati.

martedì 14 gennaio 2020

Data breach e data leak: quali sono le differenze?


E' indubbio che l'anno 2019 sia stato quello che più ha dimostrato come oggi siano i dati le vere prede dei cyber attaccanti, sia che si tratti di "criminali comuni" che di gruppi sponsorizzati da Stati nella cyber guerra a bassa intensità che ormai contraddistingue le relazioni tra alcune nazioni. Database esposti, dati esfiltrati e pubblicati, dati condivisi con terze parti, dati criptati, dati rivenduti nel dark web... Di queste parole si sono riempiti i giornali, non solo quelli di settore, nel 2019. 

Sopratutto sarà capitato a tutti di leggere notizie dove si fa riferimento ai cosiddetti data breach e data leak: due dizioni spessissimo usate come sinonimi, perfettamente intercambiabili. In realtà tra data leak e data breach ci sono differenze di fondo

venerdì 10 gennaio 2020

Il Cert-Pa individua una campagna di spam contro utenti italiani: diffonde il temibile malware TrickBot


L'alert del Cert-Pa è di ieri: hanno rilevato direttamente una campagna di email di spam in italiano che diffonde, tramite il solito allegato compromesso, una versione piuttosto recente di TrickBot, un malware molto pericoloso sul quale forniremo, in questo testo, alcuni aggiornamenti.

La campagna di email di spam
Le email di spam, veicolo dell'infezione, sono scritte in italiano e provengono da caselle email realmente esistenti (quindi non create ad hoc per l'attacco): molto probabilmente siamo di fronte a diverse centinaia di account email violati, impiegati per veicolare il malware. 

Mittente, oggetto, corpo email, nome dell'allegato sono variabili: tendenzialmente l'allegato contiene un file chiamato "Documento_doganale_XXXXXXX.doc". Sotto due campioni email analizzate dal Cert-Pa:

giovedì 9 gennaio 2020

2020: tutti i software Microsoft che arriveranno a FINE VITA


Il 2020 vedrà scattare il fine vita per molteplici software sviluppati da Microsoft: Windows 7 è quello di cui si è più parlato, sia perchè è un sistema operativo, nelle sue varie versioni, ancora estremamente diffuso sia perchè è sicuramente il software più importante e famoso tra quelli che arrivano al cosiddetto EOL, ossia End of Life. 

Cosa significa EOL, end of life
Arrivare a fine vita vuol dire, per un software, che la casa madre, in questo caso Microsoft appunto, non fornirà più patch di sicurezza per le vulnerabilità, fix per i bug e supporto tecnico. Inutile, forse, ribadire quanto sarà rischioso per gli utenti non provvedere al passaggio alle versioni più recenti o più aggiornate di un software: questi sistemi operativi vedranno aumentare sempre di più il numero di falle presenti, con un aumento della superficie di attacco che crescerà costantemente. 

Windows 7 e Server 2008

venerdì 3 gennaio 2020

Il ransomware Maze colpisce senza sosta negli USA: pubblicati i dati rubati alle vittime


I primi giorni di Dicembre il ransomware Maze, del quale abbiamo già parlato più volte anche perchè è stato distribuito anche in Italia, ha colpito i sistemi informatici della città di Pensacola. Sono finiti in down i servizi email cittadini, alcuni servizi telefonici e altri servizi online a causa anche del fatto che le autorità cittadine hanno deciso lo shut down dei sistemi informatici onde evitare ulteriore diffusione dell'infezione. 

Gli autori del malware, dopo aver confermato il furto dei dati prima della criptazione di tutto quanto si trovava nella rete, hanno richiesto un riscatto di oltre un milione di dollari. Le autorità cittadine hanno deciso di non pagare il riscatto, come suggerito ed indicato da FBI e dal nuovo gruppo di pronto intervento in caso di cyber attacco, isituito con legge del Senato a livello federale per affiancare i sempre più numerosi privati (enti e aziende) e istituzioni a fare fronte alla costante cyber guerrilla che ormai contraddistingue gli USA da oltre un anno. 

Poco prima di Natale, data il ferreo diniego da parte dell città di Pensacola al pagamento del riscatto, gli attaccanti hanno pubblicato circa 2GB dei 32 GB di dati rubati prima della criptazione dei file. 

giovedì 2 gennaio 2020

Cyber rischi: previsioni 2020 by Seqrite


Il 2020 si preannuncia come un anno molto molto impegnativo per aziende, governi e anche semplici cittadini: si apre infatti una nuova era di minacce emergenti. Gli attaccanti hanno a disposizione (fortunatamente non solo loro) una nuova arma, l'intelligenza artificiale. L'AI infatti è già stata, e sarà sempre più, molto utile per la costruzione di strategie di cyber guerriglia che massimizzino l'impatto degli attacchi e per neutralizzare le difese informatiche dei target. 

Oltre all'impiego dell'AI, si prevedere che i cyber criminali useranno nuove tecniche di attacco, i cui primordi sono già stati visibili negli ultimi mesi del 2019. Ecco le previsioni degli esperti di Seqrite per il 2020. 

1. Aumento degli attacchi di "web skimming"