giovedì 27 febbraio 2020

Nuova versione del trojan bancario per Android Cerberus cattura il codice one-time di Google Authenticator


Sono stati i ricercatori di sicurezza di ThreatFabric a individuare una nuova versione del temibile trojan bancario per Android Cerberus e hanno immediatamente diramato un alert per avvisare gli utenti di Android, oltre ovviamente a segnalare a Google il problema. Questo appunto perchè la nuova versione del trojan, oltre a sottrarre i dati bancari, è in grado di intercettare la cosidetta OTP (one-time passcodes) generata da Google Authenticator e usata come sistema di autenticazione a due fattori per proteggere gli account online. 

Cerberus è un malware as a service (MaaS) individuato nell'Agosto del 2019: per malware as a service intendiamo quei malware messi in affitto online, acquistabili (e spesso personalizzabili) dalla rete di affiliati che spartisce i guadagni ottenuti con gli sviluppatori del malware. Sono reti estese di affiliazione, che prevedono persino supporto e aggiornamenti: una rete di criminali "professionisti". 

mercoledì 26 febbraio 2020

Raffica di pagamenti non autorizzati su PayPal: che sta succedendo?


Alcuni cyber attaccanti sembrano aver individuato un bug nell'integrazione di PayPal su Google Pay e lo stanno sfruttando attivamente per eseguire transazioni non autorizzate tramite account PayPal. E' da venerdì scorso, infatti, che piovono segnalazioni di transazioni misteriose comparse nella cronologia di PayPal, tutte originate dai relativi account Google Pay. 

La problematica viene ormai riportata da svariate piattaforme, dal forum di PayPal a Twitter a Reddit e persino sui forum di supporto russo e tedesco di Google Pay. La maggior parte delle vittime pare concentrarsi in Germania, mentre le transazioni illegali stanno avvenendo in larga parte su store statunitensi, sopratutto nei negozi della catena Target. I danni stimati vanno dalla decina alle migliaia di euro, stando alle segnalazioni fino ad esso disponibili, ma vi sono alcune transazioni che vanno ben oltre i 1.000 euro. 

La preoccupazione principale è legata al fatto che ancora non è chiaro quale sia il bug che viene sfruttato e da Google si sono chiusi in un netto silenzio sulla faccenda, ma sia PayPal che Google hanno fatto sapere che le indagini sono già in corso. 

Un ricercatore avanza una ipotesi

martedì 25 febbraio 2020

Coronavirus - la crisi preme l'acceleratore verso la digitalizzazione, per una vita più normale possibile: e-learning e smart working


In seguito ai casi di contagio da Coronavirus registrati in Lombardia e Veneto il Consiglio dei Ministri ha varato un decreto legge emergenziale volto a contenere il rischio contagio ed evitare la comparsa di focolai a macchia di leopardo. Tra le numerose previsioni emergenziali, uno permette lo smart working anche senza l'accordo lavoratore azienda, come invece previsto dalla normativa vigente in tempi non emergenziali, la legge 81 del 2017. Il tutto nella volontà di arginare l'impatto che questa crisi potrebbe avere sulla nostra economia. 

Il decreto fissa dei limiti temporali per lo smart working senza accordo, ovvero il 7 Marzo, e dei limiti geografici, ovvero nelle aree con attività lavorative sospese o limitate. Il Decreto Legge in oggetto è il n.6 del 23 Febbraio 2020, consultabile qui.

Una misura simile era già stata varata, in due diverse occasioni, sempre con limiti temporali: fu in occasione del tragico crollo del Ponte Morandi a Genova e dell'alluvione nel torinese. 

In concreto

lunedì 24 febbraio 2020

Aziende svizzere sotto attacco ransomware: il Governo se la prende con le aziende scarsamente protette e poco attente agli alert di cybersicurezza


Il Reporting and Analysis Centre for Information Assurance (MELANI) svizzero ha diramato, qualche giorno fa un alert per le aziende svizzere piccole, medie ma anche di grandi dimensioni riguardo ad una serie di attacchi ransomware tutt'ora in corso.  

Secondo l'avviso emesso in collaborazione col Cert nazionale svizzero, gli attaccanti hanno richiesto alle aziende colpite riscatti che vanno dalle migliaia al milione di franchi svizzeri, poco meno di un milione di euro. Pare che, solo nelle ultime settimane, siano già dodici le aziende colpite, con criptazione dei dati e sistemi resi inutilizzabili. 

