giovedì 29 settembre 2016

Komplex: nuovo trojan per OS X


Si chiama Komplex il  trojan scoperto dai ricercatori di Palo Alto Networks, che colpisce i sistemi OS X di Apple. Komplex viene diffuso attraverso email di phishing, il cui testo contiene un messaggio in cui si promette di  rivelare dettagli sul futuro programma spaziale russo dal 2016 al 2025. Proprio per questo motivo, si pensa che il malware sia stato appositamente progettato per essere utilizzato contro comparti aerospaziali che utilizzano pc Apple.

Komplex: come agisce? 

Le email di phishing contengono al loro interno un allegato in forma di eseguibile: il .exe che, a sua volta, contiene il codice cifrato del malware, alcuni script e un documento in PDF. L’utente, dunque, è convinto che l’allegato della email sia un semplice documento PDF. Una volta che la vittima apre l’allegato, il codice del malware apre un documento in formato PDF di 17 pagine scritto in russo (“rosokosmos_2015-2025.pdf”).


Mentre l’utente si convince quindi che la mail contenga un semplicissimo file .pdf, Komplex installa sul pc un altro componente con funzione di dropper, che a sua volta installa un terzo componente eseguibile (“/Users/Shared/.local/kextd”), oltre ad un file plist (“/Users/Shared/com.apple.updates.plist”) ed uno script (“/Users/Shared/start.sh”): alla fine di questo processo l’eseguibile diventa quindi persistente, avviandosi ad ogni avvio del sistema operativo.

Il malware esegue poi alcuni controlli per rendersi invisibile agli antivirus e per rendersi conto se viene eseguito in una sandbox: uno di questi controlli, tramite  l’invio di una richiesta HTTP GET verso Google, ha lo scopo di determinare la presenza di connessioni Internet.
Komplex rimane latente fin quando non riceve una risposta dai server di Google: a quel punto avvierà la comunicazione col server C&C.

In base ai comandi e ai dati ricevuti, Komplex è in grado di scaricare file aggiuntivi sul pc ed eseguire comandi di shell arbitrari, il cui risultato viene spedito come risposta al server C&C.

Una notizia positiva: Komplex presenta un alto tasso di rilevamento da parte dei più comuni antivirus.

mercoledì 28 settembre 2016

IoT: grande attacco in Francia di DDos da botnet di Smart Device


Circa due settimane si è verificato uno dei più grandi attacchi DDoS nella storia dell’informatica.
L’attacco ha colpito varie vittime, tra cui, la OVH ( hosting provider con sede in Francia) è stata una delle principali vittime del DDoS (con punte di 1 Terabit al secondo).

Il ransomware Zepto ora cripta in .odin

Fonte: Quick-Heal Italia http://bit.ly/2cCaaWU



E’ in diffusione una nuova variante del ransomware Locky: questa versione non utilizza più l’estensione “.zepto”, ma utilizza l’estensione “.odin”, oltre a modificare il nome del file.

In sviluppo un ransomware ispirato a Voldemort.



Negli ultimi mesi, si è notato che alcune delle “minori”, o meno distribuite, infezioni da ransomware hanno iniziato a inserire elementi della cultura pop  nei loro schermi di blocco (come si può notare nell'immagine) piuttosto che concentrarsi sui pagamento. Questo è evidente in un ransomware scoperto di recente che rende omaggio a Voldemort, il cattivo della serie di Harry Potter.

venerdì 23 settembre 2016

Apple rilascia macOS Sierra e risolve numerose vulnerabilità in OS X, Safari e iCloud

Il 20 settembre 2016 Apple ha rilasciato macOS Sierra v10.12., la nuova versione del sistema operativo per i pc Mac. Nell’aggiornamento sono presenti alcuni fix di sicurezza in grado di risolvere numerose vulnerabilità, tra le quali alcune di gravità elevata in OS X Yosemite v10.10.5 e OS X El Capitan v10.11.6. Inoltre, è stata aggiornata la versione per server di macOS.

giovedì 22 settembre 2016

Il ransomware Fantom ricava il riscatto e l’indirizzo dal Filename



Una nuova variante del ransomware Fantom è stata scoperta la scorsa settimana dal MalwareHunterteam ed ha alcune caratteristiche interessanti, come l’elencazione e criptazione delle condivisioni di rete,  la capacità di generare in maniera casuale sfondi per il desktop e la criptazione offline.
Ma forse, la caratteristica più interessante è l’abilità del ransomware di stimare l’entità del riscatto e di impostare la email di pagamento in base al filename.

mercoledì 21 settembre 2016

Firefox e Tor sono risultati vulnerabili ad un attacco del tipo Man-in-the-middle.


Una vulnerabilità critica è stata trovata in tutte le versioni del browser Firefox di Mozilla che potrebbe consentire attacchi di tipo man-in-the-middle (quando cioè qualcuno segretamente ritrasmette o altera la comunicazione tra due parti che credono di comunicare direttamente tra di loro): lo stesso problema  riguardava anche la rete Tor. Quest’ultimo ha già risolto il problema rilasciando la versione 6.0.5 del browser mentre Mozilla non ha ancora rilasciato nessuna patch per risolvere il problema.