martedì 17 ottobre 2017

Attacco KRACK: un ricercatore dimostra che tutte le Wi-FI sono vulnerabili


Mathy Vanhoef, un ricercatore dell'università di Leuven ha individuato una serie di gravissime vulnerabilità nel protocollo WPA2 (Wi-Fi Protected Access II): WPA2 è il protocollo di protezione più usato per rendere sicure le reti Wi-Fi moderne. 

Le vulnerabilità individuate affliggono il protocollo WPA2 stesso e non uno specifico hardware o software: insomma, queste falle sono un pericolo per chiunque abbia una rete Wi-Fi. 

Vanhoef ha chiamato questo attacco KRACK, che sta per Key Reinstallation Attack. 

Come funziona l'attacco Krack?

L'attacco sfrutta il processo di handshake, che è quel momento nel quale l'access point e il dispositivo (smartphone, pc ecc...) instaurano la connessione. Questo processo si compone di ben 4 passaggi: tra questi quello più delicato è il terzo passaggio, durante il quale viene condivisa una chiave crittografica che, almeno teoricamente, dovrebbe essere usata per una sola connessione. 

lunedì 16 ottobre 2017

Nuovo ransomware della famiglia CryptoMix: arriva .x1881


Qualche giorno fa i ricercatori del MalwareHunterTeam hanno individuato una nuova, ennesima, variante della famiglia di ransomware CryptoMix: utilizza l'estensione .x1881 per modificare l'estensione dei file criptati. Quella di CryptoMix si conferma una famiglia di ransomware molto attiva, con nuove varianti rilasciate con frequenza di due/tre settimane l'uno dell'altra. 

Riassumiamo alcune delle differenze tra questa nuova versione e le precedenti della famiglia. Il metodo di criptazione è rimasto sostanzialmente invariato. 

1. La nota di riscatto
La nota di riscatto reca ancora il nome _HELP_INSTRUCTION.TXT, ma usa come email di contatto per le vittime 

venerdì 13 ottobre 2017

MS Word: protocollo DDE sfruttato per l'esecuzione di un malware


Gli autori di malware non hanno necessariamente bisogno di ingannare gli utenti affinchè abilitino le macro per avviare del codice dannoso. Esiste infatti una tecnica alternativa, che sfrutta un'altra funzione legittima di Office. 

Recentemente è stata infatti scoperta una campagna che diffonde documenti di Microsoft Word contenenti malware in grado di eseguire il codice sul dispositivo che gli hacker intendono colpire senza però bisogno di richiedere l’abilitazione delle macro o di compromettere la memoria.

La funzione legittima che permette questo si chiama Dynamic Data Exchange (DDE).

Cosa è il Dynamic Data Exchange (DDE)?

giovedì 12 ottobre 2017

Famiglia ransomware BTCware: individuata una nuova versione, Payday.



E' stata individuata una nuova variante del ransomware BTCware. Dopo una settimana di calma piatta nel mondo dei ransomware, siamo oggi alla seconda nuova tipologia di ransomware individuata in pochi giorni (è di pochi giorni fa l'individuazione di Asasin, nuova versione della famiglia Locky). 

La nuova variante si chiama Payday, dalla maniera in cui modifica l'estensione dei file criptati. Ricordiamo che chi dovesse trovare i file criptati con estensione .padyday non è stato colpito dal ransomware PayDay, ma da una versione del ransomware BTCware. Infatti la versione scoperta ieri presenta lo stesso identico impianto di BTCware, con alcune piccole differenze.

Ecco alcune differenze:

mercoledì 11 ottobre 2017

Il Ransomware Locky passa all’estensione Asasin. E' in diffusione attraverso la campagna Broken Spam


È stata individuata una nuova versione del Ransomware Locky, che ora utilizza l’estensione .asasin per i file criptati. Fortunatamente, la distribuzione di questa variante del ransomware è stata interrotta a causa della difettosa campagna di spam attraverso la quale veniva distribuita …
Di seguito, ne facciamo una breve descrizione. 

