Un'altra ondata di Trojan - Encoder

Doctor Web — azienda produttrice di programmi per la sicurezza informatica — segnala un aumento di incidenti causati dai trojan studiati per criptare file memorizzati sui computer. Il programma più diffuso è Trojan.Encoder.94. Anche Trojan.Encoder.225 è molto attivo: recentemente il laboratorio antivirale di Doctor Web ha ricevuto richieste di assistenza da oltre 160 utenti che sono diventati vittime delle attività malevole di questo trojan.

I trojan della famiglia Trojan.Encoder criptano file memorizzati sul disco fisso del computer compromesso dopo di che i malintenzionati domandano all'utente di pagare una somma per la possibilità di recuperare i dati. A seconda della versione, i Trojan.Encoder registrano sul disco file di testo con le istruzioni su come procedere con il riscatto o cambiano lo sfondo del desktop con un'immagine contenente tale messaggio. La somma chiesta dai malintenzionati varia da decine a migliaia di dollari.

I trojan – encoder si propagano soprattutto in email inviate in grandi quantità. Per esempio, Trojan.Encoder.225 può essere inserito nel sistema operativo tramite un'email con allegati del formato RTF (ma l'estensione visualizzata è .doc) che sfruttano una vulnerabilità di Microsoft Office. Tramite questo exploit, sul computer vittima viene installato un trojan – downloader che a suo turno scarica Trojan.Encoder dal server di controllo dei malintenzionati. La variante Trojan.Encoder.94 spesso viene scaricata mediante il programma BackDoor.Poison incluso nelle email malevole che imitano informative o notifiche, per esempio, possono contenere gli allegati Come riscuotere gli arretrati.doc e Sentenza della Corte di arbitrato.exe.

A giungo 2013, abbiamo notato un aumento del numero di trojan – encoder, così Trojan.Encoder.225, una versione comparsa di recente ha infettato i pc di oltre 160 utenti in Russia e Ucraina rivolti a Doctor Web. Questo programma è scritto nel linguaggio Delphi e possiede tre versioni. Nella versione precedente, i malintenzionati utilizzavano l'indirizzo di email milenium56m1@yahoo.com, mentre nella versione più recente l'indirizzo è marikol8965@yahoo.com. I file elaborati dalle prime versioni di Trojan.Encoder.225 possono essere decifrati tramite i nostri metodi. Attualmente, stiamo cercando un modo per poter decifrare anche i file elaborati dalla versione nuova dell'encoder.

Il trojan – encoder più diffuso Trojan.Encoder.94 ha oltre 350 versioni, che è un record. È possibile decifrare file elaborati dalla maggior parte delle versioni di Trojan.Encoder.94. Nel mese passato, questo trojan ha infettato i pc di oltre 680 utenti.

In totale, negli ultimi tre mesi, al laboratorio antivirale di Doctor Web sono arrivate circa 2.800 richieste di assistenza per il recupero dei file resi inaccessibili dagli encoder. Siccome i malintenzionati utilizzano sempre più complessi metodi di crittografia, i nostri specialisti devono risolvere problemi di matematica sempre più difficili in un numero sempre maggiore. A causa del grande numero di richieste di assistenza e dell'elevato carico sul personale del laboratorio, dal 19 giugno 2013 abbiamo cominciato a fornire l'assistenza per il recupero di file cifrati solo agli utenti registrati dei prodotti Dr.Web.

Se i Vostri file sono inaccessibili a seguito delle azioni di un encoder, Vi consigliamo di non trasferire la somma richiesta dai criminali informatici e di non cercare di recuperare i dati da soli (non tentate di reinstallare il sistema operativo o di rimuovere alcuni file dal computer) perché in tale caso correte il rischio di perdere i dati in modo irrimediabile. Una valida misura preventiva è fare copie di backup di tutti i dati a scadenze regolari. Se siete utenti registrati dei prodotti Dr.Web, inviate alcuni file cifrati al laboratorio antivirale di Doctor Web tramite questo modulo speciale dopo aver selezionato il tipo appropriato di richiesta, cioè "Richiesta di cura". Attendete una risposta del nostro personale e seguite rigorosamente le istruzioni fornite dallo specialista.