Il Governo se la prende con le imprese 

venerdì 21 febbraio 2020

La VPN in realtà è un malware: un installer fake di ProtonVPN diffonde AZORult


E online almeno dal Novembre 2019 un sito fake che imita in tutto e per tutto il sito web ufficiale della nota Virtual Private Network ProtonVPN, ma in realtà ha una sola funzione precisa: quella di infettare gli ignari utenti col malware AZORult. Il malware è camuffato da installer, appunto, di ProtonVPN. ProtonVPN è una VPN open source incentrata sulla sicurezza sviluppata e fornita da Proton Technologies AG, la compagnia svizzera conosciuta anche per ProtonMail, noto servizio di email criptate end-to-end.  

AZORult invece è invece un trojan in costante evoluzione fin dalla sua prima individuazione, venduto a circa 100 dollari su svariati siti di hacking: specializzato nel furto dati, funge anche da downloader per altre famiglie di malware in campagne di infezione  multi-stadio. E' stato individuato molto spesso in accoppiata con ransomware, altri malware per il furto dati e miner di criptovaluta. In dettaglio raccoglie e invia al server di comando e controllo degli attaccanti più informazioni sensibili possibili, raccoglibili dai file presenti sul sistema infetto, password, cookie, cronologia del browser, credenziali bancarie, estremi dei wallet di criptovaluta. 

mercoledì 19 febbraio 2020

Italia sotto attacco: il ransomware Dharma distribuito con ondate di email di spam


E' stata individuata una campagna di distribuzione del ransomware Dharma contro utenti italiani via email di spam. Il Ransomware Dharma è attivo ormai da qualche anno e si basa su un'altra, pericolosa, famiglia di ransomware chiamata Crysis. E' inedito questo metodo di diffusione via spam: Dharma si è sempre contraddistinto per l'installazione tramite RDP hackerati. 

La campagna è stata individuata da più fonti e, dall'analisi pubblicata dai ricercatori di TGSoft e dal ricercatore indipendente JAMESWT, emerge che sono due, in realtà, i malware in distribuzione: Dharma, appunto, insieme al ben conosciuto keylogger Ursnif. 

Le email di spam

martedì 18 febbraio 2020

La famiglia di ransomware Xorist attacca in Italia: ma in alcune versioni è risolvibile!


Abbiamo ricevuto richieste di aiuto per decriptare file colpiti da alcune varianti del ransomware Xorist. Tutte le infezioni segnalate recano diverse estensioni post criptazione, ma le analisi hanno portato alla luce come in realtà l'impianto e la routine di criptazione dei diversi campioni di malware siano identici e risalenti tutti allo stesso ceppo di malware: la "storica" famiglia di ransomware Xorist, individuata per la prima volta nel 2016. 

Alcune varianti del malware stanno colpendo utenti italiani, ma non è chiaro, per il momento, il metodo di infezione. Fortunatamente i nostri tecnici, col supporto di Dr.Web, sono in grado di risolvere alcune varianti dell'infezione. Chi è stato colpito da questo ransomware può scriverci alla mail alessandro@nwkcloud.com inviandoci due file criptati e la nota di riscatto: procederemo ad analisi e composizione del tool di risoluzione (per maggiori informazioni sul nostro servizio di decriptazione ransomware visitare il sito web https://www.decryptolocker.it/).

A titolo esemplificativo riportiamo i dati di una variante inviataci da una recente vittima di questa infezione:  l'estensione di criptazione è .PrOnis, mentre la nota di riscatto è un file rinominato "HOW TO DECRYPT FILES.txt", l'email di contatto pronis@cock.li. 

Qualche informazione tecnica

lunedì 17 febbraio 2020

Anonymous attacca le PA in Basilicata, LulzSec Ita colpisce tre università: le carenze della protezione dati in Italia


Anonymous torna a farsi sentire e lo fa contro le trivellazioni petrolifere in Basilicata, compiendo una lunga serie di attacchi informatici ai danni della Pubblica Amministrazione in Basilicata. Gli hacktivisti sono riusciti ad avere accesso ai database della Giunta e del Consiglio Regionali ma anche dell'azienda di promozione turistica regionale e di diversi comuni della Val D'Agri, il sito prescelto per le future trivellazioni. Accusata numero uno è l' ENI: il comunicato col quale gli hacktivisti rivendicano l'attacco parla apertamente, infatti, di  "scempio, disastro, ecatombe, tutto firmato dall'italiana Eni". 

