Come i cyber criminali diffondono malware per il furto dati tramite gli annunci pubblicitari PPC di Google

I malware infostealer, deputati al furto di informazioni dai dispositivi infetti, non sono affatto una novità, anzi: una volta avuto accesso ad un pc, comunicano agli attaccanti i dati relativi alla macchina, ma anche tutte le informazioni che possono raccogliere sull'utente, comprese credenziali, documenti, dati dai browser e, in alcuni casi, laddove siano presenti funzionalità di keylogging, perfino le battiture della tastiera. Inutile dire che questa tipologia di malware predilige il furto di credenziali bancarie e in generale di qualsiasi tipo di dato che possa essere rivenduto con profitto. Non è una novità neppure l'utilizzo da parte degli attaccanti di annunci pubblicitari per distribuire questi malware, ma da qualche tempo c'è un vero e proprio boom degli annunci pubblicitari PPC (pay per click) di Google: sono, per capirsi, quegli annunci che compaiono in cima ai risultati di ricerca mostrati da Google quando sono ricercate determinate parole chiave. 

I ricercatori di Morphisec hanno ricostruito questa catena di attacco, studiando e monitorando proprio la diffusione di 3 info stealer "di successo" come Redline, Taurus e Tesla ecc.. 

Come funziona la catena di attacco

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte? 

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano. 

La scorsa settimana il CERT-AgID ha individuato e analizzato un totale di 29 campagne dannose con obiettivi Italiani. Soltanto 67 gli indicatori di compromissione (IoC) messi a disposizione.

I malware della settimana 5 - 11 Giugno
E' stata una settimana, quella scorsa, quanto mai tranquilla. Sono state individuate in distribuzione soltanto due famiglie malware, che sono state:

Antivirus gratis o a pagamento? Quali sono le differenze?

La domanda è: un antivirus free, cioè gratuito, offre lo stesso livello di protezione di un antivirus a pagamento? Se ciò fosse vero, il dubbio sarebbe presto risolto. Perché pagare per ottenere protezione se posso avere lo stesso livello di sicurezza senza pagare?  La realtà è che non è proprio così: ovvero no, gli antivirus gratuiti non offrono la stessa protezione degli antivirus a pagamento. Questa affermazione netta si basa su alcune considerazioni che vogliamo condividere con voi.

I principali vendor...

hanno, praticamente tutti, una loro versione gratuita. Offrono cioè una suite completa (antivirus più ulteriori funzioni aggiuntive) a pagamento e una versione "light" gratuita, spesso composta dal solo antivirus. Qui si ha la prima grande differenza: sono rarissime (se non quasi del tutto assenti) le versioni gratuite che contengano (non in trial, ma integrate nel software antivirus) le funzioni di protezione aggiuntiva al solo antivirus. Limitandosi quindi alla sola funzione antivirus, la differenza tra quelli a pagamento e quelli gratuiti ha a che fare più con il vendor quindi, che con la versione.

Ma le nuove minacce?

La miglior difesa? L'attacco! Arrestati i membri di un gruppo ransomware in Ucraina mentre il Dipartimento di Giustizia USA chiude il più grande marketplace online di credenziali rubate

La svolta di Biden nel trattare armi in pugno il problema ransomware, ma potremmo dire in generale il cyber crime, sembra concretizzarsi sempre più e fa già scuola. Qualche giorno fa il Dipartimento di Giustizia USA ha annunciato che una operazione di dimensioni internazionali ha messo offline Slilpp, il più grande mercato online di credenziali di login rubate. 

L'operazione è stata compiuta da una task force di agenti dagli Stati Uniti, dalla Germania, dall'Paesi Bassi e dalla Romania che ribadisce l'importanza della cooperazione internazionale contro il cyber crime: sono stati sequestrati i server usati per ospitare l'infrastruttura del marketplace illegale e i nomi dominio. I siti web collegati al marketplace sono ora stati sostituiti con un banner di sequestro nel web "emerso", mentre non sono più raggiungibili nel dark web. 

Il ransomware Avaddon è risolvibile: interrotte le operazioni e rese disponibili le chiavi di decriptazione

Il gruppo di cyber attaccanti responsabili del ransomware Avaddon (ne abbiamo parlato qui) ha deciso di sospendere tutte le operazioni collegate al ransomware. Sono state rese disponibili anche le chiavi di decriptazione, anche se con uno stratagemma peculiare: qualche giorno fa infatti la redazione della rivista specializzata Bleeping Computer ha ricevuto un messaggio anonimo il cui mittente affermava di far parte dell'FBI. Il messaggio recava con se un file archivio .ZIP protetto da password e contenente le chiavi di decriptazione per tutte le vittime del ransomware Avaddon:

Fonte: https://www.bleepingcomputer.com

Le chiavi sono effettivamente funzionanti e quindi è ora possibile procedere alla decriptazione dei file criptati senza cedere al ricatto degli attaccanti e pagare il riscatto. Chi avesse bisogno di assistenza può contattarci all'indirizzo email alessandro@nwkcloud.com o tramite il sito https://www.decryptolocker.it