Zoom sotto attacco: i cybercriminali approfittano del boom di popolarità del software per le videoconferenze

Zoom è una piattaforma di comunicazione cloud-based che può essere usata per conferenze audio e video, riunioni online, chat e collaborazioni online tramite sistemi mobile, desktop e telefonici. Ha registrato un drastico aumento di utenti attivi dall'inizio del 2020, dato dai milioni di dipendenti che adesso lavorano da casa, ma anche dall'impennata di utenti chiusi in casa che lo utilizzano per comunicare con amici e parenti: nell'intero 2019 l'aumento di utenti attivi fu di 1,99 milioni, ma dall'inizio del 2020 sono già circa 2,2 milioni i nuovi utenti. Ad ora Zoom ha quasi 13 milioni di utenti attivi. 

Non sono però aumentati solo gli utenti di Zoom in questo periodo: i ricercatori di Check Point research hanno registrato anche una vera e propria impennata di registrazioni di domini il cui nome include la parola "Zoom". Nulla di inaspettato, va detto, dato che è abitudine comune dei cyber attaccanti cercare di cavalcare trend, che siano software e piattaforme o tematiche di grande risalto per l'opinione pubblica.  I dati parlano chiaro: 

"Dall'inizio dell'anno, sono 1700 i nuovi domini registrati contenenti la parola Zoom. Il 25% è stato registrato la scorsa settimana. Il 4% di questi già è stato analizzato e mostra caratteristiche sospette" dicono i ricercatori

L'attacco che non ti aspetti: il malware arriva per posta

Trustwave ha riportato una notizia che ha quasi dell'incredibile e che raccontiamo più per la bizzaria della tecnica usata che per il rischio che una tipologia di attacco simile possa assumere dimensioni di massa. E' però un episodio indicativo sia della creatività e inventiva dei cyber criminali, sia dell'importanza di formare i dipendenti affinchè siano consapevoli dei rischi informatici che possono correre nel corso della prestazione lavorativa. 

La storia è breve: un ospedale negli Stati Uniti riceve per posta un pacco. Il pacco è incartato con i loghi societari di Best Buy, il più grande rivenditore di elettronica al dettaglio negli Stati Uniti. Il pacco contiene una lettera e una chiavetta USB. La lettera annuncia l'accredito di una gift card del valore di 50 dollari, spendibili su una serie di prodotti Best Buy, la chiavetta dovrebbe contenere l'elenco dei prodotti acquistabili col buono regalo. 

TrickBot bypassa la protezione 2FA per il banking online tramite app mobile

Gli autori del malware per il furto informazioni e credenziali bancarie TrickBot stanno utilizzando, già in attacchi reali, un'applicazione dannosa per Android sviluppata appositamente per bypassare l'autenticazione a due fattori: un sistema di autenticazione sicura introdotto dai vari servizi di pagamento online a causa dell'elevato numero di furti dei numeri di autenticazione delle transazioni rilevato negli ultimi anni. 

L'applicazione è stata rinominata TrickMo dai ricercatori di IBM X-force e, dalle analisi, è risultata essere in fase di aggiornamento: viene diffusa tramite desktop infetti tramite tecniche di web injection durante le sessioni di banking online. Ad ora pare colpire quasi esclusivamente utenti tedeschi, ma i continui update che sta ricevendo fanno pensare che l'app si trovi ancora in una fase di test. 

Gli operatori di TrickBot hanno sviluppato TrickMo per intercettare una vasta gamma di tipologie di codici per l'autenticazione incluse one time password (OTP9, mobile TAN e pushTAN. In realtà TrickMo era già conosciuta dai ricercatori, individuata nel Settembre 2019 dal CERT-Bund: al tempo i ricercatori tedeschi fecero sapere che i computer Windows colpiti da Trickbot iniziavano a richiedere alle vittime numeri di telefono e la tipologia di dispositivi per il banking online, cercando di convincerli poi a installare l'app dannosa nascondendola dietro un'app fake di sicurezza. 

TeamViewer interrompe le verifiche per uso commerciale nelle zone colpite dal Coronavirus

TeamViewer è forse uno dei più popolari e utilizzati software per il controllo e la gestione da remoto: è distribuito in versione gratuita per uso non commerciale, cioè per uso personale di quegli utenti che lo possono trovare utile per offrire supporto a familiari e amici. La versione per le aziende invece è, ovviamente, a pagamento. 

