venerdì 2 dicembre 2016

[Vulnerabilità] Risolta grave vulnerabilità in Firefox e Tor Browser che "de-anonimizzava" gli utenti Tor


Gli ingegneri di Mozilla hanno rilasciato la patch per un exploit 0-day che è stato usato per "deanonimizzare" gli utenti di Tor Browser.  Gli ingegneri sia di Mozilla sia di Tor Browser sono venuti a conoscenza di questa vulnerabilità dopo che un utente anonimo ha postato online l'exploit code.

"Questo è un exploit Javascript usato ORA contro Tor Browser. Consiste in un file HTML e in un file CSS, entrambi riportati qua sotto e de-oscurati. L'esatta funzionalità è sconosciuta, ma riesce ad ottenere l'accesso a "Virtual Alloc" nel kernel32.dll e da lì parte. Vi prego di sistemare il problema" ha scritto l'utente anonimo.

martedì 29 novembre 2016

Ransomware Mobef: cripta i file in .KEYH0LES e .KEYZ



Trattiamo brevemente Mobef, un ransomware in circolazione già da tempo, ma del quale si è assistito ad un certo aumento del numero di attacchi: è la famiglia di ransomware di cui fa parte il ransomware LOKMANN.KEY993 (o Parisher), di cui abbiamo già trattato perchè ha colpito svariati utenti italiani.

Come si diffonde...
Mobef viene diffuso sopratutto tramite email di spam, contenenti a loro volta allegati dannosi o link a siti web compromessi.La maggior parte delle email erano finte email di mancata consegna di corrieri come DHL o FedEx nella quali l'allegato conterrebbe le informazioni necessarie al recupero del pacco.

lunedì 28 novembre 2016

SOS RECUPERO DATI ACADEMY: STAGE - recupero e sicurezza dei dati- Bassano 21 Novembre

Grazie a tutti i partecipanti e agli amici di Sos Recupero Dati per l'invito e la disponibilità!

In affitto sul web una botnet Mirai da 400.000 device

Due noti hacker stanno offrendo in affitto una botnet di grandi dimensioni che usa i dispositivi della Internet of Things per portare avanti attacchi DDoS.



Un fenomeno già visto
Già in precedenza abbiamo assistito al rilascio del codice di Mirai, ossia il worm che consente di individuare e compromettere i device della Internet of Things da remoto.
Ci sono stati casi come l’attacco DDoS rivolto a siti come Twitter, New York Times, eBay, Netflix, finiti offline per circa 120 minuti, o il grande attacco DDoS da botnet di Smart Device in Francia, uno dei più grandi nella storia informatica.

In cosa consistono i nuovi attacchi?
Attualmente sono emerse numerose botnet di questo genere, capaci di diffondere attacchi DDoS contro qualsiasi bersaglio. La maggior parte di esse, per fortuna, è composta da pochi dispositivi, diversamente da come abbiamo avuto modo di constatare in passato. Tuttavia, alcune presentano dimensioni notevoli e si rivelano una temibile minaccia per qualunque sito o infrastruttura informatica.
La prima botnet era composta da circa 200.000 dispositivi IoT compromessi e sfruttava solamente 61 combinazioni di username e password al fine di assumerne il controllo. Adesso i dispositivi che la compongono sono 400.000, perché i due hacker hanno ricorso a tecniche diverse, tra cui un exploit zero-day di un dispositivo non citato. Tali tecniche di attacco DDoS sono senz’altro più sofisticate e sfruttano un sistema per nascondere l’indirizzo IP dei dispositivi usati.

venerdì 25 novembre 2016

Ransomware Cerber: rilasciata la versione 5.0, con alcuni aggiustamenti


E' stata individuata una nuova versione del ransomware Cerber, la 5.0, diffusa tramite l'exploit kit RIG-V.

Come viene diffuso?
Viene diffuso tramite exploit kit RIG-V, il che significa che l'infezione avviene navigando su siti internet dannosi: l'exploit kit è infatti un software che gira sui web server ed ha la funzione di scoprire le vulnerabilità dei software presenti su una macchina, per sfruttarle come vere e proprie "porte di accesso" tramite le quali entrate nel pc ed eseguire azioni di vario genere.

giovedì 24 novembre 2016

Quick Heal Threat's Report terzo trimestre 2016: principali malware per Windows

Ransomware
Q3 ha rilevato una crescente diffusione di attacchi ransomware che presentano nuove varianti. In questo trimestre, è stata riscontrata una nuova variante del ransomware Locky, conosciuto come ransomware Zepto, in aumento. Questo si sta propagando tramite spam dannoso e exploit kit. Il cambiamento più evidente osservato in Zepto è l’estensione allegata dei file crittografati, vale a dire da ‘.locky’ a ‘.zepto’. Nella maggior parte dei casi, la vittima riceve una mail contenente un allegato che sembra provenire da una fonte legittima. Il file allegato archiviato (che può contenere un JS, FSM, HTA o DOCM) in realtà è un Trojan Donwloader responsabile di scaricare il carico sul computer di destinazione. Il carico utile scaricato è inizialmente un file codificato extension-less che viene poi decodificato dal Trojan che scarica in un file eseguibile (.exe), il quale poi si forma in un ransomware criptato. Nelle successive varianti, abbiamo osservato che il carico utile si è trasformato da file eseguibile (.exe) a una libreria a collegamento dinamico (DLL). L’utilizzo del file DLL è stato precedentemente visto nelle varianti del ransomware CryptXXX, che sono state diffuse attraverso Angler exploit kit, e poi successiva
mente attraverso l’exploit kit Neutrino.
Gli episodi di diffusione dei ransomware mediante no-pe file (portable executable) sono aumentati nel Q3.

Qui di seguito vi sono i primi 10 rilevamenti di file no-pe che agiscono come un downloader.



mercoledì 23 novembre 2016

Martedì 29 Novembre H.15.00 | SALES WEBINAR Norman Security Portal - Antivirus in cloud


Come annunciato ormai diverso tempo fa,noi di  s-mart, in collaborazione con Mysecurity, distribuiamo in Italia l'antivirus in cloud Norman Security Portal. 

Per farvi conoscere al meglio le opportunità offerte, abbiamo deciso di sfruttare lo strumento del webinar per approfondire gli aspetti commerciali di questo servizio. L'endpoint protection nel cloud di Norman Security Portal infatti non va visto come un classico prodotto antivirus, ma come un vero e proprio servizio di protezione.