È importante ricordare che se un dispositivo risulta infettato da questo ransomware, il ransomware in questione non è un fantomatico Ransomware Asasin, ma bensì il Ransomware Locky che ha modificato la sua estensione.
La variante Asasin distribuita attraverso la campagna Broken Spam
Questa nuova variante è attualmente distribuita tramite messaggi spam di posta elettronica che

lunedì 9 ottobre 2017

Il malware BrickerBot blocca tutti i modem della fibra Wind e porta alla luce una falla enorme


Da diversi giorni la rete in fibra di Wind è completamente bloccata in quanto i modem sono risultati tutti inutilizzabili a causa di un BrickerBot, un malware sviluppato appositamente allo scopo di metterli fuori uso. Le vulnerabilità negli apparati di rete sono, purtroppo, un aspetto piuttosto comune. Tuttavia quando si tratta di BrickerBot significa che siamo di fronte a falle talmente grandi anche solo da immaginare.

venerdì 6 ottobre 2017

FormBook: il malware impiegato in una nuova campagna di furto dati


Sembra che i più sofisticati hacker abbiano modificato il modo di condurre le loro cyber operazioni mirate. Infatti, anziché investire sulle 0-day e sviluppare così i loro malware, alcuni gruppi di hacker hanno iniziato ad utilizzare malware preconfezionati come script kiddies. Questa, probabilmente, potrebbe essere una mossa molto intelligente per gli hacker sostenuti dagli stati, in modo da non essere facilmente identificabili.

I ricercatori hanno recentemente scoperto una serie di campagne di malware destinate principalmente al settore aerospaziale, a quello della difesa e a quello manifatturiero in diversi paesi: tra i quali figurano gli Stai Uniti, la Thailandia, la Corea del Sud e l’India. 

Cosa accomuna queste situazioni apparentemente così diverse? Il fatto che tutte queste campagne di attacco, condotte da vari gruppi di hacker, alla fine installano le stesse informazioni ed il malware di codifica della password, chiamato FormBook, sui sistemi mirati.

giovedì 5 ottobre 2017

Attacco Roboto Condensed: falsi aggiornamenti dei browser usati per infettare i PC fino a renderli inutilizzabili.


Da fine agosto, un attacco di ingegneria sociale o SocEng chiamato Roboto Condensed, ha iniziato ad attaccare vari siti, distribuendo keylogger, miner e downloader.  Questo attacco mostra ai visitatori che navighino sui siti infetti, un falso avviso di Google Chrome che invita a installare il "Roboto Condensed Font Pack" per poter visualizzare la pagina.

La vittima che decida di installare questo falso aggiornamento, vedrà il proprio PC compromesso da un malware come il keylogger Ursnif, un Miners o altri tipi di trojan, in base appunto a qualche malware è in distribuzione al momento dell'infezione. A partire da domenica, questo attacco viene usato anche per distribuire pacchetti di software di basso livello assieme a vari tipi di adware.

mercoledì 4 ottobre 2017

Data Breach: i casi Equifax e Yahoo, il nuovo regolamento Europeo e il DLP.


Il tema della sicurezza e della prevenzione per quanto riguarda la perdita, il cattivo utilizzo e l’accesso non autorizzato ai dati sensibili conservati dalle aziende sta diventando sempre più di grande attualità.

Ad assicurare una maggiore visibilità all’argomento hanno senza dubbio contribuito i recenti casi di furto dei dati che hanno visto come protagoniste due aziende di respiro internazionale come Equifax e Yahoo. 

