Web Browser: la classifica dei più vulnerabili

Web browser: secondo il report di AtlasVPN non ci sono dubbi, il più vulnerabile è Chrome. 

Classifica dei browser più vulnerabili: una doverosa premessa

Una premessa è d'obbligo: tanto più un software o un sistema operativo è diffuso e popolare tanto più attira l'attenzione. Non solo degli attaccanti, ma anche dei ricercatori di sicurezza e dei "bug hunter", i cacciatori di vulnerabilità. Questo dato di fatto avrà sicuramente influenzato i risultato di questo report, senza però togliere valore a quanto vi è riportato: Chrome è il browser più vulnerabile, lo è molto più di Edge e questo è anche perché Chrome è molto più usato di Edge e quindi attira più ricercatori e attaccanti di quanto non faccia Edge. 

Nulla di diverso da quanto vale anche per i sistemi operativi: di Windows si conoscono molte più vulnerabilità di quante non se ne conoscano per Linux. Windows è più vulnerabile di Linux. 

Finite le premesse, andiamo al sodo

Torniamo quindi al punto centrale: la classifica dei web browser più vulnerabili. Il report completo è disponibile qui > Google Chrome has the most reported vulnerabilities among browsers in 2022

Anzitutto Atlas VPN pone un punto importante: la sicurezza dei web browser è cruciale. Per vari motivi: certo, la sicurezza di tutti i software è importante, ma i browser web sono tra i software più afflitti da vulnerabilità. L'altro motivo è che i web browser sono estremamente popolari e utilizzati: vedono transitare al loro interno, quindi, una enorme mole di dati, molti dei quali anche sensibili e personali. Il che li rende estremamente ghiotti per gli attaccanti. 

Nasce da qui la volontà dei ricercatori Atlas VPN  di stilare la classifica dei browser più vulnerabili. Che è scontata, verrebbe da dire, e rimandiamo quindi alla premessa iniziale. 

Web browser più vulnerabili: Chrome sul gradino più alto del podio

Botnet Emotet: nuova ondata di attacchi. L'archivio protetto da password si sblocca da solo

Botnet Emotet: rilevata una nuova attività collegata alla botnet Emotet. Nella nuova campagna sono usati file PDF ed Excel come esca, mentre l'archivio RAR (protetto da password) contenente il malware si sblocca da sé

La nuova campagna di Emotet

L'alert viene dai ricercatori Trustwave-SpiderLabs: la botnet Emotet è legata ad una nuova ondata di campagne di phishing che sfruttano archivi protetti da password per diffondere due malware sui sistemi infetti. I due malware sono CoinMiner e QuasaRat. La particolarità è che l'archivio, protetto da password, si auto sblocca senza necessità che sia l'utente ad inserire codici per estrarlo ed eseguirne il contenuto. 

Come? Semplicemente, gli attaccanti hanno aggiunto un file batch che fornisce automaticamente le password. Si riduce il ruolo che deve "giocare" l'utente nel corso dell'infezione. Il problema non è secondario, come si è visto di recente, quando il CERT ha segnalato che una campagna di diffusione di sLoad contro il circuito PEC non ha funzionato perché gli attaccanti si sono dimenticati di allegare al corpo email la password per estrarre l'archivio. 

La minaccia non è affatto secondaria: stando ai dati dei ricercatori, c'è stata quest'anno una vera e propria esplosione del numero di minacce nascoste dentro archivi protetti da password. Ben il 96% di questi sono distribuiti proprio dalla botnet Emotet. Gli archivi protetti da password sono il terzo formato di file più utilizzato dagli attaccanti per nascondere il malware.

Per saperne di più > La botnet Emotet ora fa coppia fissa con i ransomware BlackCat e Quantum

Emotet: dettagli di diffusione

Il malware Ursnif cambia strategia: dal furto di account bancari a accesso iniziale nelle reti (per i ransomware?)

E' stata individuata una nuova versione del malware Ursnif che presenta soltanto funzionalità da backdoor: non c'è traccia delle funzionalità, caratteristiche di Ursnif, da trojan bancario. Un cambiamento molto indicativo per questo malware diffuso a livello mondiale e, molto spesso, anche in Italia: potrebbe infatti significare che Ursnif sta mutando funzioni. Non punta più a rubare gli account bancari ma si specializza nell'aprire punto di accesso iniziale su reti bersaglio. E' pronto il debutto nelle operazioni ransomware?

La nuova variante di Ursnif LDR4

La nuova variante, nome in codice LDR4, è stata individuata a Giugno e si sospetta che sia stata diffusa dagli stessi autori che hanno mantenuto la versione RM3 negli anni passati.

Le varianti Ursnif circolate negli ultimi anni. Fonte: Mandiant

La nuova campagna di diffusione di Ursnif

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT 8 - 14 Ottobre

Quali malware girano nel panorama italiano? Quali campagne di attacco? Nei report settimanali del CERT-AgID tutte le informazioni utili: perché la prevenzione passa dalla c0nsapevolezza. 

I malware della settimana 8 - 14 Ottobre

La scorsa settimana il CERT AgID ha individuato e analizzato 24 campagne dannose che hanno preso di mira utenti italiani. Le famiglie malware individuate in diffusione sono state 7. In dettaglio sono state:

• Remcos è stato diffuso con due campagne a tema Documenti e Preventivo: le email veicolavano allegati archivio in formato RAR;
• Avemaria è stato diffuso con una campagna a tema Ordine. Le email veicolavano allegati in formato 7Z;
• Guloader è stato diffuso con una campagna a tema Pagamenti. Le email veicolavano allegati GZ;
• AgenTesla è stato diffuso con una campagna a tema Delivery. Le email veicolavano allegati GZ. Si registra l'uso di Guloader come downloader. Per approfondire > Anatomia di AgentTesla, lo spyware più diffuso in Italia;
• Formbook è stato diffuso con una campagna a tema Banking. Le email veicolavano archivi RAR. Per approfondire > Furto dati e credenziali: anatomia di FormBook, uno dei malware infostealer più diffuso in Italia;
• sLoad dopo due mesi di silenzio torna in diffusione in Italia. La campagna è stata a tema Pagamenti ed è circolata nel circuito PEC. Gli attaccanti hanno però compiuto un errore, veicolando un archivio ZIP protetto da password senza inserire la password nel corpo email: questo ha, per adesso, impedito le infezioni. Qui il report dettagliato del CERT su questa campagna;
• Brata è stato diffuso con una campagna veicolata via SMS e mirata contro utenti Android. L'SMS, a tema banking, conteneva un link che conduceva al download di un APK dannoso. Per approfondire > Brata, il RAT per Android diffuso in Italia, si evolve in minaccia persistente. Ora intercetta gli SMS e le OTP. 

Remcos in breve:

La Polizia olandese beffa il gruppo ransomware DeadBolt: ottenute 155 chiavi di decriptazione

La Polizia olandese, in collaborazione con alcune aziende di cyber sicurezza, ha truffato il gruppo ransomware DeadBolt, sottraendo loro oltre 155 chiavi di decriptazione. 

Il ransomware DeadBolt e le ondata di attacchi contro i NAS Qnap

Di DeadBolt abbiamo già parlato: è un ransomware che si è specializzato negli attacchi contro i NAS del vendor QNAP. L'Italia è stata riguardata in due diverse ondate di attacchi, risalenti al Febbraio e al Settembre 2022.

L'operazione ransomware DeadBolt è iniziata nel Gennaio del 2022 prendendo fin da subito di mira i NAS Qnap: nel Febbraio del 2022 il raggio di azione si è allargato, fino ad andare a colpire i NAS ASUSTOR. Nella quasi totalità dei casi, gli accessi ai NAS Qnap sono stati dovuti all'exploit di vulnerabilità 0-day. 

Per approfondire > Ancora NAS QNAP, ancora ransomware: DeadBolt colpisce in Europa, Italia compresa (Febbraio 2022)

NAS QNAP: ennesima campagna ransomware in corso. Ma il vendor ha già reso disponibile la patch (Settembre 2022)

La Polizia olandese truffa i truffatori