L'operazione segue di qualche giorno una serie di attacchi del gruppo LulzSecITA, affiliato ad Anonymous, che nelle scorse settimane ha attaccato  i sistemi dell'Università della Basilicata, di Napoli e di Roma 3, diffondendo poi i dati ottenuti e criticando apertamente la debolezza dei sistemi protettivi e la scarsa attenzione posta dagli atenei italiani nella protezione dei dati di studenti, docenti e dipendenti. 

Operation GreenRights

venerdì 14 febbraio 2020

La Polizia Postale denuncia: +597% di cyberattacchi finanziari in appena due anni


Nel corso di un convegno organizzato dall'Università LUISS di Roma la Polizia Postale ha lanciato l'allarme cyber attacchi. Lo fa con le parole della direttrice della Polizia Postale, Nunzia Ciardi che, nel corso del suo intervento ha definito il cybercrimine finanziario come "una emergenza assoluta". 

I dati parlano chiarissimo e non lasciano spazio ad ambiguità: in due anni le denunce relative ad attacchi e frodi finanziarie informatiche sono aumentate del 579%. Con un preoccupante cambio di passo: il cyber crimine ormai non mira più soltanto ai privati cittadini (magari giocando sulla scarsa consapevolezza dell'utente medio in termini di sicurezza informatica) ma anche enti e piccole medie e imprese, spesso usate come "tappa intermedia" per accedere e attaccare i sistemi di aziende ben più grandi. Insomma, in poche parole, una concretissima minaccia alla nostra economia nazionale. 

mercoledì 12 febbraio 2020

Nuova versione di Emotet attacca le reti Wi-Fi vicine per fare più vittime


Il malware Emotet non ha bisogno di presentazioni: è uno dei più noti e diffusi malware degli ultimi anni con funzioni di info stealer e furto di credenziali, sopratutto bancarie. I ricercatori di Binary Defense hanno individuato una nuova tecnica di diffusione del malware: Emotet utilizza dispositivi già infettati per individuare nuove vittime che sono connesse alle reti wi-fi nei dintorni della vittima. Insomma, questa nuova versione ha un "Wi-fi spreader" per scansionare le reti wi-fi nei dintorni e tentare di attaccare tutti i dispositivi che vi sono connessi. I ricercatori fanno sapere che lo spreader wi-fi in realtà potrebbe risalire già al 2018: contiene infatti un timestamp del 16 Aprile 2018. Sarebbe quindi rimasto non individuato per oltre due anni. Un cambiamento, questo, che rende l'idea della crescita e miglioramento continuo delle capacità di Emotet, che adesso può attaccare anche vittime in stretta vicinanza fisica con la vittima originale. 

Come funziona il nuovo modulo?

martedì 11 febbraio 2020

Il Ransomware Robbin Hood installa un driver vulnerabile... per attaccarlo e terminare i processi antivirus


Il ransomware Robbin Hood non è molto conosciuto al di fuori della cerchia degli esperti del panorama ransomware: individuato ormai quasi un anno fa, non ha mai raggiunto numeri allarmanti né in termini di campagne di distribuzione né di infezioni. Ha segnato, effettivamente, un picco di popolarità quando è stato impiegato per attaccare le municipalità di Baltimora e Lake City, nell'ambito di quella lunga scia di cyber attacchi mirati che stanno funestando gli Stati Uniti ormai da più di un anno.