I casi Equifax e Yahoo
Equifax, azienda statunitense attiva nel settore della valutazione del rischio da oltre 100 anni, ha fatto sapere che altri 2,5 milioni di utenti americani sono stati vittime della violazione del suo sistema di sicurezza annunciata lo scorso 7 settembre (ma già presente e sfruttata a lungo nei mesi precedenti). Pertanto il numero complessivo  dei clienti che si sono visti sottrarre le proprie informazioni confidenziali sale a quota 145 milioni

martedì 3 ottobre 2017

Wordpress sotto attacco: plugin compromessi e vulnerabili aprono le "(back)door" agli attaccanti


In poco più di una settimana sono emerse svariate falle di sicurezza in Wordpress: non stupisce l'attenzione che alcuni cyber-criminali hanno per Wordpress, data la diffusione della piattaforma.
In questo articolo parliamo di due problemi: alcune backdoor contenute in alcuni plugin Wordpress e alcune vulnerabilità che sono state sfruttate nei giorni scorsi per installare ulteriori backdoor. 

I plugin corrotti: X-WP-SPAM-SHIELD-PRO
Alcuni ricercatori hanno individuato del codice per una backdoor PHP nel source code di un plugin Wordpress, spacciato per un tool di sicurezza, dal nome  "X-WP-SPAM-SHIELD-PRO." L'attaccante ha evidentemente provato a sfruttare la fama di un legittimo e assai popolare plugin di WordPress chiamato ""WP-SpamShield Anti-Spam".

lunedì 2 ottobre 2017

La botnet Necurs distribuisce Locky e TrickBot tramite campagne di spam.


La botnet Necurs (qui qualche dettaglio in più) sta inviando in questi giorni migliaia di email di spam al giorno: mail vettori dell'arcinoto ransomware Locky e del malware bancario TrickBot.

Le email di spam: Le email in distribuzione hanno come oggetto la dicitura Emailing: ScanXXXX (dove xxxx indica una serie casuale di 4 numeri), proveniente da mail con diversi domini, ma stesso nome sales@xxxxx.xx. Gli indirizzi email usati e gli oggetti delle mail stesse sono evidentemente finalizzati a spaventare, allertare, preoccupare chi riceve le email, secondo le più classiche linee guida dell'ingegneria sociale. La mail reca con sé un file .zip, rinominato come fosse un documento

venerdì 29 settembre 2017

RedBoot cripta i file e modifica anche la Partition Table. Ransomware o wiper?


Un nuovo ransomware bootlocker è stato recentemente scoperto. Il suo nome è Red Boot e quando viene eseguito cripta i file presenti sul computer, sostituisce il Master Boot Record (MBR) dell’unità di sistema e quindi modifica la Partition Table: entrambi sono necessari per l'avvio del sistema, quindi chi è vittima di questo ransomware non potrà avviare più il sistema stesso.

Poiché il ransomware non fornisce una chiave per ripristinare la Partition Table o l'MBR, a meno che lo sviluppatore non disponga di un decriptatore "bootable",  questo malware finirebbe per essere non un ransomware, ma un wiper, ovvero un malware che impedisce in maniera irrecuperabile l'avvio del sistema. In questo quindi la richiesta di riscatto perderebbe di senso.

giovedì 28 settembre 2017

Retefe: il terzo trojan bancario a supportare l'exploit EternalBlue


EternalBlue
è un exploit kit del protocollo SMB v.1 balzato agli onori delle cronache in quanto mezzo di diffusione delle infezioni di massa dei Ransomware WannaCry e Petya

Data l'efficacia dimostrata, come era da aspettarsi, EternalBlue è  stato scelto come strumento di diffusione di altri malware, ad esempio alcuni trojan bancari: Emotet e Trickbot sono stati primi della lista. EternalBlue consente infatti a questi trojan la diffusione anche verso altri PC di una stessa rete interna, proprio secondo la tecnica di diffusione tipica dei worm (per approfondire, vedi qui). 

La lista dei trojan bancari che implementano EternaBlue si è allungata proprio in questi giorni, con l'individuazione del trojan bancario Retefe. 

Retefe e EternaBlue
Secondo i ricercatori di ProofPoint, che hanno individuato questo trojan, Retefe ha iniziato ad usare

mercoledì 27 settembre 2017

CCleaner: 1.646.536 computer colpiti dall'attacco malware. Formattare è la soluzione?


