Zoom sotto attacco: i cybercriminali approfittano del boom di popolarità del software per le videoconferenze

Zoom è una piattaforma di comunicazione cloud-based che può essere usata per conferenze audio e video, riunioni online, chat e collaborazioni online tramite sistemi mobile, desktop e telefonici. Ha registrato un drastico aumento di utenti attivi dall'inizio del 2020, dato dai milioni di dipendenti che adesso lavorano da casa, ma anche dall'impennata di utenti chiusi in casa che lo utilizzano per comunicare con amici e parenti: nell'intero 2019 l'aumento di utenti attivi fu di 1,99 milioni, ma dall'inizio del 2020 sono già circa 2,2 milioni i nuovi utenti. Ad ora Zoom ha quasi 13 milioni di utenti attivi. 

Non sono però aumentati solo gli utenti di Zoom in questo periodo: i ricercatori di Check Point research hanno registrato anche una vera e propria impennata di registrazioni di domini il cui nome include la parola "Zoom". Nulla di inaspettato, va detto, dato che è abitudine comune dei cyber attaccanti cercare di cavalcare trend, che siano software e piattaforme o tematiche di grande risalto per l'opinione pubblica.  I dati parlano chiaro: 

"Dall'inizio dell'anno, sono 1700 i nuovi domini registrati contenenti la parola Zoom. Il 25% è stato registrato la scorsa settimana. Il 4% di questi già è stato analizzato e mostra caratteristiche sospette" dicono i ricercatori

L'attacco che non ti aspetti: il malware arriva per posta

Trustwave ha riportato una notizia che ha quasi dell'incredibile e che raccontiamo più per la bizzaria della tecnica usata che per il rischio che una tipologia di attacco simile possa assumere dimensioni di massa. E' però un episodio indicativo sia della creatività e inventiva dei cyber criminali, sia dell'importanza di formare i dipendenti affinchè siano consapevoli dei rischi informatici che possono correre nel corso della prestazione lavorativa. 

La storia è breve: un ospedale negli Stati Uniti riceve per posta un pacco. Il pacco è incartato con i loghi societari di Best Buy, il più grande rivenditore di elettronica al dettaglio negli Stati Uniti. Il pacco contiene una lettera e una chiavetta USB. La lettera annuncia l'accredito di una gift card del valore di 50 dollari, spendibili su una serie di prodotti Best Buy, la chiavetta dovrebbe contenere l'elenco dei prodotti acquistabili col buono regalo. 

TrickBot bypassa la protezione 2FA per il banking online tramite app mobile

Gli autori del malware per il furto informazioni e credenziali bancarie TrickBot stanno utilizzando, già in attacchi reali, un'applicazione dannosa per Android sviluppata appositamente per bypassare l'autenticazione a due fattori: un sistema di autenticazione sicura introdotto dai vari servizi di pagamento online a causa dell'elevato numero di furti dei numeri di autenticazione delle transazioni rilevato negli ultimi anni. 

L'applicazione è stata rinominata TrickMo dai ricercatori di IBM X-force e, dalle analisi, è risultata essere in fase di aggiornamento: viene diffusa tramite desktop infetti tramite tecniche di web injection durante le sessioni di banking online. Ad ora pare colpire quasi esclusivamente utenti tedeschi, ma i continui update che sta ricevendo fanno pensare che l'app si trovi ancora in una fase di test. 

Gli operatori di TrickBot hanno sviluppato TrickMo per intercettare una vasta gamma di tipologie di codici per l'autenticazione incluse one time password (OTP9, mobile TAN e pushTAN. In realtà TrickMo era già conosciuta dai ricercatori, individuata nel Settembre 2019 dal CERT-Bund: al tempo i ricercatori tedeschi fecero sapere che i computer Windows colpiti da Trickbot iniziavano a richiedere alle vittime numeri di telefono e la tipologia di dispositivi per il banking online, cercando di convincerli poi a installare l'app dannosa nascondendola dietro un'app fake di sicurezza. 

TeamViewer interrompe le verifiche per uso commerciale nelle zone colpite dal Coronavirus

TeamViewer è forse uno dei più popolari e utilizzati software per il controllo e la gestione da remoto: è distribuito in versione gratuita per uso non commerciale, cioè per uso personale di quegli utenti che lo possono trovare utile per offrire supporto a familiari e amici. La versione per le aziende invece è, ovviamente, a pagamento. 

TeamViewer effettua delle verifiche rispetto al tipo di utilizzo che viene fatto del software: se un utente del software in versione gratuita viene individuato come utilizzatore per uso commerciale, la sessione viene interrotta e l'utente comincia a visualizzare vari alert che richiedono l'acquisto della licenza per poter continuare ad utilizzare il software. 

Il panorama dei ransomware si spacca in due: alcuni cessano gli attacchi per la crisi Covid-19, altri si fanno più pericolosi

E' un periodo molto particolare in tutto il mondo, dove l'epidemia da Covid-19 è fondamentalmente il tema centrale in discussione in ogni nazione e questo, ovviamente, rappresenta per i cyber criminali un'onda da cavalcare. Abbiamo già dato notizia di molteplici campagne di diffusione malware, truffe e frodi di vario genere che sfruttano questa tematica per diffondere malware, rubare dati, convincere spaventati utenti ad acquistare software, applicazioni, dispositivi di protezione individuali dannosi o completamente inutili. 

In Italia ne abbiamo già fatto le spese con la campagna di distribuzione del malware Trickbot tramite un documento compromesso presentato come vademecum per la prevenzione del virus. Appena due giorni fa Bleepingcomputer ha denunciato un'altra tecnica di attacco, per distribuire i malware Emotet e TrickBot: i cyber attaccanti inseriscono nei metadati o nella descrizione del file del malware stralci di notizie riguardanti il Covid-19, una tecnica che aiuta notevolmente questi malware ad eludere l'individuazione da parte delle soluzioni antivirus e antimalware che utilizzano l'intelligenza artificiale e il machine learning. 

Il mondo dei ransomware ha invece reagito "in fila sparsa", potremmo dire, a questa situazione: la