FormBook: il malware impiegato in una nuova campagna di furto dati

Sembra che i più sofisticati hacker abbiano modificato il modo di condurre le loro cyber operazioni mirate. Infatti, anziché investire sulle 0-day e sviluppare così i loro malware, alcuni gruppi di hacker hanno iniziato ad utilizzare malware preconfezionati come script kiddies. Questa, probabilmente, potrebbe essere una mossa molto intelligente per gli hacker sostenuti dagli stati, in modo da non essere facilmente identificabili.

I ricercatori hanno recentemente scoperto una serie di campagne di malware destinate principalmente al settore aerospaziale, a quello della difesa e a quello manifatturiero in diversi paesi: tra i quali figurano gli Stai Uniti, la Thailandia, la Corea del Sud e l’India. 

Cosa accomuna queste situazioni apparentemente così diverse? Il fatto che tutte queste campagne di attacco, condotte da vari gruppi di hacker, alla fine installano le stesse informazioni ed il malware di codifica della password, chiamato FormBook, sui sistemi mirati.

Attacco Roboto Condensed: falsi aggiornamenti dei browser usati per infettare i PC fino a renderli inutilizzabili.

Da fine agosto, un attacco di ingegneria sociale o SocEng chiamato Roboto Condensed, ha iniziato ad attaccare vari siti, distribuendo keylogger, miner e downloader.  Questo attacco mostra ai visitatori che navighino sui siti infetti, un falso avviso di Google Chrome che invita a installare il "Roboto Condensed Font Pack" per poter visualizzare la pagina.

La vittima che decida di installare questo falso aggiornamento, vedrà il proprio PC compromesso da un malware come il keylogger Ursnif, un Miners o altri tipi di trojan, in base appunto a qualche malware è in distribuzione al momento dell'infezione. A partire da domenica, questo attacco viene usato anche per distribuire pacchetti di software di basso livello assieme a vari tipi di adware.

Data Breach: i casi Equifax e Yahoo, il nuovo regolamento Europeo e il DLP.

Il tema della sicurezza e della prevenzione per quanto riguarda la perdita, il cattivo utilizzo e l’accesso non autorizzato ai dati sensibili conservati dalle aziende sta diventando sempre più di grande attualità.

Ad assicurare una maggiore visibilità all’argomento hanno senza dubbio contribuito i recenti casi di furto dei dati che hanno visto come protagoniste due aziende di respiro internazionale come Equifax e Yahoo. 

I casi Equifax e Yahoo

Equifax, azienda statunitense attiva nel settore della valutazione del rischio da oltre 100 anni, ha fatto sapere che altri 2,5 milioni di utenti americani sono stati vittime della violazione del suo sistema di sicurezza annunciata lo scorso 7 settembre (ma già presente e sfruttata a lungo nei mesi precedenti). Pertanto il numero complessivo  dei clienti che si sono visti sottrarre le proprie informazioni confidenziali sale a quota 145 milioni. 

Wordpress sotto attacco: plugin compromessi e vulnerabili aprono le "(back)door" agli attaccanti

In poco più di una settimana sono emerse svariate falle di sicurezza in Wordpress: non stupisce l'attenzione che alcuni cyber-criminali hanno per Wordpress, data la diffusione della piattaforma.

In questo articolo parliamo di due problemi: alcune backdoor contenute in alcuni plugin Wordpress e alcune vulnerabilità che sono state sfruttate nei giorni scorsi per installare ulteriori backdoor. 

I plugin corrotti: X-WP-SPAM-SHIELD-PRO

Alcuni ricercatori hanno individuato del codice per una backdoor PHP nel source code di un plugin Wordpress, spacciato per un tool di sicurezza, dal nome  "X-WP-SPAM-SHIELD-PRO." L'attaccante ha evidentemente provato a sfruttare la fama di un legittimo e assai popolare plugin di WordPress chiamato ""WP-SpamShield Anti-Spam".

La botnet Necurs distribuisce Locky e TrickBot tramite campagne di spam.

La botnet Necurs (qui qualche dettaglio in più) sta inviando in questi giorni migliaia di email di spam al giorno: mail vettori dell'arcinoto ransomware Locky e del malware bancario TrickBot.

Le email di spam: Le email in distribuzione hanno come oggetto la dicitura Emailing: ScanXXXX (dove xxxx indica una serie casuale di 4 numeri), proveniente da mail con diversi domini, ma stesso nome sales@xxxxx.xx. Gli indirizzi email usati e gli oggetti delle mail stesse sono evidentemente finalizzati a spaventare, allertare, preoccupare chi riceve le email, secondo le più classiche linee guida dell'ingegneria sociale. La mail reca con sé un file .zip, rinominato come fosse un documento