Le stime iniziali circa l’attacco che ha utilizzato CCleaner per diffondere il trojan Floxif (per approfondire) erano fin troppo positive. L’attacco che ha colpito gli utenti che hanno scaricato CCleaner  tra Agosto e  Settembre sembra molto più grave del previsto. Il malware diffuso dai cyber criminali ha infatti infettato 1,646,536 computer.

martedì 26 settembre 2017

Scoperto il primo malware di Android che sfrutta la vulnerabilità Dirty COW


ZNIU è il nome del primo malware Android in-the-wild che usa la vulnerabilità Dirty COW per infettare gli utenti. Dirty COW è una vulnerabilità di escalazione dei privilegi nel kernel di Linux che è venuta alla luce l’anno scorso, nell’Ottobre 2016. La vulnerabilità consente ad un attaccante di elevare il privilegio del codice di attacco al livello "root" e di eseguire operazioni dannose.

Il bug Dirty COW è stato presente nel kernel di Linux per nove anni, fin dal 2007. Al tempo della scoperta, Dirty COW era una 0-day che venne utilizzata contro i server Linux. Una patch fu rilasciata immediatamente.

lunedì 25 settembre 2017

BTCWare: una insidiosa famiglia di ransomware. Con una nuova versione in diffusione.


E' stata individuata una nuova variante del ransomware BTCWare: quella di BTCWare è una famiglia di ransomware non molto "viva" in termini di aggiornamento e numero delle varianti, ma sicuramente pericolosa, a giudicare dal numero delle vittime. La diffusione di questo ransomware non avviene tramite la comune modalità di invio via emial di spam: BTCWare si diffonde con attacchi di brute-force contro le porte RDP protette da password deboli. I cyber-criminali quindi ottengono da remoto il controllo della macchina, quindi installano il ranomware. 

Attualmente, le versioni più pericolose sono:
  • Versione 1: .btcware
  • Versione 2: .nuclear
  • Versione 3: .wyvern

Versione 1: BTCWare
La diffusione della prima versione iniziò nel Marzo del 2017, ma era inizialmente conosciuta come CrptXXX. Dopo meno di una settimana la primissima variante fu sostituita da quella che è da considerarsi la capostipite della famiglia: il ransomware assunse quindi il nome di BTCWare o CryptoByte. Nel mese di Aprile dello stesso anno, BTCWare si impose subito come ransomware pericoloso, registrando circa 10 infezioni al giorno. 

venerdì 22 settembre 2017

IoT Botnet invia email spam


Quando si parla di IoT botnet, il riferimento più frequente è quello agli attacchi DDoS. Un attacco DDoS (Distributed Denial-of-Service) si differenzia da un regolare attacco DoS - effettuato da un singolo hacker che utilizza un solo sistema - in quanto si estende su un raggio d’azione più ampio, attraverso sistemi d’attacco multipli. 

Mentre la maggior parte delle botnet di IoT vengono utilizzate per gli attacchi DDoS, negli ultimi mesi molti ceppi di malware di IoT - solitamente utilizzati per l’assemblaggio di queste botnet - hanno aggiunto delle nuove funzioni. La principale fra queste è la capacità di ritrasmettere il traffico web attraverso l’installazione di un server proxy sui dispositivi infetti

giovedì 21 settembre 2017

Nuovo ransomware della famiglia CryptoMix: ecco SHARK


Due giorni fa è stata individuata, in the wild, una ennesima, nuova versione di ransomware appartenente alla famiglia CryptoMix. Quella di CryptoMix è una famiglia in costante evoluzione, tantoché, come scritto anche in precedenza, se ne conta una nuova versione a settimana. Stavolta, invece, sono trascorse oltre 3 settimane dall'ultimo rilascio. 

Dettagliamo meglio le novità rispetto alla precedente versione. 

