Come i cyber criminali diffondono malware per il furto dati tramite gli annunci pubblicitari PPC di Google

I malware infostealer, deputati al furto di informazioni dai dispositivi infetti, non sono affatto una novità, anzi: una volta avuto accesso ad un pc, comunicano agli attaccanti i dati relativi alla macchina, ma anche tutte le informazioni che possono raccogliere sull'utente, comprese credenziali, documenti, dati dai browser e, in alcuni casi, laddove siano presenti funzionalità di keylogging, perfino le battiture della tastiera. Inutile dire che questa tipologia di malware predilige il furto di credenziali bancarie e in generale di qualsiasi tipo di dato che possa essere rivenduto con profitto. Non è una novità neppure l'utilizzo da parte degli attaccanti di annunci pubblicitari per distribuire questi malware, ma da qualche tempo c'è un vero e proprio boom degli annunci pubblicitari PPC (pay per click) di Google: sono, per capirsi, quegli annunci che compaiono in cima ai risultati di ricerca mostrati da Google quando sono ricercate determinate parole chiave. 

I ricercatori di Morphisec hanno ricostruito questa catena di attacco, studiando e monitorando proprio la diffusione di 3 info stealer "di successo" come Redline, Taurus e Tesla ecc.. 

Come funziona la catena di attacco

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte? 

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano. 

La scorsa settimana il CERT-AgID ha individuato e analizzato un totale di 29 campagne dannose con obiettivi Italiani. Soltanto 67 gli indicatori di compromissione (IoC) messi a disposizione.

I malware della settimana 5 - 11 Giugno
E' stata una settimana, quella scorsa, quanto mai tranquilla. Sono state individuate in distribuzione soltanto due famiglie malware, che sono state:

Antivirus gratis o a pagamento? Quali sono le differenze?

La domanda è: un antivirus free, cioè gratuito, offre lo stesso livello di protezione di un antivirus a pagamento? Se ciò fosse vero, il dubbio sarebbe presto risolto. Perché pagare per ottenere protezione se posso avere lo stesso livello di sicurezza senza pagare?  La realtà è che non è proprio così: ovvero no, gli antivirus gratuiti non offrono la stessa protezione degli antivirus a pagamento. Questa affermazione netta si basa su alcune considerazioni che vogliamo condividere con voi.

I principali vendor...

hanno, praticamente tutti, una loro versione gratuita. Offrono cioè una suite completa (antivirus più ulteriori funzioni aggiuntive) a pagamento e una versione "light" gratuita, spesso composta dal solo antivirus. Qui si ha la prima grande differenza: sono rarissime (se non quasi del tutto assenti) le versioni gratuite che contengano (non in trial, ma integrate nel software antivirus) le funzioni di protezione aggiuntiva al solo antivirus. Limitandosi quindi alla sola funzione antivirus, la differenza tra quelli a pagamento e quelli gratuiti ha a che fare più con il vendor quindi, che con la versione.

Ma le nuove minacce?

La miglior difesa? L'attacco! Arrestati i membri di un gruppo ransomware in Ucraina mentre il Dipartimento di Giustizia USA chiude il più grande marketplace online di credenziali rubate

La svolta di Biden nel trattare armi in pugno il problema ransomware, ma potremmo dire in generale il cyber crime, sembra concretizzarsi sempre più e fa già scuola. Qualche giorno fa il Dipartimento di Giustizia USA ha annunciato che una operazione di dimensioni internazionali ha messo offline Slilpp, il più grande mercato online di credenziali di login rubate. 

L'operazione è stata compiuta da una task force di agenti dagli Stati Uniti, dalla Germania, dall'Paesi Bassi e dalla Romania che ribadisce l'importanza della cooperazione internazionale contro il cyber crime: sono stati sequestrati i server usati per ospitare l'infrastruttura del marketplace illegale e i nomi dominio. I siti web collegati al marketplace sono ora stati sostituiti con un banner di sequestro nel web "emerso", mentre non sono più raggiungibili nel dark web. 

Il ransomware Avaddon è risolvibile: interrotte le operazioni e rese disponibili le chiavi di decriptazione

Il gruppo di cyber attaccanti responsabili del ransomware Avaddon (ne abbiamo parlato qui) ha deciso di sospendere tutte le operazioni collegate al ransomware. Sono state rese disponibili anche le chiavi di decriptazione, anche se con uno stratagemma peculiare: qualche giorno fa infatti la redazione della rivista specializzata Bleeping Computer ha ricevuto un messaggio anonimo il cui mittente affermava di far parte dell'FBI. Il messaggio recava con se un file archivio .ZIP protetto da password e contenente le chiavi di decriptazione per tutte le vittime del ransomware Avaddon:

Fonte: https://www.bleepingcomputer.com

Le chiavi sono effettivamente funzionanti e quindi è ora possibile procedere alla decriptazione dei file criptati senza cedere al ricatto degli attaccanti e pagare il riscatto. Chi avesse bisogno di assistenza può contattarci all'indirizzo email alessandro@nwkcloud.com o tramite il sito https://www.decryptolocker.it

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte? 

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano. 

La scorsa settimana il CERT-AgID ha individuato e analizzato un totale di 31 campagne dannose con obiettivi Italiani: 319 sono stati gli indicatori di compromissione (IOC) individuati. 

I malware della settimana 29 Maggio - 4 Giugno
Le famiglie malware individuate in diffusione sono state 5, per un totale di 7 campagne.  Ecco la lista dei malware:

Vulnerabilità critiche in VMware: attacchi già in corso?

