Nuova versione del trojan bancario per Android Cerberus cattura il codice one-time di Google Authenticator

Sono stati i ricercatori di sicurezza di ThreatFabric a individuare una nuova versione del temibile trojan bancario per Android Cerberus e hanno immediatamente diramato un alert per avvisare gli utenti di Android, oltre ovviamente a segnalare a Google il problema. Questo appunto perchè la nuova versione del trojan, oltre a sottrarre i dati bancari, è in grado di intercettare la cosidetta OTP (one-time passcodes) generata da Google Authenticator e usata come sistema di autenticazione a due fattori per proteggere gli account online. 

Cerberus è un malware as a service (MaaS) individuato nell'Agosto del 2019: per malware as a service intendiamo quei malware messi in affitto online, acquistabili (e spesso personalizzabili) dalla rete di affiliati che spartisce i guadagni ottenuti con gli sviluppatori del malware. Sono reti estese di affiliazione, che prevedono persino supporto e aggiornamenti: una rete di criminali "professionisti". 

Raffica di pagamenti non autorizzati su PayPal: che sta succedendo?

Alcuni cyber attaccanti sembrano aver individuato un bug nell'integrazione di PayPal su Google Pay e lo stanno sfruttando attivamente per eseguire transazioni non autorizzate tramite account PayPal. E' da venerdì scorso, infatti, che piovono segnalazioni di transazioni misteriose comparse nella cronologia di PayPal, tutte originate dai relativi account Google Pay. 

La problematica viene ormai riportata da svariate piattaforme, dal forum di PayPal a Twitter a Reddit e persino sui forum di supporto russo e tedesco di Google Pay. La maggior parte delle vittime pare concentrarsi in Germania, mentre le transazioni illegali stanno avvenendo in larga parte su store statunitensi, sopratutto nei negozi della catena Target. I danni stimati vanno dalla decina alle migliaia di euro, stando alle segnalazioni fino ad esso disponibili, ma vi sono alcune transazioni che vanno ben oltre i 1.000 euro. 

La preoccupazione principale è legata al fatto che ancora non è chiaro quale sia il bug che viene sfruttato e da Google si sono chiusi in un netto silenzio sulla faccenda, ma sia PayPal che Google hanno fatto sapere che le indagini sono già in corso. 

Un ricercatore avanza una ipotesi

Coronavirus - la crisi preme l'acceleratore verso la digitalizzazione, per una vita più normale possibile: e-learning e smart working

In seguito ai casi di contagio da Coronavirus registrati in Lombardia e Veneto il Consiglio dei Ministri ha varato un decreto legge emergenziale volto a contenere il rischio contagio ed evitare la comparsa di focolai a macchia di leopardo. Tra le numerose previsioni emergenziali, uno permette lo smart working anche senza l'accordo lavoratore azienda, come invece previsto dalla normativa vigente in tempi non emergenziali, la legge 81 del 2017. Il tutto nella volontà di arginare l'impatto che questa crisi potrebbe avere sulla nostra economia. 

Il decreto fissa dei limiti temporali per lo smart working senza accordo, ovvero il 7 Marzo, e dei limiti geografici, ovvero nelle aree con attività lavorative sospese o limitate. Il Decreto Legge in oggetto è il n.6 del 23 Febbraio 2020, consultabile qui.

Una misura simile era già stata varata, in due diverse occasioni, sempre con limiti temporali: fu in occasione del tragico crollo del Ponte Morandi a Genova e dell'alluvione nel torinese. 

In concreto

Aziende svizzere sotto attacco ransomware: il Governo se la prende con le aziende scarsamente protette e poco attente agli alert di cybersicurezza

Il Reporting and Analysis Centre for Information Assurance (MELANI) svizzero ha diramato, qualche giorno fa un alert per le aziende svizzere piccole, medie ma anche di grandi dimensioni riguardo ad una serie di attacchi ransomware tutt'ora in corso.  

Secondo l'avviso emesso in collaborazione col Cert nazionale svizzero, gli attaccanti hanno richiesto alle aziende colpite riscatti che vanno dalle migliaia al milione di franchi svizzeri, poco meno di un milione di euro. Pare che, solo nelle ultime settimane, siano già dodici le aziende colpite, con criptazione dei dati e sistemi resi inutilizzabili. 

Il Governo se la prende con le imprese 

La VPN in realtà è un malware: un installer fake di ProtonVPN diffonde AZORult

E online almeno dal Novembre 2019 un sito fake che imita in tutto e per tutto il sito web ufficiale della nota Virtual Private Network ProtonVPN, ma in realtà ha una sola funzione precisa: quella di infettare gli ignari utenti col malware AZORult. Il malware è camuffato da installer, appunto, di ProtonVPN. ProtonVPN è una VPN open source incentrata sulla sicurezza sviluppata e fornita da Proton Technologies AG, la compagnia svizzera conosciuta anche per ProtonMail, noto servizio di email criptate end-to-end.  

AZORult invece è invece un trojan in costante evoluzione fin dalla sua prima individuazione, venduto a circa 100 dollari su svariati siti di hacking: specializzato nel furto dati, funge anche da downloader per altre famiglie di malware in campagne di infezione  multi-stadio. E' stato individuato molto spesso in accoppiata con ransomware, altri malware per il furto dati e miner di criptovaluta. In dettaglio raccoglie e invia al server di comando e controllo degli attaccanti più informazioni sensibili possibili, raccoglibili dai file presenti sul sistema infetto, password, cookie, cronologia del browser, credenziali bancarie, estremi dei wallet di criptovaluta.