Cambia l'estensione...
La nuova versione non ha apportato modifiche nel meccanismo di criptazione: è cambiata semplicemente l'estensione che viene aggiunta ai file criptati. In questo caso .SHARK. Il nome del file viene invece sostituito con una serie di 32 caratteri esadecimali.

Fonte: bleepingcomputer.com

La nota di riscatto

La nota di riscatto si chiama ancora _HELP_INSTRUCTION.TXT, ma sono cambiate le email di contatto alle quali le vittime devono rivolgersi per ottenere le istruzioni di pagamento.

Fonte: bleepingcomputer.com

Le chiavi di criptazione...
Questa variante contiene 11 chiavi pubbliche RSA-1024 che vengono usate per criptare la chiave AES usata per la criptazione dei file. Anche questa vesione quindi può lavorare completamente offline senza comunicazioni di rete. Queste 11 chiavi sono però differenti da quelle della versione precedente Arena Ransomware. 

Indicatori di compromissione
File associati al Ransomware Shark
_HELP_INSTRUCTION.TXT
C:\ProgramData\[random].exe

Mail associate al Ransomware Shark
shark01@msgden.com
shark02@techmail.info

mercoledì 20 settembre 2017

Android e Trojan bancari: qualche aggiornamento e come difendersi


Le recenti scoperte di molteplici varianti di trojan bancari per Android presentano un significativo rischio per la sicurezza di tutti gli utenti, che sempre più spesso sono esposti al rischio di vedersi rubare dati sensibili e credenziali di accesso.

Red Alert 2.0
L'ultima scoperta riguarda Red Alert 2.0, un trojan bancario scoperto in vendita nel dark web a circa 500 dollari al mese. Red Alert 2.0, al contrario della quasi totalità dei malware bancari, è stato completamente scritto da zero: BankBot, ExoBot e altri sono stati costruiti mettendo assieme pezzi di codice di vecchi trojan. Viene diffuso ormai da mesi su svariati forum di hacking online ed è stato costantemente aggiornato allo scopo di aggiungere nuove funzionalità. 

Che cosa fa?
Red Alert 2.0 ha svariate funzionalità:

martedì 19 settembre 2017

Il Ransomware Locky passa all'estensione Ykcol per i file criptati


Una nuova versione del Ransomware Locky è stata recentemente scoperta: il malware è infatti passato all’estensione .yckol per i file criptati. Yckol, si faccia caso, altro non è che Locky al contrario: che questo ransomware sia parte della famiglia è confermato non solo dal nome, ma anche dal meccanismo di criptazione. Ricordiamo quindi, a chi dovesse essere vittima di questo ransomware, che non siamo di fronte ad una nuova famiglia di "virus del riscatto", ma al vecchio, e mai risolto Ransomware Locky.

Come si diffonde?
Questa nuova variante viene distribuita attraverso messaggi spam di posta elettronica: questi messaggi sono camuffati da fatture e contengono un allegato 7zip o 7z. L’allegato contiene un file VBS che, quando viene eseguito, scarica l’eseguibile di Locky da un sito remoto e lo esegue. 

lunedì 18 settembre 2017

Una versione compromessa di CCleaner ha diffuso malware per un mese


La versione 5.33 dell'app CCleaner messa a disposizione per il download tra Agosto e  Settembre nel sito ufficiale includeva il malware Floxif.