Fonte: http://www.freedrweb.com/show/?i=3633&c=19&lng=it

Pharming – Cos’è e come si può evitare

Se un giorno avete intenzione di andare in un centro commerciale, ma finite in un mercato del pesce, allora questo è un caso di cattivo senso dell’orientamento. Nel mondo digitale, invece, si parla di pharming!

Come funziona il pharming?

Il phishing è una frode on-line in cui un truffatore invia messaggi di posta elettronica fraudolenti ad una vittima specifica. Le e-mail fingono autentiche comunicazioni da un impresa di fiducia, come una banca. Lo scopo di queste e-mail è quello di ingannare la vittima e fargli visitare un sito web falso in modo da rubare informazioni sensibili come le coordinate bancarie.

Ora, il phishing ha un cugino più infido chiamato pharming, ma è più difficile da individuare ed è una minaccia per l'identità di una persona e per le loro attività finanziarie. A differenza del phishing, non fa uso di email, ma reindirizza segretamente la vittima su un sito web falso, anche se hanno digitato manualmente l'indirizzo web vero e proprio. Nella maggior parte dei casi, il falso sito web è stato progettato per apparire come quello originale, come ad esempio il sito di una banca. Se l'utente cade nel tranello, poi potrebbe perdere i dati account personali o bancari, che verrebbero poi sfruttati dal truffatore.

Per eseguire il pharming, un pharmer può compromettere il computer sia con l'installazione di un software dannoso in esso, sia infettando il server collegato al computer.

Suggerimenti per proteggersi dal pharming

1. Ogni volta che visitate un sito web banking o e-commerce, cercate l'icona "lucchetto" da qualche parte nella finestra del browser, e assicuratevi che l'URL del sito inizi con "https". La presenza di questi due elementi significa che siete su un sito web protetto.

2. è fondamentale assicurarsi che il sito abbia un certificato valido di autorità da parte di un servizio di fiducia come VeriSign, Inc., Entrust, Inc., GeoTrust, Inc., ecc. Il certificato deve riportare il nome corretto del sito web. È possibile verificare questo certificato cliccando sull'icona "lucchetto" nella barra degli indirizzi del browser, come si può vedere nelle immagini qui sotto riportate.

Su Mozilla Firefox

Su Internet Explorer

Su Google Chrome

3. Dopo essere arrivati su un sito web, controllate il suo URL. Per esempio, se digitate "www.google.com" e siete sulla home page di Google, ma con un URL "www.goglee.com", allora probabilmente c’è un’attività di pharming. Non andate oltre.

4. Si noti che i siti web pharming di solito chiedono informazioni "extra". Per esempio, se il sito web della vostra banca richiede il vostro user id, password, pin bancomat, numero di carta di credito, password di transazione, ecc tutto in una volta, allora è più probabile che sia un sito di pharming.

5. Mantenete una stretta traccia dei vostri estratti conto ogni mese.

6. Utilizzate una protezione multistrato per il computer, e tenete sempre i software di sicurezza aggiornati. Inoltre, utilizzate la versione più recente del browser, visto che vengono aggiornati continuamente con correzioni per le vulnerabilità di sicurezza recentemente rilevate.

7. Tenetevi aggiornati sulle ultime minacce alla sicurezza.

Sebbene il pharming non sia così vecchio o comune come il phishing, fornisce una via più grande per i cyber criminali per colpire le loro vittime. Soluzioni rapide di sicurezza offrono un'ampia protezione contro il phishing, pharming e diverse altre minacce alla sicurezza informatica, attraverso piattaforme desktop e mobili.


Fonte: http://blogs.quickheal.com/wp/pharming-what-is-it-and-how-can-you-dodge-it/

Nuovo cavallo di troia infastidisce gli utenti di Facebook, Twitter e Google Plus

Doctor Web — produttore del software antivirus Dr.Web — ha scoperto nuove funzioni dannose nel programma malevolo per Facebook di cui molte riviste hanno già scritto sulla Rete. Trojan.Facebook.311 può pubblicare nuovi status all’insaputa dell’utente, aderire a gruppi, lasciare commenti e anche spedire messaggi indesiderati in Twitter e Google Plus.

