Quick Heal Threat Report - un approfondimento sul ransomware GandCrab

Il più importante e dannoso ransomware del 2018 è stato indubbiamente GandCrab. Individuato all'inizio del gennaio 2018, questo ransomware infettò oltre 48.000 nodi in meno di un mese. Un'infezione massiva che mise  immediatamente in allarme l'Europol e la convinse ad attaccare i server di GandCrab per sottrarne le chiavi di criptazione. Da allora GandCrab ha continuato ad evolversi ed aggiornarsi, lanciando in pochi mesi ben 5 diverse varianti (con svariate sottovarianti), diventando un serio rischio per gli utenti.  A conferma della sempre maggiore rilevanza di GandCrab arriva anche il fatto che gli stessi siti web compromessi usati in questi ultimi mesi per la distribuzione di Emotet (il trojan bancario "protagonista" del 2018) hanno iniziato a diffondere il ransomware GandCrab v.5.1. 

Un pò di storia... le versioni di GandCrab

Nuovo attacco in corso (anche in Italia): il malware-kit combina trojan, miner e malware per il furto dati

Alcuni ricercatori di sicurezza hanno dato notizia di una pericolosissima campagna di attacco, già individuata svariate volte in Italia, Cina, Taiwan e Hong Kong:  parliamo di un vero e proprio "kit da attacco" composto da due trojan e un miner per la criptovaluta Monero, in diffusione via internet e rete in area locale. 

Il kit è stato scoperto casualmente, quando i ricercatori di Trend Micro hanno individuato un attacco molto strano, durante il quale si scaricavano nella cartella Windows file apparentemente casuali su computer aventi la porta 445 aperta e non aggiornata, quindi vulnerabile alla compromissione con l'exploit del protocollo SMB di Window Server. La vulnerabilità sfruttata è la MS17-010, già risolta nel 2017. 

L'accesso nell'host

Attacco in corso contro aziende italiane: i vettori sono archivi cifrati

I ricercatori di sicurezza del CERT-PA hanno lanciato un allarme relativo ad una campagna di attacco in corso, da qualche giorno, in maniera specifica contro aziende e organizzazioni italiane. Il modus operandi è davvero insidioso: gli attaccanti sfruttano scambi email realmente intercorsi tra le vittime e, come indirizzi mittenti, delle email infette. Un meccanismo già noto in realtà, poiché già rilevato in precedenti campagne che, nel corso del 2018, hanno diffuso il malware infostealer Ursnif. 

Le email fake

Le email di questa campagna sono contraddistinte dalla presenza di allegati compressi protetti da password: all'interno di questi archivi sono inseriti documenti dannosi che contengono, entro una macro integrata, script PowerShell che avviano il download e l'esecuzione del trojan Ursnif sul sistema bersaglio.  Questa è una tecnica niente affatto nuovo, ma molto efficace per nascondere i documenti dannosi ai software e alle varie misure di sicurezza aziendali (controlli perimetrali in primis). 

I miner di criptovaluta sbarcano sul Microsoft Store per la prima volta

E' stato individuato sul Microsoft Store un gruppo di 8 applicazioni potenzialmente indesiderate (PUA), responsabili del download sul dispositivo degli script dannosi per il mining di criptovaluta Coinhive Monero (XMR). Sfruttano, per la diffusione, la libreria legittima Google Tag Manager (GTM).  I fatti interessanti relativi a queste individuazioni sono due: 

• è la prima volta che vengono riscontrati miner di criptovaluta illegittimi sul Microsoft Store;
• GTM è un sistema di gestione dei tag progettato da Google per aiutare gli sviluppatori a inserire contenuti KJavascript e HTML nelle proprie app a scopo di analisi e monitoraggio ed è la prima volta che il sistema viene invece usato per distribuire script dannosi di questo tipo.

Le app compromesse (e già rimosse da Microsoft) sono:

1. Fast-search Lite
2. Battery Optimizer (Tutorials)
3. VPN Browser+
4. Downloader for YouTub Videos
5. Clean Master+ (Tutorials)
6. FastTube
7. Findoo Browser 2019
8. Findoo Mobile & Desktop Search. 

Emotet torna alla carica: nuova variante evita l'individuazione da parte degli antivirus

Del trojan Emotet abbiamo parlato recentemente, come un dei "Top 10 Malware" del 2019:  che stia diventando uno strumento malware estremamente pericoloso è un dato di fatto confermato anche da uno specifico avviso di sicurezza diramato dal CERT-USA nel Luglio 2018, dall'attenzione della comunità dei ricercatori di sicurezza, ma anche dal continuo investimento che i suoi gestori stanno facendo nel migliorarlo e affinarlo costantemente.

Emotet in breve

Emotet, conosciuto anche come Geodo o Heodo, è un trojan modulare sviluppato per rubare, principalmente, informazioni bancarie o finanziarie come le credenziali di accesso all'home banking o i wallet di criptovalute. Oltre a ciò, esfiltra dati sensibili, credenziali di login di svariate tipologie di servizi e informazioni personali. Non viene mai da solo, anzi, funge da distributore di altri trojan bancari, malware per il furto dati o bot modulari altamente personalizzabili come Trickbot.  Bersaglia utenti in tutto il mondo, con una particolare attenzione però a utenti statunitensi ed europei.

La nuova campagna