Il trojan bancario Bizarro sta colpendo oltre 70 banche in Europa e Sud America: prese di mira anche banche italiane

Bizarro è un trojan bancario nato in Brasile ma che, da qualche settimana, ha varcato i confini e sta bersagliando i clienti di oltre 70 diversi istituti bancari in Europa e in Sud America. Una volta che è riuscito a violare un sistema Windows, questo trojan cerca in ogni modo di ingannare gli utenti a inserire le proprie credenziali bancarie e, tramite varie tecniche di ingegneria sociale, a convincerli a diffondere i codici di autenticazione a due fattori. 

La diffusione
Bizarro è un trojan piuttosto pericoloso perchè è costantemente in sviluppo: i suoi gestori allungano continuamente la lista delle banche bersaglio e implementano a cadenza molto ravvicinata molte tecniche per prevenire l'individuazione da parte di soluzioni di sicurezza ma anche per rendere più complicata possibile l'analisi del codice da parte dei ricercatori di sicurezza. 

Stando ai dati telemetrici ad ora disponibili, Bizarro sta colpendo gli utenti di istituti bancari in nazioni nelle quali la sua presenza non era mai stata registrata: in Europa il trojan si concentra sui clienti di istituti bancari tedeschi, spagnoli, portoghesi, francesi ed italiani, mentre in Sud America i più colpiti sono i clienti di banche cilene, argentine e brasiliane. 

La campagna di attacco
Bizarro viene diffuso con la più classica email di phishing che, prodotta in più lingue, riferisce comunque allo stesso tema: le email sono mascherate da messaggi ufficiali che riferiscono a fantomatici ammanchi e obblighi fiscali. Il corpo del messaggio contiene un link dal quale viene scaricato, in formato .MSI, il trojan. 

Una volta avviato, il malware scarica un archivio .ZIP con i componenti dannosi dei quali necessita collegandosi a server appositamente compromessi sui servizi WordPress, Amazon e Azure.

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte? 

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano. 

I malware della settimana 8-14 Maggio
Questa settimana il CERT-AGID ha individuato e analizzato ben 41 campagne dannose attive: 4 di queste sono state generiche ma veicolate anche in Italia, mentre 37 miravano esplicitamente ad obiettivi italiani. 217 sono stati gli indicatori di compromissione messi a disposizione.

Le famiglie malware individuate in diffusione sono state 7, distribuite con 11  diverse campagne. In dettaglio:

Ennesimo tool legittimo di Microsoft usato a fini illegittimi: il Build Engine sfruttato per distribuire malware

Certo, non è una novità: sono molteplici gli strumenti legittimi che vegono "piegati" a finalità illegittime da parte dei cyber attaccanti. Caso eclatante, putroppo già da qualche anno e Microsoft non sembra riuscire a porre rimedio al problema, è quello che riguarda BitLocker: BitLocker Drive Encryption è una funzionalità di protezione dei dati che consente di criptare parti oppure intere partizioni del sistema operativo. Nato quindi come strumento di sicurezza è in uso già da qualche anno come vero e proprio ransomware.

Ora ci siamo di nuovo: alcuni ricercatori di sicurezza hanno individuato e analizzato una campagna di distribuzione malware che sfrutta il tool di sviluppo Microsoft Build Engine (MSBuild) per distribuire prima il RAT Remcos, quindi, ottenuto il controllo remoto del sistema target, il malware infostealer e per il furto di credenziali RedLine. La campagna è iniziata ad Aprile ma è tutt'ora in corso ed è estremamente preoccupante perchè riesce ad eludere i controlli delle soluzioni antivirus più diffuse.

