Il Phishing si evolve e batte l'autenticazione a due fattori 2FA: arriva il super tool Modlishka

Nell'eterna lotta tra il cybercrime e la sicurezza informatica, i ricercatori di sicurezza avevano assestato un duro colpo, almeno per quanto riguarda la guerra al phishing: l'autenticazione a due fattori ha reso non sufficiente la detenzione della password di un account per potervi accedere. E' stato però un ricercatore di sicurezza (strano a dirsi, ma neppure troppo, ormai) a inventare il super tool per portare attacchi di phishing in grado di bypassare l'autenticazione a due fattori. 

Il tool, come spiega Piotr Duszynski - il suo creatore, è un "reverse proxy" programmato appositamente per gestire operazioni di phishing. Per "reverse proxy" si intende un tipo di proxy che recupera i contenuti per conto di un client da uno o più server. Tali contenuti vengono trasmessi al client come provenienti dallo stesso proxy: il proxy appare quindi al client come un server. Il funzionamento, in parole semplici, è questo: l'attaccante invece di creare una copia esatta del sito che vuole imitare può usare Modlishka come server per ospitare un sito da usare come tramite tra la vittima e il sito originale mentre ne replica i contenuti in real-time. 

In corso una campagna di diffusione del trojan bancario Emotet: sfrutta una nuova tecnica per ingannare gli utenti

Sono ormai molteplici i ricercatori di sicurezza e i major vendor che considerano Emotet la minaccia principale del 2018, per evidenti "meriti sul campo". Minaccia che col 2019 potrebbe manifestarsi con ancora più forza. 

A partire da Novembre, è in corso una vasta campagna di spam per distribuire questo trojan bancario: centinaia di migliaia sono gli utenti infetti in America Latina, Europa e altre parti del mondo. Vediamo quindi nel dettaglio il funzionamento di questa campagna.

Per approfondire >> 
L'evoluzione di Emotet: in 4 anni si evolve da trojan a complesso distributore di minacce

Il misterioso e (quasi) invisibile quadratino nero

Massimizzare il profitto di un attacco ransomware? Gruppo di cyber attaccanti usa il ransomware Gandcrab e un nuovo infostealer

I cyber criminali dietro GandCrab hanno aggiunto il malware per il furto di informazioni Vidar nel processo di distribuzione del ransomware: l'intento è chiaramente quello di aumentare i profitti rubando informazioni sensibili (da riutilizzare/rivendere) prima di avviare la criptazione dei file del computer. 

I ricercatori hanno scoperto questa novità seguendo le tracce di una campagna di malvertising rivolta a utenti di tracker torrent e di siti per il video streaming: hanno così scoperto che l'exploit kit Fallout è stato usato per diffondere un nuovo infostealer chiamato Vidar, usato a sua volta come downloader per GandCrab. 

Il ransomware WannaCry e l'exploit EternalBlue ancora in attività: sono davvero eterni?

EternalBlue non è un semplice exploit kit, ma l'Exploit Kit con le maiuscole: per chi non ricordasse la sua storia, stiamo parlando del kit per sfruttare una vulnerabilità dell'implementazione della v.1 del protocollo SMB e penetrare non solo nel sistema bersaglio, ma anche nella rete. E' l'exploit kit che, sottratto dai server della National Security Agency, è stato alla base della impressionante virulenza di WannaCry, BadRabbit e del wiper NotPetya. 

Per approfondire >> L'exploit di WannaCry,NotPetya e BadRabbit: EternalBlue 1 anno dopo

Qualcuno probabilmente penserà che, passato tutto questo tempo, EternalBlue sia un'arma spuntata, a maggior ragione che la vulnerabilità dell'SMB sfruttata è stata risolta con la pubblicazione del relativo bollettino di sicurezza (MS17-010) contenente la patch per le vulnerabilità attaccate da EternalBlue. Non è assolutamente così, purtoppo e questa fine 2018/inizio 2019 ce ne ha già fornito conferma. 

1. La conferma: WannaCry è inattivo, ma i computer infetti sono ancora milioni. 

Nuova versione di Shamoon, il malware che cancella i file e rende impossibile l'avvio del sistema operativo

Qualche giorno fa abbiamo descritto Shamoon, un malware dal potenziale altamente distruttivo: un wiper, nel dettaglio, ovvero un malware pensato per cancellare i file presenti nelle macchine infette. Shamoon inoltre sovrascrive il master boot record (MBR) rendendo impossibile il boot del sistema. La prima versione in diffusione, segnalata il 10 Dicembre proprio dall'Italia, ha preso di mira non soltanto home user, ma anche aziende. Tra queste, il "colpo grosso" è stata la compagnia petrolifera italiana Saipem. 

Per approfondire >> Shamoon, il nuovo malware che cancella i dati. Colpita l'italiana Saipem

La nuova versione

Il 23 Dicembre un utente francese ha caricato sulla piattaforma di scansione VirusTotal una nuova versione di questo malware, che tentava di camuffarsi da tool di ottimizzazione del sistema di una nota società cinese, Baidu. La particolarità è che questo malware è firmato con un certificato digitale della Baidu stessa emesso il 25 Marzo 2015 e ad oggi non più valido, perchè scaduto il 26 Marzo 2016.