Mira tra l'altro principalmente aziende, in dettaglio i computer nelle reti aziendali. Non è diffuso via email di spam, ma cerca altri metodi tra i quali l'attacco ai servizi di desktop remoto e lo sfruttamento di altri trojan che forniscono un sufficiente livello di accesso al sistema per installare il payload del ransomware. 

venerdì 7 febbraio 2020

Google "elimina" i cookie di terze parti su Chrome


Google aveva già annunciato tempo fa di essere a lavoro per una radicale modifica della gestione dei cookie di terze parti, cercando un approccio meno rigido di quello adottato, ad esempio da Firefox che ha optato per il blocco predefinito di tutti i cookie di terze parti. Una scelta, quella di Firefox, che mina alla base una le modalità attualmente in uso per fare business su Internet e che, proprio per questo, non ha convinto Google. Comune la volontà, insomma, di aumentare sicurezza e privacy nella navigazione web, ma dalle parti di Google le preoccupazioni degli inserzionisti e degli editor di contenuti hanno trovato ascolto. 

E' proprio con un post sul blog Chromium (il progetto open source dove è stato sperimentato il nuovo modello di gestione dei cookie) che Google ha annunciato come la nuova versione 80 vedrà già attive, in parte, tali modifiche: l'implementazione di tutto il nuovo meccanismo di gestione avverrà gradualmente. Nemici numero uno i cookie traccianti di terze parti. 

mercoledì 5 febbraio 2020

PMI: nel 2020 diventano fondamentali la sicurezza dei dispositivi e la formazione dei dipendenti


Il 2020 si preannuncia come un anno difficile sotto il profilo della sicurezza informatica: già si prevede un aumento dei ransomware e dei malware in generale per mirare ai dispositivi mobile. Da questo punto di vista non bisogna farsi ingannare dalle notizie che girano sulla stampa, dove si parla quasi esclusivamente di attacchi eclatanti contro grandi aziende. In realtà sono proprio le piccole e medie imprese quelle più esposte a questa tipologia di attacchi e la situazione si farà più urgente dato il dilagare dell'uso dei dispositivi mobile nelle aziende. 

Una recente ricerca del Ponemon Insitute rende chiaro il problema, rivelando come il 66% delle PMI a livello globale ha subito un qualche tipo di attacco informatico nell'ultimo anno. 

Formazione e messa in sicurezza dei dispositivi mobile dei dipendenti diventano quindi punti centrali nella programmazione della gestione delle risorse aziendali (i dati confermano infatti che, molto spesso, è il fattore umano - un dipendente che fa il clic sbagliato sulla email compromessa, a facilitare gli attacchi informatici). E' la diffusione dello "smart working" che porta nuovi rischi alle PMI. 

martedì 4 febbraio 2020

Il malware TrickBot usa una nuova tecnica per bypasare i Controlli Account Utente su Windows 10


Il famigerato trojan TrickBot ha implementato una nuova tecnica per bypassare il Controllo Account Utente (UAC) su Windows 10, così da eseguirsi con privilegi di amministrazione senza che l'utente visualizzi alcun alert UAC. 

L'UAC è un meccanismo di sicurezza di Windows che mostra prompt di alert ogni volta che un programma viene eseguito coi privilegi di amministrazione. Quando questi prompt sono mostrati, l'utente deve indicare se desidera concedere al programma di effettuare cambiamenti nel sistema oppure, nel caso il programma sia sospetto o sconosciuto, impedirne l'esecuzione. E' evidente come questo sia un problema per i cyber attaccanti, che al contrario, traggono vantaggio dal fatto che la vittima sia e resti totalmente ignara dell'attacco in corso. 

lunedì 3 febbraio 2020

Vendita dati a terze parti: Avast annuncia la chiusura della controllata Jumpshot


Qualche giorno abbiamo dato notizia di un'inchiesta congiunta tra le redazioni di Motherboard e PCMag che ha rivelato come Avast rivendesse a terze parti i dati (dettagliatissimi e abbondanti) raccolti durante la navigazione dagli utenti che utilizzano i suoi servizi. Un episodio che ha acceso, di nuovo, le polemiche contro il famoso vendor di software antivirus, che già qualche mese fa aveva subito la rimozione di alcune sue estensioni dai portali degli add on sia di Mozilla che di Chrome proprio per l'eccesso di dati raccolti, ben oltre quando necessario per il funzionamento delle estensioni stesse e in aperta violazione delle policy privacy dei due popolari browser. Le estensioni sono state reinserite nei portali di Chrome e Mozilla quando Avast ha inserito un chiaro avviso per gli utenti, nel quale è richiesto l'esplicito consenso da parte dell'utente riguardo al tracciamento delle attività via browser. 

Per approfondire >>