TeamViewer effettua delle verifiche rispetto al tipo di utilizzo che viene fatto del software: se un utente del software in versione gratuita viene individuato come utilizzatore per uso commerciale, la sessione viene interrotta e l'utente comincia a visualizzare vari alert che richiedono l'acquisto della licenza per poter continuare ad utilizzare il software. 

Il panorama dei ransomware si spacca in due: alcuni cessano gli attacchi per la crisi Covid-19, altri si fanno più pericolosi

E' un periodo molto particolare in tutto il mondo, dove l'epidemia da Covid-19 è fondamentalmente il tema centrale in discussione in ogni nazione e questo, ovviamente, rappresenta per i cyber criminali un'onda da cavalcare. Abbiamo già dato notizia di molteplici campagne di diffusione malware, truffe e frodi di vario genere che sfruttano questa tematica per diffondere malware, rubare dati, convincere spaventati utenti ad acquistare software, applicazioni, dispositivi di protezione individuali dannosi o completamente inutili. 

In Italia ne abbiamo già fatto le spese con la campagna di distribuzione del malware Trickbot tramite un documento compromesso presentato come vademecum per la prevenzione del virus. Appena due giorni fa Bleepingcomputer ha denunciato un'altra tecnica di attacco, per distribuire i malware Emotet e TrickBot: i cyber attaccanti inseriscono nei metadati o nella descrizione del file del malware stralci di notizie riguardanti il Covid-19, una tecnica che aiuta notevolmente questi malware ad eludere l'individuazione da parte delle soluzioni antivirus e antimalware che utilizzano l'intelligenza artificiale e il machine learning. 

Il mondo dei ransomware ha invece reagito "in fila sparsa", potremmo dire, a questa situazione: la

Campagna di distribuzione di Urnsif contro l'Italia: nuova catena di infezione

I ricercatori di Yoroi hanno pubblicato un alert relativo all'individuazione di una nuova campagna distribuzione del malware Ursnif rivolta esclusivamente contro utenti italiani. Campagne questo tipo contro utenti italiani non sono affatto nuove, anzi: gli esperti di Yoroi ne tengono traccia da mesi, così da poter analizzare eventuali evoluzioni nel codice del malware e nelle tecniche di infezione. 

L'ultima campagna individuata, attualmente in corso, si basa su un sito web italiano compromesso che funge da DropUrl: dato interessante è il fatto che è stato analizzato un uso piuttosto inusuale di Javascript, file batch e archivi SFX, tutti elementi che hanno migliorato non poco, purtroppo, la catena di infezione. 

Qualche dettaglio tecnico

Attacchi basati sulle macro di Office: come funzionano? Breve vademecum

Microsoft ha preso e sta prendendo svariati tipi di decisioni e misure per rendere i propri sistemi operativi sempre più sicuri. Questo sta portando il cyber crimine a ricorrere ad altre tipologie di attacco, anche recuperandone di vecchie, sopratutto quelle che si basano sullo sfruttamento dell'anello debole della catena della cybersicurezza, ovvero il fattore umano. Il dato è confermato da un forte aumento degli attacchi che sfruttano le macro di Office: questi sono attacchi che necessitano dell'interazione dell'utente, che deve appunto abilitare la macro contenuta in un documento Office perchè il codice dannoso possa eseguirsi sul sistema. A questo scopo può essere sufficiente una email di spam ben confezionata, che induca l'utente ad eseguire l'operazione di abilitazione della macro. Questi attacchi hanno anche un vantaggio: possono essere eseguiti su qualsiasi versione di Office. 

SMBGhost: la vulnerabilità del SMBv3 simile a quella responsabile di WannaCry. Microsoft rilascia patch di emergenza

Il Server Messagge Block è balzato agli onori delle cronache in piena diffusione della terribile campagna ransomware WannaCry: era grazie ad EternalBlue infatti, una vulnerabilità del Server Message Block v2 che WannaCry aveva potuto diffondersi di dispositivo in dispositivo lungo le reti infetti con la stessa virulenza di un worm. Per rinfrescarsi la memoria consigliamo questo post. 

Ora ci siamo di nuovo, pare, non a WannaCry fortunatamente, ma ad una vulnerabilità sempre del SMB, versione 3 stavolta, che consentirebbe di portare attacchi in modalità worm. 