VMware ha pubblicato, a fine Maggio, un alert urgente che invita i suoi utenti a patchare urgentemente alcune vulnerabilità che impattano i vCenter Server: l'alert rivela l'esistenza delle vulnerabilità contestualmente alla pubblicazione delle patch, nella speranza che i cyber attaccanti non abbiano il tempo di sfruttarle. Ecco perchè l'alert invita caldamente gli utenti a patchare prima possibile le vulnerabilità, collegandole direttamente al rischio ransomware. 

vCenter Server è una soluzione di gestione dei server che aiuta gli amministratori IT a gestire macchine virtuali e host virtualizzati negli ambienti aziendali tramite una console centralizzata. 

La prima vulnerabilità, la CVE-2021-21985 impatta i vCenter Server  6.5, 6.7 e 7.0: qui è consultabile l'avviso di sicurezza. Questa vulnerabilità può essere sfruttata da remoto da un attaccante non autenticato tramite un attacco piuttosto semplice che non richiede alcuna interazione da parte dell'utente. 

"il vSphere Client (HTML5) contiene una vulnerabilità di esecuzione di codice da remoto dovuto alla mancata validazione degli input nel plugin Virtual SAN Health Check, che è abilitato di default nei vCenter Server" spiegano da WMware. "Un attaccante con accesso alla porta 443 può sfruttare questa vulnerabilità per eseguire comandi con privilegi illimitati nel sistema operativo ospitato dal vCenter Server". 

Il problema riguarda chiunque usi vCenter Server, perchè, in uso o meno, Virtual SAN Health Check è abilitato di default. 

La svolta del governo statunitense contro i ransomware potrebbe essere una grande lezione per noi

Non è tutta "colpa" dell'attacco ransomware al gasdotto Colonial Pipeline, ma non è improprio dire che quell'evento sia stato la goccia che ha fatto traboccare il vaso e portato il Governo degli Stati Uniti ad impugnare sul serio le armi contro la minaccia ransomware: minaccia che, per scelta di Biden, è divenuta un affare di sicurezza nazionale che si interseca con le relazioni estere e la politica internazionale. 

D'altronde scoprire che milioni di statunitensi hanno rischiato di rimanere senza carburanti mentre il prezzo del gasolio superava per la prima volta i 3 dollari al litro, tutto a causa di una password VPN rubata e acquistata nel dark web (questa pare essere stata la breccia sfruttata dai gestori del ransomware Darkside per violare la rete del sistema Colonial Pipeline) è un duro colpo: da una sola password può dipendere l'approvvigionamento di carburante o acqua a milioni di persone, da una sola falla può dipendere l'efficienza o meno di un ospedale o di un interno sistema sanitario (come tristemente ci insegna la vicenda che ha riguardato il sistema sanitario irlandese). 

La nuova strategia antiransomware del governo USA

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte? 

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano. 

I malware della settimana 22-28 Maggio
La scorsa settimana il CERT-AgID ha riscontrato e analizzato 34 campagne dannose attive in Italia e mirate contro utenti italiani. 486 sono stati gli indicatori di compromissione individuati. Le famiglie di malware individuate in diffusione sono state 4: 10 le campagne dannose complessive. Ecco la lista dei malware:

• Formbook è stato il malware più diffuso, con 6 diverse campagne, con 3 temi diversi:  Ordine, Documenti e Pagamenti. Gli allegati vettore sono stati in formato .7Z, .DOC, .ISO. Oltre 130 gli indicatori di compromissione resi disponibili.
• Flubot è ancora in diffusione, sempre via SMS. Due sono state le campagne di diffusione della scorsa settimana, entrambe a tema Delivery con emulazione di comunicazioni ufficiali del corriere DHL. Il corpo messaggio contiene un link accessibile solo da mobile con sistema operativo Android: scopo del link è indurre l'utente a scaricare l'APK malevolo. Ricordiamo che a questo link è disponibile la dettagliatissima guida del CERT su questa minaccia e come risolverla. 
• Lokibot è stato diffuso con una campagna in italiano a tema Pagamenti: l'allegato vettore è un archivio .ZIP contenente a sua volta un file .ISO. 
• Adwin è stato individuato in diffusione con una prima campagna email che veicolava allegati JS: l'allegato JS conduceva al download di un file. ZIP contenente anche un file .JAR. La campagna odierna, in corso, utilizza invece un file .ZIP in allegato. 

Le patch, queste sconosciute: ecco Epsilon Red, il nuovo ransomware che bersaglia i server Microsoft Exchange (ancora) vulnerabili a ProxyLogon

La vicenda legata a Proxylogon, l'insieme di vulnerabilità che affliggono i server Microsoft Exchange e che sono state usate per violare vittime di alto livello (ma non solo), pare essere ancora lontana dal trovare una soluzione. Paradossalmente, perché le 4 vulnerabilità che costituiscono ProxyLogon sono state già risolte da Microsoft ormai tempo fa: il problema quindi, di nuovo, sta nel fatto che gli utenti non installano la patch. La situazione si è fatta così grave e preoccupante, sia per la tipologia che per il numero di attacchi portati sfruttando ProxyLogon, da aver obbligato qualche tempo fa l'NSA a intervenire in prima persona rimuovendo le web shell dai server compromessi addirittura senza avvisare i proprietari.

Per approfondire > Microsoft Exchange Server: mentre l'NSA scopre nuove vulnerabilità critiche l'FBI rimuove le web shell dai server compromessi senza avvisare i proprietari

ProxyLogon è stato ampliamente pubblicizzato e, una volta capite le potenzialità di queste falle, cyber criminali in tutto il mondo hanno iniziato a scansionare a tappeto il web in cerca di server che mostrassero queste vulnerabilità. Il perché è semplice: ProxyLogon è una vera e propria porta aperta sui server Microsoft e può essere sfruttata (e già lo è) per portare svariate tipologie di attacchi, ransomware compresi. E qui che entrano in gioco DearCry e, la scorsa settimana, Red Epsilon.