Coin Hive termina il servizio: scompare lo script per il mining di criptovaluta più usato dai cyber attaccanti

Abbiamo parlato spesso di CoinHive, sopratutto in termini negativi: nato come servizio in-browser legittimo per il mining di criptovaluta, si è trasformato piuttosto velocemente in uno strumento di attacco usato di nascosto sulle macchine delle vittime. E' diventato cioè da strumento regolare per aumentare i profitti derivanti dalle visualizzazioni di un sito web (inizialmente sopratutto  per sostituire i fastidiosi ads pubblicitari), ad uno strumento di cyber attacco che ha permesso ai cyber criminali di guadagnare centinaia di migliaia di dollari sfruttando il computer di milioni di persone che si trovavano a visitare siti web appositamente compromessi. 

E' stato CoinHive stesso ad annunciare la definitiva sospensione del servizio a partire dall'8 Marzo 2019. 

In breve

Trojan bancario TrickBot: adesso ruba anche le credenziali di accesso da remoto

Il trojan bancario TrickBot non è certo nuovo, ma ci sono alcune novità: il modulo per il furto password di questo malware è stato recentemente aggiornato e la nuova versione è già in distribuzione. La nuova versione è stata individuata nel Gennaio 2019 e si è dimostrata essere una versione aggiornata di una variante già individuata in Novembre, la prima ad essere dotata di un modulo per il furto password di questo tipo.

Le credenziali sotto attacco sono quelle usate per autenticarsi ai server da remoto usando il Remote Desktop Protocol (RDP), VNC e PuTTY. 

Una complessa procedura di infezione

Quick Heal Threat Report - un approfondimento sul ransomware GandCrab

Il più importante e dannoso ransomware del 2018 è stato indubbiamente GandCrab. Individuato all'inizio del gennaio 2018, questo ransomware infettò oltre 48.000 nodi in meno di un mese. Un'infezione massiva che mise  immediatamente in allarme l'Europol e la convinse ad attaccare i server di GandCrab per sottrarne le chiavi di criptazione. Da allora GandCrab ha continuato ad evolversi ed aggiornarsi, lanciando in pochi mesi ben 5 diverse varianti (con svariate sottovarianti), diventando un serio rischio per gli utenti.  A conferma della sempre maggiore rilevanza di GandCrab arriva anche il fatto che gli stessi siti web compromessi usati in questi ultimi mesi per la distribuzione di Emotet (il trojan bancario "protagonista" del 2018) hanno iniziato a diffondere il ransomware GandCrab v.5.1. 

Un pò di storia... le versioni di GandCrab

Nuovo attacco in corso (anche in Italia): il malware-kit combina trojan, miner e malware per il furto dati

Alcuni ricercatori di sicurezza hanno dato notizia di una pericolosissima campagna di attacco, già individuata svariate volte in Italia, Cina, Taiwan e Hong Kong:  parliamo di un vero e proprio "kit da attacco" composto da due trojan e un miner per la criptovaluta Monero, in diffusione via internet e rete in area locale. 

Il kit è stato scoperto casualmente, quando i ricercatori di Trend Micro hanno individuato un attacco molto strano, durante il quale si scaricavano nella cartella Windows file apparentemente casuali su computer aventi la porta 445 aperta e non aggiornata, quindi vulnerabile alla compromissione con l'exploit del protocollo SMB di Window Server. La vulnerabilità sfruttata è la MS17-010, già risolta nel 2017. 

L'accesso nell'host

Attacco in corso contro aziende italiane: i vettori sono archivi cifrati

I ricercatori di sicurezza del CERT-PA hanno lanciato un allarme relativo ad una campagna di attacco in corso, da qualche giorno, in maniera specifica contro aziende e organizzazioni italiane. Il modus operandi è davvero insidioso: gli attaccanti sfruttano scambi email realmente intercorsi tra le vittime e, come indirizzi mittenti, delle email infette. Un meccanismo già noto in realtà, poiché già rilevato in precedenti campagne che, nel corso del 2018, hanno diffuso il malware infostealer Ursnif. 

Le email fake

Le email di questa campagna sono contraddistinte dalla presenza di allegati compressi protetti da password: all'interno di questi archivi sono inseriti documenti dannosi che contengono, entro una macro integrata, script PowerShell che avviano il download e l'esecuzione del trojan Ursnif sul sistema bersaglio.  Questa è una tecnica niente affatto nuovo, ma molto efficace per nascondere i documenti dannosi ai software e alle varie misure di sicurezza aziendali (controlli perimetrali in primis).