Qualche dettaglio tecnico

Microsoft prende il controllo della botnet Necurs, responsabile di massive campagne di spam e distribuzione malware

Ogni tanto, anche il cyber crimine perde. Microsoft ha annunciato ieri di essere riuscita a prendere il controllo della infrastruttura, per lo più concentrata negli Stati Uniti, della botnet Necurs. Una botnet impiegata prevalentemente per la distribuzione dei payload di vari malware attraverso massive campagne di spam e responsabile dell'infezione di milioni (si, siamo nell'ordine dei milioni) di computer infetti. Per dare un'idea del potenziale di questa botnet, Microsoft ha pubblicato alcuni dati, spiegando che, dalle analisi, è risultato che un singolo dispositivo infettato da questa rete è stato osservato ad inviare 3.8 milioni di messaggi di spam a più di 40.6 milioni di target nell'arco di 58 giorni. 

"Martedì 5 Marzo la U.S District Court per il distretto est di New York ha dato il via libera formale affinchè Microsoft potesse prendere il controllo della infrastruttura Necurs, usata per distribuire malware e infettare i computer delle vittime" ha dichiarato il Tom Burt, Vice Presidente per la sicurezza degli utenti di Microsoft Corporation. "Con questa azione legale e grazie allo sforzo collaborativo che ha coinvolto partner sia del pubblico che del privato in varie parti del mondo, Microsoft sta conducendo una serie di attività che impediranno ai criminali dietro a Necurs di registrare nuovi domini per perpetrare nuovi attacchi in futuro". 

La botne Necurs: qualche dato in più

Coronavirus, sciacalli, rischi informatici e telelavoro: occorre maggiore attenzione!!

L'allarme viene dal Cert-PA, che segnala con un post di qualche ora fa, alcune problematiche che assumono un certo rilievo durante questa difficile fase. Il primo è un alert riguardante truffatori e cyber criminali, che trovano molto profittevole approfittare il momento per tentare truffe e diffondere malware. Il secondo problema è l'aumentare di rischi informatici per quelle aziende e enti che optano per il telelavoro per non sospendere le attività lavorative, laddove possibile ovviamente. Approfondiamo entrambi i punti sperando di fornire spunti utili. 

1. Coronavirus e sciacalli

Due gravi data breach in pochi giorni: esposti i dati dei clienti delle telco Virgin Media e T-Mobile

In due diversi incidenti, due grandi telco estere sono stati vittime di cyberattacchi mirati. Colpiti Virgin Media, principale operatore via cavo di Regno Unito e Irlanda e T-Mobile, una sussidiaria della tedesca Deutsche Telekom AG. 

Stando al comunicato stampa pubblicato da Virgin Media, la società ha subito almeno una violazione dei dati a causa di un database contenente dati di marketing non sicuro e mal configurato, che ha comportato l'esposizione dei dati di 900.000 clienti. 

T-Mobile invece ha pubblicato due diverse notifiche di data breach: l'azienda ha spiegato che i data breach sono stati conseguenza di un attacco hacker mirato, subito dal loro vendor email. Attacco che potrebbe aver comportato l'esposizione di dati privati e finanziari dei clienti.

Campagna di email di spam a tema Coronavirus contro utenti italiani: non solo furto dati, ma anche ransomware

Abbiamo fornito alcune informazioni su quella che appare essere la prima campagna di distribuzione malware a tema Coronavirus qualche giorno fa, in questo post, facendo riferimento all'analisi del C.R.A.M dei colleghi di TgSoft.

Torniamo adesso sull'argomento per due diversi motivi: il primo è che le email veicolo del malware sono ancora in diffusione, quindi la campagna di malspam ancora non è terminata, mentre il secondo è che ulteriori analisi hanno individuato un altro malware in diffusione tramite la stessa campagna, ovvero TrickBot. 

L'email vettore

Let's Encrypt revoca 3 milioni di certificati TLS/SSL a causa di un bug

Let's Encrypt, la nota Certificate authority non profit, ha revocato nella giornata di ieri  4 Marzo oltre 3 milioni di certificati a causa di un bug  nel sistema di validazione ed emissione automatizzata dei certificati TLS/SSL. Il servizio di certificazione non ha avuto altra scelta che disporre la revoca dei certificati vulnerabili, che ha avuto  luogo dalle 21 di ieri fino alle 4 di stanotte (ora italiana). 

