Malware per macOS disabilita la protezione Gatekeeper

E' stata individuata una nuova variante di Shlayer, un malware multi-stage che colpisce esclusivamente utenti dei sistemi operativi Mac.  La nuova variante riesce ad ottenere i privilegi di amministrazione sul sistema infetto sfruttando una tecnica (vecchia di due anni, ma ancora efficace) con la quale disabilita il Gatekeeper, ovvero quella tecnologia, prevista in ogni macOS, che ha lo scopo di garantire che sul Mac vengano eseguiti solo software affidabili.

Shlayer è stato individuato in azione per la prima volta come parte di una campagna malware durata per tutto il Febbraio 2018, nella quale falsi Installer di Adobe Flash Player diffondevano alcune famiglie di malware per piattaforme Mac. 

La nuova versione

Fattura elettronica: esplode il rischio di attacchi via PEC. Campagna malware in corso in Italia

La recente normativa sulla fatturazione elettronica ha dato nuovo impulso all'uso della PEC, la Posta Elettronica Certificata. Di per sè la PEC è uno strumento molto utile, che garantisce la tracciabilità del mittente e l'ufficialità delle comunicazioni.  Nel mondo del cyber crimine, però, quando uno strumento informatico va incontro ad un utilizzo massivo, questo diventa immediatamente bersaglio delle attenzioni degli attaccanti come possibile mezzo per veicolare efficaci e capillari attacchi. 

Prima dell'entrata in vigore,  lo scorso 1° Gennaio, del nuovo sistema di fatturazione elettronica la PEC rimaneva uno strumento utilizzato in ambiti piuttosto limitati, sopratutto in caso di comunicazioni con le Pubbliche Amministrazioni, con gli ordini professionali o in altri ridotti ambiti di comunicazione formale. Nonostante la limitata diffusione, già nel Marzo 2017 le PEC erano state sfruttate per distribuire in maniera massiccia un ransomware, Cyrpt0L0cker. L'utilizzo della PEC infatti rende più credibile l'email e può indurre il destinatario ad aprire con più facilità eventuali allegati o link dannosi. 

Nuova campagna malware via PEC

Nuovo malware per MAC ruba credenziali bancarie e dei portafogli di criptovaluta

CookieMiner è un nuovo malware capace di rubare e esfiltrare dai browser web i cookie relativi ai wallet dei servizi online e ai siti web di scambio di criptovaluta, così come password, messaggi di testo e credenziali dellle carte di credito. Questo malware colpisce soltanto i dispositivi MAC e condivide parti di codice con esemplari di malware già conosciuti: OSX.DarthMiner e OSX.LamePyre. Tutti questi malware usano la backdoor EmPyre a fini di controllo da remoto e persistenza e per inviare comandi arbitrari ai MAC infetti dopo il successo dell'exploit. 

Dato che ormai la quasi totalità degli exchange di criptovaluta e dei servizi di wallet online usano metodi di autenticazione a più fattori, CookieMiner tenta di aggirare questi processi di autenticazione collezionando una complessa combinazione di credenziali di login, messaggi di testo e cookie web. 

CookieMiner consente ai suoi sviluppatori di mettere le mani su una grande quantità di dati dalle macchine compromesse: tutto inizia con uno script shell che avvia la raccolta dei cookie dal browser e li carica su un server remoto che esegue il servizio curldrop.

Attenzione: attaccanti usano falso TeamViewer per diffondere malware

TeamViewer è un famosissimo software di condivisione del dekstop da remoto: è usato da oltre 1 miliardo di utenti e, ovviamente, è un target assai interessante per i cyber truffatori. Qualche giorno fa alcuni ricercatori di sicurezza hanno individuato una campagna malware che attacca gli ignari utenti con una versione manomessa e dannosa di TeamViewer. 

N.B: il sito ufficiale di TeamViewer NON E'STATO COMPROMESSO. I download dal sito ufficiale sono sicuri. Le versioni dannose in analisi provengono da fonti di terze parti.

Tutto inizia il 20 Gennaio, quando un ricercatore di sicurezza che gestisce il Twitter di FewAtoms ha rilevato un URL dannoso contenente una directory aperta che conduceva gli utenti al download di un archivio auto-estraente. Analisi approfondite di questo archivio hanno portato a individuare, "travestito" appunto da TeamViewer un trojan-spyware programmato per raccogliere e rubare le informazioni dell'utente. 

Il trojan per il furto di credenziali Azorult si camuffa da Google Update e diventa invisibile

Azorult è una vecchia conoscenza: è un info-stealer, un trojan progettato per sottrarre informazioni e credenziali dai sistemi infetti.  E' pensato per estrarre più informazioni  e dati sensibili possibile da più fonti: file,  cookie, cronologia del browser per estrarre le credenziali bancarie e i dati dei Portafogli di criptovalute. E' un trojan in evoluzione continua, noto anche come downloader dei payload di altri malware in campagne di infezione organizzate in più fasi. Spesso è stato individuato in campagne che diffondono su vasta scala ransomware, altri info-stealer e malware per il mining di criptovaluta. 

Qualche giorno fa è stata individuata una nuova campagna di diffusione di Azorult: anziché usare la classica campagna di spam, gli autori di Azorult lo propongono come installer per i Google Update. Se un utente scarica ed esegue il Google Update fake, questo ottiene immediatamente la persistenza sul computer sostituendo l'Updater legittimo. 

Un certificato rubato per legittimare il falso Google Updater