Il Trojan bancario DanaBot sta bersagliando l'Italia

Gli autori del trojan bancario DanaBot hanno aggiornato il malware con nuove funzioni che gli consentono di raccogliere indirizzi email e inviare spam direttamente dalla casella di posta della vittima. 

L'ultima versione trovata in diffusione raggiunge questo scopo iniettando codice Javascript nelle pagine di specifici servizi email web-based. Tra i target ci sono tutti i servizi di posta elettronica basati su Roundcube, Horde e Openx-Xchange. Ciò che è importante specificare è che gli autori di DanaBot hanno scelto l'Europa, come obiettivo, diffondendo il trojan quasi esclusivamente in Italia, Germania, Austria.

Le analisi dei ricercatori di sicurezza hanno rivelato anche che uno degli script usati da danaBot per il web-injection può inviare messaggi dannosi dal proprietario dell'account, come risposta alle email presenti nella Posta in Arrivo. 

Una Botnet di 20.000 siti WordPress infettava altri siti WordPress

Usavano una botnet di oltre 20.000 siti WordPress per attaccare e infettare altri siti WordPress. Una volta compromessi nuovi siti, questi venivano aggiunti alla botnet e usati anch'essi per attaccare altri obiettivi secondo i comandi inviati dagli attaccanti. 

I 20.000 siti WordPress costituivano una botnet finalizzata al brute-forcing delle credenziali di login di siti WordPress in Internet: i dati parlano di circa 5 milioni di tentativi di autenticazione provenienti da questa botnet. Gli attacchi di brute-force sono diretti contro l'implementazione XML-RPC di WordPress e tentano infinite combinazioni fino ad individuare un account sul quale tali credenziali sono valide. XML-RPC è un'implementazione molto utile per alcuni utenti, poichè permette di postare contenuti da remoto su siti WordPress usando WordPress stesso o altre API: si trova nella directory principale di installazione di WordPres, nel dettaglio nel file xmlrpc.php. 

Il vero problema di XML-RPC è che, di default, non prevede alcuna limitazione all'ammontare i richieste API che gli vengono indirizzate: ciò significa, concretamente, che un attaccante può tentare e ritentare diversi nomi utenti e password senza alcuna limitazione e senza che questo comporti nessun tipo di alert per l'utente. L'utente vittima può individuare questi tentativi di accesso solo verificando i log. 

Come funziona questo attacco?

KingMiner attacca i server Windows

I cryptominer sono malware pensati specificatamente per effettuare il mining di criptovaluta, cioè l'estrazione di monete digitali quali Monero, Ethereum, Bitcoin ecc..E' un tipo di minaccia della quale abbiamo parlato abbondantemente perchè, in questo 2018, ha mostrato un incremento esponenziale e una evoluzione continua. 

L'ultimo esemplare individuato si chiama KingMiner e prende di  mira i server Microsoft Windows per estrarre la criptovaluta Monero (XRM): in realtà la prima individuazione risale già al Giugno 2018, ma al tempo era un esemplare veramente rozzo e poco pericoloso. Successivamente ne sono state individuate in-the-wild numerose nuove varianti sempre più avanzate: ad oggi KingMiner si caratterizza principalmente per l'uso di una vasta gamma di tecniche di evasione che lo rendono tra i malware più difficili da individuare. 

Gli obiettivi e le tecniche di infezione

Falsa assistenza online: invece di risolvere i ransomware avevano accordi coi truffatori

Succede molto spesso: si viene colpiti da un ransomware, si cerca nel web per capire se esista o meno una soluzione per la particolare versione di malware che ha infettato il nostro sistema. Oppure si chiede consiglio ad un esperto. In entrambi i casi si corrono comunque dei rischi: ad esempio, la maggior parte dei siti web risultanti nelle prime posizioni delle ricerche sui motori di ricerca più diffusi sono fake pensati solo per indurre le vittime di ransomware a scaricare una serie di software aventi funzioni ben diverse da quelle promesse. 

Non si è del tutto al sicuro neppure contattando esperti: non tutti infatti sono "veri esperti", ma potremmo anche imbatterci in complici degli attaccanti stessi. E' il caso della società russa Dr.Shifro: questa azienda promette assistenza in caso di attacchi ransomware, fornendo tool di risoluzione della criptazione che rimettano in chiaro i file senza dover pagare il riscatto agli attaccanti. Questa di per sé non è un'attività sospetta: sono moltissime le società (noi compresi) che offrono assistenza per i ransomware, un problema piuttosto diffuso e che può avere effetti devastanti, sopratutto per le aziende. Bisogna però insospettirsi (e così è stato nel caso di Dr.Shifro) se vengono offerte soluzioni a ransomware dei quali nessuna società di assistenza è in grado di offrire soluzione. 

Come si è scoperta la truffa?

Uber e Data Breach. Indagine del Garante

di Dott.ssa Matteucci Silvia | Accademia Italiana Privacy

Lo scandalo è scoppiato nel Novembre 2017, quando uno scoop di Bloomberg ha obbligato il management di Uber ad ammettere di aver subito un colossale furto di dati, che l’azienda ha cercato di “insabbiare” pagando un riscatto di 100.000 dollari agli hacker per cancellare i dati rubati. L’azienda aveva nascosto, per più di un anno, la violazione dei suoi sistemi e il furto di dati di circa 57 milioni di account su dipendenti e clienti. Nello specifico, sono state “trafugate le informazioni contenute nella licenza di guida di 600 mila americani e nomi, indirizzi di posta elettronica e numeri di telefono di oltre 50 milioni di iscritti all’applicazione di trasporti (50 milioni sono clienti e 7 milioni sono autisti). Non sarebbero stati coinvolti i dati delle carte di credito o quelli relativi agli spostamenti”. 

A distanza di quasi un anno, scopriamo che la strategia difensiva della piattaforma di noleggio auto con conducente non ha convinto nessuno, nemmeno il Procuratore Generale di New York. Difatti, la punizione, decisamente pesante, è arrivata.

125 milioni di euro...