Il bug si trova nel software in uso per la validazione dei certificati tramite i server Certificate Authority Authorization (CAA): Let's Encrypt utilizza Boulder per interrogare periodicamente i server CAA, verificando l'effettiva corrispondenza tra i certificati e i nomi dominio. In alcuni casi, questo il bug, i tecnici di Let's Encrypt hanno scoperto che Boulder non conduce ad una corretta corrispondenza del dominio-DNS. Tutti i certificati affetti da questo problema sono stati ritirati. 

Coloro che sono stati riguardati dalla problematica dovrebbero aver ricevuto una email con l'invito a rinnovare i certificati entro oggi dato che quelli in uso potrebbero non essere più validi. 

Ancora novità nel mondo dei ransomware: il backup in cloud usato contro le vittime

Che il mondo dei ransomware stia cambiando è ormai un'evidenza da mesi: dal furto e pubblicazione dei dati delle vittime che non pagano il riscatto allo spostamento dell'obiettivo sulle aziende ed enti pubblici più che sugli utenti home, passando per l'ondata di attacchi mirati che ormai prosegue incessante negli Stati Uniti, i cambiamenti sono molti e i cyber attaccanti dimostrano di "sapere stare al passo coi tempi".

Il backup resta però il vero ostacolo degli sviluppatori di ransomware. Questa è indubbiamente la difesa più efficace, ma se non è correttamente configurato questo strumento può diventare un vero e proprio boomerang. E' quanto dimostra il ransomware DoppelPaymer, il cui autore, appena qualche giorno fa, ha pubblicato sul proprio sito allestito appositamente per il leak dei dati delle vittime non paganti, username e password del software di backup di una vittima che ha deciso di non cedere al ricatto. 

Prima campagna di email di spam a tema Coronavirus contro utenti italiani

Il C.R.A.M di TgSoft ha individuato e analizzato quella che risulta essere, ad ora, la prima campagna di email di spam per diffusione malware a tema Coronavirus contro utenti italiani. Campagne su questa tematica si sono già viste in tutto il mondo: ovviamente i primi colpiti sono stati paesi asiatici (Cina, Giappone, Corea del sud ecc...), ma mano a mano che l'ondata di panico si è diffusa a livello globale, anche le campagne di diffusione malware hanno iniziato ad allargare il bacino delle proprie vittime. 

Per approfondire >> Il Coronavirus sbarca sul web: individuate decine di campagne di phishing che sfruttano la paura del virus

Sfruttare il panico da Coronavirus è "una tecnica vincente" per gli attaccanti, un utilizzo per loro assai profittevole delle tecniche di ingegneria sociale: le vittime infatti, di fronte ad una email scritta in corretto italiano e con riferimenti precisi all'Organizzazione Mondiale della Sanità (OMS), saranno facilmente indotti anche dal clima generale a seguire le istruzioni contenute nel testo. 

Il campione di email pubblicato da TGSoft è visibile sotto:

Kr00k: un miliardo di dispositivi con Wi-Fi a rischio dataleaks

E' stata individuata una vulnerabilità presente in popolarissimi chip WiFi integrati in dispositivi, router e access point che potrebbe essere sfruttata per decriptare parzialmente le comunicazioni degli utenti ed esporre i pacchetti dati nelle reti wireless. 

La vulnerabilità è stata rinominata Kr00k e si trova nella componentistica WiFi di Broadcom e Cypress: parliamo di componenti integrate in smartphone, tablet, computer, dispositivi IoT in tutto il mondo. Alcune stime, piuttosto contenute dobbiamo dire, parlano di oltre un miliardo di dispositivi vulnerabili nel mondo: le aziende sopra citate infatti sono i principali fornitori di hardware per i più noti produttori di elettronica al consumo nel mondo. Per fare qualche esempio, questa vulnerabilità si trova sui terminali iPhone 6, 6S, 8 e XR; Google Nexus 5, 6 e 6P; Samsung Galaxy S8; Xiaomi Redmi 3S; nei tablet iPad Air e Mini 2; Apple MacBook Air Retina 13 (2018); Kindle;  in Amazon Echo; i router Asus RT-N12, B612S-25d, EchoLife HG8245H, Huawei E5577Cs-321 ecc ecc ecc...

Qualche informazione tecnica