Trojan.Facebook.311 è un’estensione scritta in JavaScript con versioni per Google Chrome e Mozilla Firefox. I truffatori cercano di diffondere il malware adoperando metodi del social engineering. Così il programma malevolo si intrufola nel sistema operativo attraverso un installer che si maschera da “un aggiornamento di sicurezza per la riproduzione del video”. Va notato che l’installer dispone di una firma digitale, quella della società Updates LTD posseduta da Comodo. Le estensioni si chiamano Chrome Service Pack e Mozilla Service Pack. Ai fini della diffusione, i truffatori di rete hanno creato una pagina web speciale, redatta in lingua portoghese, probabilmente orientata agli utenti di Facebook in Brasile.

Completata l’installazione, al momento dell’avvio del browser, Trojan.Facebook.311cerca di scaricare dal server remoto dei malintenzionati un file contenente una serie di comandi. In seguito, le estensioni malevole incorporate nel browser aspettano il momento in cui l’utente accede a Facebook. Dopo l’autenticazione dell’utente in Facebook, le estensioni possono cominciare a eseguire a nome dell’utente diverse azioni che dipendono dai comandi definiti dai pirati informatici nel file di configurazione relativo. Le possibilità sono: mettere “Mi piace”, pubblicare uno status, collocare una notizia sulla bacheca, aderire a un gruppo, commentare una notizia, invitare a un gruppo gli utenti inclusi tra i contatti della vittima o mandare loro messaggi. Oltre a questo, secondo un comando dei malintenzionati, il malware può scaricare e installare nuove versioni delle estensioni e anche interagire con Twitter e Google Plus, in particolare, inviarci messaggi di spam.



Recentemente, Trojan.Facebook.311 diffondeva su Facebook messaggi contenenti un’immagine che imita un lettore multimediale incorporato nel browser. Se l’utente fa clic su tale immagine, viene reindirizzato verso varie risorse web fraudolente. Inoltre, tramite messaggi personali e status, il trojan pubblicizzava quiz in cui sarebbe possibile vincere premi di valore.



La firma antivirale di questo trojan è stata inserita nel database di Dr.Web quindi la minaccia non può compromettere computer dei nostri utenti. Nonostante il target attuale di Trojan.Facebook.311 (presumibilmente Brasile), lo stesso schema di propagazione potrebbe essere impiegato anche per imbrogliare gli utenti di Facebook in altri paesi. Il team di Doctor Web Vi consiglia di stare attenti e di non scaricare, né installare applicazioni o “aggiornamenti di sicurezza” per browser che suscitano il Vostro sospetto.

Fonte: http://www.freedrweb.com/show/?i=3527&c=19&lng=it

Nuovo modulo della botnet Rmnet disattiva gli antivirus

Doctor Web — produttore degli antivirus Dr.Web — informa che nella botnet esistente Rmnet sono comparsi due moduli nuovi, uno dei quali permette ai malintenzionati di disattivare programmi antivirali installati sul computer vittima. Doctor Web ha potuto prendere il controllo di una delle sottoreti di Rmnet in cui funzionano questi moduli malevoli.

In precedenza, Doctor Web avvisava della vasta diffusione dei file virus Win32.Rmnet.12 e Win32.Rmnet.16 che sono capaci di organizzare reti dannose. Ricordiamo ai nostri lettori che Win32.Rmnet sono programmi del genere “file virus”, sono composti da più moduli e possono propagarsi da soli. Le funzioni principali di questi malware permettono di incorporare contenuti fraudolenti nelle pagine web visualizzate dall’utente (web injection), reindirizzare il browser ai siti creati dai truffatori e inviare sui server remoti le informazioni digitate dall’utente in formulari sul web. I virus “Rmnet” possono anche rubare password di accesso a diversi client FTP, quali, per esempio, Ghisler, WS FTP, CuteFTP, FlashFXP, FileZilla e Bullet Proof FTP.

Gli specialisti di Doctor Web hanno potuto intercettare una sottorete di Win32.Rmnet (in aggiunta a quelle già controllate) utilizzando il metodo “sinkhole”. Abbiamo osservato che in questa sottorete si propagano due moduli malevoli nuovi che abbiamo chiamato con il nome generale Trojan.Rmnet.19. Uno di questi moduli cerca macchine virtuali in uso sul computer infetto, mentre l’altro è di particolare interesse. Emulando le azioni dell’utente (clic con il mouse su icone corrispondenti) questo modulo malevolo disattiva gli antivirus Microsoft Security Essential, Norton Antivisus, Eset NOD32, Avast, Bitdefender, AVG installati sugli elaboratori compromessi.