I protagonisti
Microsoft Build Engine (MSBuild) in breve
è uno strumento creato da Microsoft per sviluppare applicazioni tramite file di progetto .XML: ha funzionalità che consentono l'attività inline, rendendo possibile compilare codice ed eseguirlo direttamente in memoria. E' proprio questa capacità di eseguire codice in memoria che ha aperto la strada ad usi illegittimi del tool, garantendo agli attaccanti, in estrema semplicità la possibilità di sferrare attacchi fileless: gli attacchi fileless sono estremamente difficili da individuare perchè non scaricano alcun file sul sistema, ma anche perchè non lasciano tracce sulla macchina infetta.

Rispetto a questa campagna di attacco, i ricercatori non hanno chiare lemodalità con cui sono distribuiti i file progetto di MSBuild (file formato .proj), ma sono stati determinati con certezza i payload distribuiti, ovvero RAT Remcos e lo Stealer RedLine.

Remcos RAT in breve:

La settimana nera dei ransomware: Darkside chiude i battenti mentre il ransomware Conti paralizza il sistema sanitario irlandese

 
Ransomware scatenati, ransomware ovunque, ransomware che alzano sempre più il tiro: le ultime due settimane sono state costellate di attacchi ransomware di peso. Forse troppo, a giudicare dalla vicenda di Darkside.

Darkside l'ha fatta troppo grossa: operazioni interrotte, infrastruttura down dopo operazione delle forze dell'ordine
Del ransomware Darkside abbiamo parlato qualche giorno fa, quando si è reso protagonista dell'attacco ad una delle più importanti infrastrutture degli Stati Uniti: parliamo dell'oleodotto Colonial Pipe. Il Colonial Pipeline trasporta i prodotti di raffinazione del petrolio per tutti gli Stati Uniti meridionali e orientali: la compagnia traporta circa 2.5 milioni di barili al giorno lungo 5.500 miglia di infrastrutture e fornisce circa il 45% di tutto il carburante usato nella East Coast. L'attacco ransomware lo ha paralizzato, costringendo il presidente Joe Biden a dichiarare lo stato di emergenza e attuare una serie di misure volte ad evitare la mancanza di carburante in una parte estesa del paese. L'azienda ha deciso subito di pagare il riscatto, ma il governo statunitense ha scatenato una vera e propria caccia all'uomo in cerca dei responsabili.

A rivelare notizie interessanti sul fatto è stato UNKN, uno dei portavoce della gang ransomware rivale di Darkside, ovvero Revil. UNKN ha fatto sapere che gli sviluppatori di Darkside hanno completamente perso l'accesso alla parte pubblica della loro infrastruttura: in dettaglio non possono più accedere al blog, ai server DOS, al server di pagamento a seguito di un attacco sferrato contro la loro infrastruttura dalle forze dell'ordine statunitensi. Agli operatori di Darkside non è rimasto altro da fare che sospendere le attività e interrompere il programma di affiliazione.

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte? 

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano. 

I malware della settimana 1-7 Maggio
La scorsa settimana il CERT-AgiD ha individuato e analizzato 28 campagne dannose: di queste 3 sono state generiche e veicolate anche nello spazio italiano mentre 25 sono state mirate contro obiettivi italiani. 163 sono stati gli indicatori di compromissioni (IOC). 

Le famiglie di malware individuate sono state 4, soltanto 6 le campagne malware. Ecco i punti salienti:

• Raccoon: è stato individuato in diffusione in Italia per la prima volta, con due diverse campagne a tema pagamenti. Le email contenevano allegati in formato .XLSB. E' un malware che, fino ad ora, ha colpito quasi esclusivamente negli Stati Uniti;
• Formbook è stato in diffusione anche questa settimana, con due diverse campagne email: una a tema pagamenti e una a tema ordine. Le email utilizzavano allegati in formato .ZIP e .GZ;
• AgentTesla è stata veicolata con una sola campagna a tema Pagamenti: le email contenevano allegati in formato .ZIP;
• Urnsif è stato rilevato in diffusione con una sola campagna malware a tema Delivery: le email veicolavano il malware via allegato .XLSM. 

Raccoon in breve: