Ondata di phishing bersaglia utenti Apple: i truffatori rubano l'Apple ID e l'identità delle vittime

E' stata segnalata ieri da svariati siti specializzati una campagna di phishing che sta bersagliando utenti Apple. Le email sono confezionate per sembrare conferme di acquisto dall'Apple App Store: contengono un allegato PDF che sembra essere una fattura di pagamento per un app acquistata dall'account dell'utente per 30 dollari statunitensi. Nel testo c'è anche un link da cliccare nel caso in cui la transazione non sia stata autorizzata. Se l'utente fa clic sul collegamento, il danno è fatto. 

La prima segnalazione è di Lawrence Abrams di Bleeping Computer, che ha spiegato di aver ricevuto lo scorso fine settimana svariate segnalazioni tutte molto simili: utenti che segnalavano appunto di aver ricevuto email apparentemente provenienti dall'App Store di Apple contenenti fatture relative ad acquisti che non sapevano di aver effettuato. 

L'email è molto insidiosa: non c'è, come accade solitamente nelle campagne di phishing, alcuna frase che inciti o indichi all'utente di aprire (magari urgentemente) l'allegato. Gli attaccanti si affidano alla vittima stessa, la quale, ricevuta la fattura di un acquisto mai effettuato, aprirà il PDF proprio per sapere di che si tratta. 

Microsoft introduce una funzione di sicurezza: Sandbox Windows

Microsoft sta introducendo una nuova funzione, chiamata Windows Sandbox, che consentirà agli utenti di avviare in sicurezza gli eseguibili in un ambiente virtuale isolato dal resto del sistema operativo. Questa funzionalità sarà disponibile a partire dal prossimo Windows 10 Pro e Enterprise Insider- build 18305. 

E' infatti ormai una tecnica assodata nel mondo del cyber-crimine quella di diffondere programmi che eseguono comportamenti dannosi o che compromettono altri programmi già esistenti nel sistema operativo. Talvolta è molto difficile riconoscerne la pericolosità, perchè questi eseguibili sono presentati come software legittimi. Con la Sandbox di Windows sarà possibile avviare una macchina virtuale che esegue una copia di Windows creata dal sistema operativo installato sulla macchina. Tutto ciò in un ambiente desktop isolato dal normale sistema operativo: qualsiasi azione compiuta nella sandobox quindi non andrà a influire sul sistema operativo reale.

Come funziona la Sandbox di Windows?

Ennesimo bug in Facebook: app di terze parti accedono alle foto di 7 milioni di utenti

Ennesimo guaio in casa Facebook, per quanto riguarda sicurezza e privacy: un bug di programmazione del sito web di Facebook ha accidentalmente dato a oltre 1.500 app di terze parti accesso alle foto non pubblicate di 6.8 milioni di utenti.

Venerdì 14 Dicembre è stato Facebook stesso ad annunciare il bug, pubblicando un comunicato nel quale i tecnici affermano di aver individuato un nuovo bug nell'API del sistema di condivisione delle immagini che ha consentito a oltre 876 sviluppatori l'accesso alle foto private degli utenti, nel dettaglio quelle mai condivise nella timeline, comprese le immagini caricate nelle Storie di Facebook o nel MarketPlace.

"Quando qualcuno concede ad un'app le permissioni per accedere alle proprie foto su Facebook, di norma concediamo l'accesso solo a quelle che le persone hanno condiviso sulla propria timeline. In questo caso, il bug ha permesso potenzialmente ad una serie di sviluppatori di avere accesso anche ad altre foto" si legge nella nota di Facebook.

Shamoon, il nuovo malware che cancella i dati. Colpita l'italiana Saipem

Shamoon è tornato alla carica poco meno di un mese fa e lo ha fatto in grande stile: attualmente è in diffusione in the wild una nuova versione di questo malware wiper, la cui unica funzione è quella di cancellare (wiping) i dati contenuti nelle macchine bersaglio. La prima segnalazione di infezione è arrivata proprio dall'Italia: il 10 Dicembre 2018 è stata caricato il nuovo esemplare su VirusTotal. 

E c'è già una vittima illustre: la compagnia petrolifera italiana Saipem (vedi più avanti). Dopo 3 giorni sono seguite svariate altre segnalazioni provenienti dai Paesi Bassi. Era qualche anno che non si avevano notizie di questo wiper, che debuttò nel 2012 contro la Saudi Aramco, azienda petrolifera che subì la cancellazione dei dati su oltre 35.000 computer. 

Analisi tecnica

Individuato in diffusione malware per MAC: combina backdoor e miner

All'inizio della settimana in corso alcuni ricercatori di sicurezza hanno individuato un nuovo malware per Mac che combina due differenti tool open-source: la backdoor EmPyre e il miner di criptovaluta XMRig. Questo malware è attualmente diffuso tramite un applicativo di nome Adobe Zii, un software per "piratare" svariate applicazioni di Adobe. In ogni caso i ricercatori sono piuttosto certi nell'affermare che il software Adobe Zii che diffonde il nuovo malware non sia "l'originale", ma una versione ulteriormente modificata dello stesso: ad esempio i loghi differiscono. 

Come infetta i Mac?