Se il computer bersaglio è protetto dall’antivirus Dr.Web, non corre alcun rischio che la protezione venga disabilitata perché i nostri software prevedono l’inserimento del codice Captcha e Trojan.Rmnet.19 non riesce ad oltrepassare questa misura preventiva.

Esaminando la sottorete intercettata abbiamo visto che il virus scarica dal server di gestione sul computer infetto sette moduli, cioè: 

• un modulo nuovo che può disattivare programmi antivirali; 
• un modulo che ruba cookies; 
• un server FTP locale; 
• un modulo studiato per eseguire web injection; 
• un modulo studiato per rubare password dei client FTP; 
• un modulo nuovo che può scoprire la presenza delle macchine virtuali; 
• un modulo utilizzato dai malintenzionati per avere accesso remoto al sistema infettato. 

Oltre a questi moduli, i file virus “Rmnet” includono i componenti base: 

• un componente che carica altri moduli nella memoria del computer; 
• un backdoor; 
• un modulo che rimuove programmi antivirus. 

Secondo i dati del 22 maggio 2013, oltre 18.000 mila computer infetti si sono connessi al server di gestione intercettato da Doctor Web. Analizzando i dati statistici raccolti, possiamo concludere che i pirati informatici hanno scelto il Regno Unito e Irlanda come il loro target principale. Così 15.253 computer infetti (84,5%) si trovano su questo territorio, mentre il secondo posto nella statistica è occupato dalla Francia in cui abbiamo registrato 1.434 casi di infezione (7,9%). Seguiamo con attenzione gli sviluppi della situazione.

Fonte: http://www.freedrweb.com/show/?i=3551&c=19&lng=it

Work from Home Scam

Fonte: http://blogs.quickheal.com/wp/work-from-home-scam/

Ancora un altro tipo di truffa sui social media è entrato nel radar dei funzionari della sicurezza, ovvero il " Work from Home Scam".

Work from Home Scam sono per lo più dirette a persone che sono disoccupate e stanno cercando un lavoro che può essere effettuato anche nella comodità della casa. Tali lavori promettono uno stipendio attraente e una migliore vita di lavoro. Con Internet si può raggiungere ogni angolo del mondo, i truffatori non devono sudare per attirare la gente in queste frodi.

Come funziona un Work from Home Scam?

I principali metodi che gli impostori utilizzano per eseguire tali truffe, includono email di spam, pubblicità e persino bacheche. Queste frodi possono pubblicizzare diversi posti di lavoro in modo da attirare persone di diversa provenienza.

Ecco un esempio di Work from Home Scam in cui ci siamo imbattuti: 

Offriva un facile lavoro di vendita di prodotti di alcuni store online. Dovevamo vendere questi prodotti come offerte giornaliere e servizi sul nostro sito. L’annuncio forniva anche gli strumenti necessari per la creazione del nostro sito web e vendere questi prodotti. E più prodotti vendevamo, più soldi guadagnavamo. Sembra un lavoro facile e remunerativo non è vero? Anche noi abbiamo pensato così. Ma, quando abbiamo cominciato a registrarci per l'offerta di lavoro, siamo sbarcati su una pagina in cui avremmo dovuto fare una transazione online di 4000 rupie (circa 55€) come quota di iscrizione. È stato a questo punto che ci siamo accorti di un'altra truffa di marketing online.

Il nostro team di malware ha recentemente scoperto che questo tipo di truffe vengono postate anche su social media come Facebook. Ecco uno screenshot. 

Work from Home Scam di solito appaiono sul lato destro o sinistro della pagina di un sito web. Ecco un esempio di un falso annuncio di Google che promette una paga ridicola di 4000 rupie all'ora (circa 55€).

Soluzioni di sicurezza complete come quella di Quick Heal possono tornare utili nel bloccare le email di spam (che di solito trasportano tali annunci pubblicitari). Per quanto riguarda gli annunci che appaiono sui siti web, dovete stare attenti e, soprattutto, aggiornati su tutte queste truffe.