giovedì 21 settembre 2017

Nuovo ransomware della famiglia CryptoMix: ecco SHARK


Due giorni fa è stata individuata, in the wild, una ennesima, nuova versione di ransomware appartenente alla famiglia CryptoMix. Quella di CryptoMix è una famiglia in costante evoluzione, tantoché, come scritto anche in precedenza, se ne conta una nuova versione a settimana. Stavolta, invece, sono trascorse oltre 3 settimane dall'ultimo rilascio. 

Dettagliamo meglio le novità rispetto alla precedente versione. 

Cambia l'estensione...
La nuova versione non ha apportato modifiche nel meccanismo di criptazione: è cambiata semplicemente l'estensione che viene aggiunta ai file criptati. In questo caso .SHARK. Il nome del file viene invece sostituito con una serie di 32 caratteri esadecimali.

Fonte: bleepingcomputer.com

La nota di riscatto

La nota di riscatto si chiama ancora _HELP_INSTRUCTION.TXT, ma sono cambiate le email di contatto alle quali le vittime devono rivolgersi per ottenere le istruzioni di pagamento.

Fonte: bleepingcomputer.com

Le chiavi di criptazione...
Questa variante contiene 11 chiavi pubbliche RSA-1024 che vengono usate per criptare la chiave AES usata per la criptazione dei file. Anche questa vesione quindi può lavorare completamente offline senza comunicazioni di rete. Queste 11 chiavi sono però differenti da quelle della versione precedente Arena Ransomware. 

Indicatori di compromissione
File associati al Ransomware Shark
_HELP_INSTRUCTION.TXT
C:\ProgramData\[random].exe

Mail associate al Ransomware Shark
shark01@msgden.com
shark02@techmail.info

mercoledì 20 settembre 2017

Android e Trojan bancari: qualche aggiornamento e come difendersi


Le recenti scoperte di molteplici varianti di trojan bancari per Android presentano un significativo rischio per la sicurezza di tutti gli utenti, che sempre più spesso sono esposti al rischio di vedersi rubare dati sensibili e credenziali di accesso.

Red Alert 2.0
L'ultima scoperta riguarda Red Alert 2.0, un trojan bancario scoperto in vendita nel dark web a circa 500 dollari al mese. Red Alert 2.0, al contrario della quasi totalità dei malware bancari, è stato completamente scritto da zero: BankBot, ExoBot e altri sono stati costruiti mettendo assieme pezzi di codice di vecchi trojan. Viene diffuso ormai da mesi su svariati forum di hacking online ed è stato costantemente aggiornato allo scopo di aggiungere nuove funzionalità. 

Che cosa fa?
Red Alert 2.0 ha svariate funzionalità:

martedì 19 settembre 2017

Il Ransomware Locky passa all'estensione Ykcol per i file criptati


Una nuova versione del Ransomware Locky è stata recentemente scoperta: il malware è infatti passato all’estensione .yckol per i file criptati. Yckol, si faccia caso, altro non è che Locky al contrario: che questo ransomware sia parte della famiglia è confermato non solo dal nome, ma anche dal meccanismo di criptazione. Ricordiamo quindi, a chi dovesse essere vittima di questo ransomware, che non siamo di fronte ad una nuova famiglia di "virus del riscatto", ma al vecchio, e mai risolto Ransomware Locky.

Come si diffonde?
Questa nuova variante viene distribuita attraverso messaggi spam di posta elettronica: questi messaggi sono camuffati da fatture e contengono un allegato 7zip o 7z. L’allegato contiene un file VBS che, quando viene eseguito, scarica l’eseguibile di Locky da un sito remoto e lo esegue. 

lunedì 18 settembre 2017

Una versione compromessa di CCleaner ha diffuso malware per un mese


La versione 5.33 dell'app CCleaner messa a disposizione per il download tra Agosto e  Settembre nel sito ufficiale includeva il malware Floxif.

Che cosa è Floxif?
Floxif è un trojan che raccoglie informazioni riguardo ai sistemi infetti e le invia al proprio server C&C. Il malware ha anche la capacità di scaricare ed eseguire altri programmi dannosi, ma ad ora, non risulta che Floxif stia scaricando payload aggiuntivi in un secondo momento sulla macchina infetta.

venerdì 15 settembre 2017

Equifax conferma: gli hacker hanno sfruttato una vulnerabilità di Apache Struts per rubare i dati dei clienti


La vicenda di Equifax, la compagnia statunitense che raccoglie e conserva i dati relativi alle abitudini ed all’affidabilità finanziaria di oltre 800 milioni di consumatori sparsi in tutto il globo, è in questi giorni inevitabilmente al centro dell’attenzione. La società di Atlanta è stata infatti vittima di un attacco che ha comportato il furto dei dati sensibili di 143 milioni di utenti. Un episodio di una gravità inaudita, ulteriormente aggravato dal fatto che Equifax, attiva nel settore della valutazione del rischio del credito da oltre 100 anni, gestisce le cruciali informazioni - di natura economica e fiscale – di migliaia di persone (per saperne di più sull’accaduto).