La botnet BrickerBot si ritira dopo aver raggiunto 10 milioni di dispositivi

L'autore di BrickerBot va in pensione e lo annuncia tramite una email a Bleeping Computer. Nel corso del progetto da lui chiamato "Internet Chemotherapy", iniziato nel Novembre 2016, ha infettato circa 10 milioni di dispositivi IoT. 

Cos'è BrickerBot

Individuato per la prima volta soltanto nell'Aprile 2017, BrickerBot ( ne abbiamo già parlato qui) è un malware creato per infettare i dispositivi IoT facendoli diventare nodi di una botnet. Opera scansionando Internet per individuare eventuali dispositivi vulnerabili, quindi usa un codice exploit per guadagnare un punto di accesso nei dispositivi vulnerabili per sovrascrivere il flash storage dei dispositivi con dati random. I dispositivi infettati spesso devono essere reinstallati o in certi casi rimpiazzati perché il malware riscrive il loro firmware.

Perchè BrickerBot?

Trovato un keylogger preinstallato nei notebook HP

HP ha rilasciato un update per i driver di centinaia di diverso modelli di notebook per rimuovere del codice di debug che un attaccante potrebbe usare come componente keylogger. 

Cos'è

Il componente in questione è il file SynTP.sys, contenuto nel driver Synaptics Touchpad integrato nei notebook HP. La funzione è disattivata per impostazione predefinita, ma può essere attivata semplicemente modificando il valore di una voce di registro.

La chiave di registro è

HKLM\Software\Synaptics\%ProductName% HKLM\Software\Synaptics\%ProductName%\Default

Un attaccante potrebbe usare la chiave di registro per abilitare il keylogging e spiare tutto ciò che gli utenti digitano sulla tastiera. La gravità della cosa è legata alla facilità con la quale è possibile sfruttare questo problema: tutto ciò che serve ad un attaccante è bypassare i prompt UAC quando

La Botnet Satori-Mirai si risveglia improvvisamente con oltre 280.00 bot attivi.

I ricercatori di sicurezza di Qihoo 360 Netlab  hanno lanciato l'allarme in merito a una nuova botnet, denominata Satori, che è stata vista attiva su oltre 280.000 IP diversi nelle ultime 12 ore. Satori, parola giapponese che sta per ''risveglio'', in realtà non è nuova, ma è una variante del già noto malware DDoS di Mirai IoT. Uno dei ricercatori di Qihoo 360 Netlab, Li Fengpei ha descritto Satori in un report e ha affermato che questo si è diffuso velocemente a partire da 4 giorni fa.

Un passo avanti e uno indietro, nella lotta alle botnet quindi: giusto qualche giorno fa una task force tra Polizie di vari stati e esperti di sicurezza informatica hanno abbattuto la botnet Andromeda, composta da computer infettati con l'omonimo malware.

Le differenze tra la variante Satori e le precedenti versioni di Mirai:

Ransomware Shadow: la nuova versione della famiglia BTCWare

E' stata individuata qualche giorno fa da Michael Gillespie, una nuova variante della pericolosa famiglia di ransomware BTCWare: la famiglia non è assolutamente nuova, è stata scoperta  per la prima volta lo scorso Marzo e da allora si è diffusa con più versioni (ne abbiamo parlato qui).
Questa versione, chiamata Shadow proprio dall'estensione che il ransomware aggiunge ai file che cripta, segue l'ultima, chiamata Payday (ne abbiamo parlato qui).

La nuova variante, Shadow appunto, cripta i file modificandone l'estensione in .[email]-id-id.shadow ai file criptati. Come ogni altro membro della famiglia BTCWare, anche Shadow attacca i servizi di remote desktop poco protetti ottenendo così l'accesso al sistema necessario per installare manualmente il ransomware.  

Google impedirà ai software di terze parti l'injection code in Chrome.

Google nella giornata di ieri, con un post sul blog Chromium, ha annunciato alcune novità importanti per gli utenti del browser Chrome. Dalla metà del prossimo anno, in maniera tale da migliorare le prestazioni e ridurre i crash causati dal software delle terze parti su Windows,  non sarà più consentito alle app di terze parti di iniettare codice all'interno di Chrome. Le "prime vittime" di questa modifica saranno proprio gli antivirus e altri software di sicurezza, i quali spesso eseguono l'injection code nei processi del browser per intercettare e scansire malware, pagine di phishing e altri rischi.