Necurs: la più grande SPAM botnet usa una tecnica che bypassa gli antivirus per diffondere malware.

Necurs è indubbiamente la botnet più estesa al mondo, composta da milioni di dispositivi infetti finiti sotto il suo controllo: ne abbiamo parlato spesso, come "centro nevralgico" di attacchi spam, phishing e per la distribuzione di exploit e a malware di ogni tipo. 

Proprio in questi giorni ha subito un update: ha migliorato il proprio "equipaggiamento" e usa attualmente una nuova tecnica per infettare le vittime. Questa tecnica consiste nell'invio di una mail ad una nuova, potenziale vittima con un file allegato: questo file, una volta estratto, contiene un altro file in formato .URL. Questo è un tipico file di collegamento che apre una pagina web direttamente nel browser invece che in una location in locale. La destinazione finale di questo link è un file script remoto che scarica e esegue automaticamente il payload finale. 

Necurs distribuisce Quant Loader via file .URL

In questa particolare ondata di email di spam Necurs sta distribuendo con una massiccia campagna di spam Quant Loader, un trojan che fondamentalmente si limita a assicurarsi la persistenza sull'hoste e a scaricare altri malware.

Questa tecnica non è assolutamente nuova, perchè già in passato i cyber criminali avevano ausato dei file .URL: è però una novità assoluta per Necurs. Ciò che contraddistingue questa tecnica è la catena d'infezione semplificata, che si basa ora sulla distribuzione di un solo file .URL zippato. Il che è una novità appunto, perchè negli ultimi sei anni, da quando Necurs è apparsa sulle scene, ha sempre preferito catene di infezione piuttosto complicate. 

Un ransomware colpisce la Remote Management Interface di HP

E' in corso un attacco che colpisce le interfacce di gestione remota iLO4 di Hewlett Packard Enterprise: il ransomware in questione cripta il disco rigido e richiede un riscatto in Bitcoin. Non è certo se il ransomware cripti interamente il disco rigido o meno, ma si ha riscontro di centinaia di vittime colpite a partire da ieri. 

HPE iLO4,altrimenti conosciuto come HPE Integrated Lights-Out, è una tecnologia integrata di gestione server inventata appunto da HP Enterprise per consentire all'amministratore di gestire da remoto il dispositivo. L'amministratore può collegarsi all'iLO usando un browser web o un app mobile: si viene quindi accolti da una pagina di login, come mostrato sotto.

Microsoft lancia la protezione anti-phishing e anti malware per Google Chrome

Ora, sappiamo tutti che i rapporti tra le due grandi major non sono idilliaci, anzi. Infatti il lancio di Windows Defender Browser Protection (WDBP) non avviene tanto una stretta collaborazione tra Microsoft e Google, ma a causa della convinzione di Windows di poter garantire, con questo nuovo add-on, una protezione anti-phishing più efficace di quella ottenuta dai meccanismi di protezione di Chrome.

WDBP: di cosa stiamo parlando?

E' un add-on gratuito per Chrome che utilizza la stessa tecnologia anti malware e anti phishing di Edge, browser che, a detta di Redmond, può difendere l'utente in maniera più efficace rispetto alla concorrenza: per affermarlo Microsoft si basa su un rapporto del 2017 che spiega cme WDBP di Microsoft sia in grado di bloccare il 99% dei tentativi di phishing contro l'87% di Chrome e addirittura il 70% per Mozilla.

Chrome Store infestato di falsi Ad-Blocker: colpiti oltre 20 milioni di PC.

Tre giorni fa Google ha rimosso dal Play Store di Android oltre 35 app infette: tutti falsi antivirus (per saperne di più) che avevano superato i controlli "all'ingresso" imposti da Google grazie alla capacità di simulare le stesse attività di un app antivirus legittima. Oggi arriva un altro report che, nonostante gli sforzi di Google, dimostra che il problema non è risolto né nel mondo Android né in quello dei PC.

Il report

AdGuard ha pubblicato un dettagliato report dove dimostra di aver individuato una lunghissima serie di estensioni infette che hanno registrato oltre 20 milioni di download complessivamente. La quasi totalità sono Ad-Blocker, cioè quelle estensioni che eliminano la pubblicità dalle pagine che visitiamo, impediscono l'apertura di pop up e, recentemente, bloccano anche i miner in browser di cripto valuta. 

Gli autori del report spiegano che il problema non è affatto nuovo, anzi: c'è solo stato un piccolo

Italia: attacchi malware e phishing via piattaforme di email marketing

I servizi di email marketing stanno diventando strumento molto utilizzato dai cyber criminali: la cosa è valida ovunque e l'Italia non fa eccezione anzi, si registra una crescita esponenziale di attacchi che sfruttano le piattaforme in questione per diffondere sia malware sia i più scontati attacchi di phishing. Per citare, tra tanti, un episodio "di peso" ricordiamo che, a Marzo, l'account della Red Bull fu violato e le sue liste di centinaia di migliaia di clienti furono usare per inviare una campagna di email di phishing massiva.

Lo conferma Libraesva, società italiana di sicurezza specializzata in sistemi di protezione per i servizi email. "Dallo scorso Dicembre" spiegano da Libraesva "abbiamo assistito ad una crescita di questo tipo di attacchi. La cosa sconcertante è che i pirati sembrano essere in grado di accedere ad un numero enorme di account compromessi, al punto da poterne utilizzare uno diverso al giorno".

Di che servizi parliamo?