Un nuovo ransomware open source per Linux divide la comunità di Infosec.

I ricercatori di sicurezza non sono stati in grado di decidere se pubblicare il ransomware open source su GitHub fosse una buona o cattiva idea. 

AGGIORNAMENTO: Zaitsev ha chiesto a Softpedia di rimuovere il progetto da GitHub poco dopo la pubblicazione dell’articolo che potete trovare qua sotto. 

CryptoTooper, un kit open source per la costruzione di un ransomware per Linux ha diviso la comunità Infosec a metà.

 La patata bollente al centro del dibattito è la stessa problematica che circondava i kit di programmazione dei ransomware EDA2 e Hidden Tear per Windows di Utku Sen.  Ovvero: è accettabile e corretto che ricercatori di sicurezza creino “ransomware a scopi didattici” e distribuirli poi su GitHub?

Ransomware alert: rilasciata la nuova versione di Cerber

La scorsa settimana è stata rilasciata una nuova versione del ransomware Cerber che presenta nuove funzionalità.  

Rilasciata la versione 53.0.2785.143 di Google Chrome

È stata rilasciata la versione 53.0.3785.143 di Google Chrome per Windows, OS X e Linux.
Le vulnerabilità risolte da questo aggiornamento possono essere sfruttate per eseguire codici da remoto.

Nuovo ransomware LOKMANN.KEY993

In questi giorni è stato segnalato un nuovo ransomware che, anche se non ha ancora un nome, è probabilmente una variante del cryptovirus Mobef, già in circolo da Aprile 2016.

Komplex: nuovo trojan per OS X

Si chiama Komplex il  trojan scoperto dai ricercatori di Palo Alto Networks, che colpisce i sistemi OS X di Apple. Komplex viene diffuso attraverso email di phishing, il cui testo contiene un messaggio in cui si promette di  rivelare dettagli sul futuro programma spaziale russo dal 2016 al 2025. Proprio per questo motivo, si pensa che il malware sia stato appositamente progettato per essere utilizzato contro comparti aerospaziali che utilizzano pc Apple.

Komplex: come agisce? 

Le email di phishing contengono al loro interno un allegato in forma di eseguibile: il .exe che, a sua volta, contiene il codice cifrato del malware, alcuni script e un documento in PDF. L’utente, dunque, è convinto che l’allegato della email sia un semplice documento PDF. Una volta che la vittima apre l’allegato, il codice del malware apre un documento in formato PDF di 17 pagine scritto in russo (“rosokosmos_2015-2025.pdf”).

Mentre l’utente si convince quindi che la mail contenga un semplicissimo file .pdf, Komplex installa sul pc un altro componente con funzione di dropper, che a sua volta installa un terzo componente eseguibile (“/Users/Shared/.local/kextd”), oltre ad un file plist (“/Users/Shared/com.apple.updates.plist”) ed uno script (“/Users/Shared/start.sh”): alla fine di questo processo l’eseguibile diventa quindi persistente, avviandosi ad ogni avvio del sistema operativo.

Il malware esegue poi alcuni controlli per rendersi invisibile agli antivirus e per rendersi conto se viene eseguito in una sandbox: uno di questi controlli, tramite  l’invio di una richiesta HTTP GET verso Google, ha lo scopo di determinare la presenza di connessioni Internet.
Komplex rimane latente fin quando non riceve una risposta dai server di Google: a quel punto avvierà la comunicazione col server C&C.

In base ai comandi e ai dati ricevuti, Komplex è in grado di scaricare file aggiuntivi sul pc ed eseguire comandi di shell arbitrari, il cui risultato viene spedito come risposta al server C&C.

Una notizia positiva: Komplex presenta un alto tasso di rilevamento da parte dei più comuni antivirus.