Italia nel mirino: ondata di attacchi di Phishing dell'Agenzia delle Entrate distribuisce il trojan bancario Ursnif

Il Computer Security Incident Response Team (CSIRT) da notizia di una serie di ondate di spam rivolte contro utenti italiani a fini di furto dati (phishing) e per la distribuzione del malware Ursnif. Le email utilizzate per la campagna, pur diverse, simulano comunicazioni ufficiali da parte dell'Agenzia delle Entrate. 

La campagna del 30 Giugno

Il primo alert dello CSIRT risale al 30 Giugno, ma la campagna è ancora in corso con nuovi vettori di attacco tantochè gli indicatori di compromissione sono stati aggiornati il 7 Luglio. 

L'email utilizzata, visibile sotto, simula una comunicazione ufficiale dell'Agenzia delle Entrate, con tanto di loghi e riferimenti legali in apparenza piuttosto precisi: nell'oggetto si fa riferimento ad una (falsa ovviamente) necessità di verifica della conformità di alcuni pagamenti. In altre versioni invece la comunicazione sembra provenire direttamente dal Direttore dell'Ente.

Microsoft ha attaccato e messo offline i domini usati per il cybercrime a tema Covid

Microsoft ha preso il controllo e messo offline una serie di domini utilizzati dai cyber attaccanti come parte integrante delle infrastrutture necessarie per lanciare massivi attacchi di phishing  finalizzati al furto dei dati sfruttando la paura della pandemia. 

L'elenco dei domini attaccati è stato redatto dalla Digital Crimes Unit di Microsoft: sono tutti domini individuati mentre erano in uso per tentativi di compromissione degli account di utenti Microsoft nel Dicembre 2019. La maggior parte di questi erano usati per attacchi di phishing comuni, ma una parte consistente era invece usata per attacchi BEC, nei quali si cerca di convincere un addetto ai pagamenti dell'azienda (spesso tramite furto d'identità di un superiore) ad effettuare versamenti verso conti bancari controllati dagli attaccanti. 

La tipologia di attacco più diffusa tramite questi domini prevedeva l'uso della paura del Covid per accedere e prendere il controllo degli account Office 365, concedendo l'accesso ad app dannose controllate dagli attaccanti. 

"Oggi il tribunale distrettuale degli Stati Uniti, distretto orientale della Virginia, ha svelato i documenti che descrivono i dettagli del lavoro svolto da Microsoft per bloccare la rete di criminali informatici che stava utilizzando la pandemia Covid come copertura per frodi contro clienti Microsoft in più di 62 paesi nel mondo" ha spiegato qualche giorno fa Tom Burt, Vice President for Customer Security & Trust di Microsoft Corporate. 

ThiefQuest: il misterioso ransomware per Mac che ruba anche dati e informazioni

E' stato individuato un malware per la cancellazione e il furto dati chiamato ThiefQuest: utilizza un ransomware come copertura, ma il vero scopo sembra essere quello di rubare informazioni sensibili agli utenti Mac. Il malware si diffonde tramite installer crakkati di app popolari: i file installer, diffusi via torrent, altro non sono che una copertura per il malware. 

Va detto che non è affatto comune, ma i ransomware pensati per colpire la piattaforma macOs non sono nuovi: in passato ci sono stati KeRanger, FileCoder e altri malware con varie funzionalità compresa quella di criptare i sistemi. ThiefQuest pare, in prima battuta, inserirsi in questa lista. 

Dalle prime analisi è risultato che ThiefQuest ha la capacità di verificare se si trovi in esecuzione in una virtual machine o in una sandbox ed è dotato di alcune funzionalità anti debug: i suoi sviluppatori hanno lavorato non poco per impedire che i ricercatori potessero analizzare il codice. Il malware verifica anche la presenza di alcuni tool di sicurezza piuttosto diffusi come il firewaell Little Snitch e soluzioni antimalware come Kaspersky, Norton, Avast, DrWeb, Bitdefender, McAfee ecc... 

Le comunicazioni col server di comando e controllo avvengono tramite una reverse shell: il malware si connette al dominio http://andrewka6.pythonanywhere[.]com/ret.txt per ottenere l'indirizzo IP del server di comando e controllo per scaricare ulteriori file dannosi e inviare dati dal sistema infetto. Nei fatti, spiegano i ricercatori, con queste capacità l'attaccante può mantenere il controllo completo sull'host infetto. 

La distribuzione avviene sui siti torrent

Cosa possiamo fare per sostenere la digitalizzazione della scuola?

Digitalizzare la scuola pare, in Italia, un'impresa titanica: se ne parla da decenni ma, a parte qualche virtuoso esempio, la maggior parte delle scuole e istituti arranca. Le difficoltà sono molte, ma ne possiamo individuare due centrali: la mancanza di fondi e di competenze tecniche. Eppure la digitalizzazione della scuola pare urgente e necessaria, per adattarsi ai tempi, per formare gli studenti ad un uso consapevole di quella tecnologia con la quale si confrontano già nel tempo libero e con la quale avranno a che fare nel mondo del lavoro e per l'intero corso della vita. 

Qualcosa però si muove: finalmente è in arrivo un grande piano di investimenti per garantire alle scuole una componente essenziale della digitalizzazione, ovvero la connettività.

Il Piano Scuola: finalmente l'Italia investe sul digitale

Big sotto attacco: LG e Xerox colpite dal ransomware Maze si chiudono in silenzio stampa

Due settimane fa era toccato a grandi aziende italiane, Enel e Geox: se nel primo caso i sistemi di protezione hanno retto bloccando l'infezione, nel caso di Geox invece l'azienda ha dovuto subito un lungo stop per il ripristino dei sistemi. Gli attacchi ransomware però non si sono fermati, anzi: i ransomware confermano il cambio di strategia (non più piccoli utenti home, ma PMI e grandi aziende). Si confermano anche gli attori: se in Italia la fa da padrone il ransomware Snake, nel resto del mondo, sopratutto negli Usa, è Maze il vero mattatore. 

In pochissimi giorni ci sono stati due nuovi casi eclatanti, da una parte Xerox, la notissima azienda produttrice di fotocopiatrici e stampanti, dall'altra LG Electronics, ramo che produce elettrodomestici della corporation LG Group: in entrambi i casi il ransomware utilizzato è stato Maze. 

1. Maze vs Xerox Corporation