Che cosa è Floxif?
Floxif è un trojan che raccoglie informazioni riguardo ai sistemi infetti e le invia al proprio server C&C. Il malware ha anche la capacità di scaricare ed eseguire altri programmi dannosi, ma ad ora, non risulta che Floxif stia scaricando payload aggiuntivi in un secondo momento sulla macchina infetta.

venerdì 15 settembre 2017

Equifax conferma: gli hacker hanno sfruttato una vulnerabilità di Apache Struts per rubare i dati dei clienti


La vicenda di Equifax, la compagnia statunitense che raccoglie e conserva i dati relativi alle abitudini ed all’affidabilità finanziaria di oltre 800 milioni di consumatori sparsi in tutto il globo, è in questi giorni inevitabilmente al centro dell’attenzione. La società di Atlanta è stata infatti vittima di un attacco che ha comportato il furto dei dati sensibili di 143 milioni di utenti. Un episodio di una gravità inaudita, ulteriormente aggravato dal fatto che Equifax, attiva nel settore della valutazione del rischio del credito da oltre 100 anni, gestisce le cruciali informazioni - di natura economica e fiscale – di migliaia di persone (per saperne di più sull’accaduto).

giovedì 14 settembre 2017

Bashware: Windows 10 violato dalla Shell Linux. Un attacco invisibile agli antivirus


Si chiama Bashware ed è una nuova tecnica che consente ad un malware (anche già conosciuto) di utilizzare una nuova funzionalità di Windows 10, denominata Subsystem for Linux (WSL), per bypassare l'antivirus installato su un computer. 

Nel 2016, Microsoft ha annunciato WSL: una nuova componente presente in Windows 10 per eseguire una shell Linux (Bash) all'interno del sistema operativo Windows 10. Questo per venire incontro alle esigenze della comunità degli sviluppatori, che utilizza principalmente Linux grazie alla sua facilità d'uso per quanto riguarda le attività di programmazione. WSL è una componente opzionale che consente l'uso di comandi Linux su ambiente Windows senza bisogno di ricorrere alla virtualizzazione. Con WSL un'istanza Linux viene eseguita in user mode: entro la stessa si eseguono gli applicativi Linux, nella forma di processi Pico. Le istruzioni dei processi Pico vengono tradotte tramite chiamate di sistema Linux ad API Windows. 

L’attacco Bashware è invisibile per i software di sicurezza attuali
Dai rapporti emerge l’esistenza di una tecnica che consente ad un malware di utilizzare lo shell Linux

mercoledì 13 settembre 2017

Aumentano i "miner" di cripto-valuta: nel mirino anche i PC più lenti


Negli ultimi mesi si è registrato un incremento esponenziale del numero di malware che sfruttano la capacità di calcolo dei PC per generare Bitcoin. Con le nuove cripto-valute, però, anche i PC domestici finiscono nel mirino dei pirati informatici...

Cosa sono e come agiscono i miner...
Secondo le prime stime sarebbero più di un milione (per la precisione 1.650.000) i computer vittime di malware che agiscono installando un miner, ossia software che servendosi della potenza di calcolo del PC (e generando di conseguenza un anomalo consumo di energia elettrica) generano Bitcoin e altre cripto-valute che vanno così ad arricchire i pirati informatici.

martedì 12 settembre 2017

Il Ransomware Paradise utilizza la crittografia RSA per criptare i tuoi file


Oggi una vittima di un nuovo ransomware, chiamato Paradise, ha affidato a BleepingComputer.com il racconto della sua esperienza, caricando un campione di file criptato: abbiamo così potuto procedere ad analisi tecnica degli effetti del ransomware. 

Anche se dal punto di vista tecnico non presenta grandi innovazioni, è comunque interessante studiarne il funzionamento poichè pare essere un RaaS (Ransomware as a Service) (vedi qui), ovvero un ransomware in vendita a clienti che si occupano della distribuzione e che guadagnano dai riscatti dopo aver ceduto agli sviluppatori una parte dei ricavi. 

Sfortunatamente il Ransomware Paradise non è decriptabile senza il pagamento del riscatto e gli utenti colpiti dovrebbero quindi cercare di recuperare i files seguendo vie alternative (backup o ripristino). 

Il Ransomware Paradise potrebbe essere un Ransomware as a Service (RaaS)

lunedì 11 settembre 2017

Caso Equifax: rubati i dati sensibili di 143 milioni di utenti


Equifax è una "consumer credit reporting agency", cioè un ente statunitense che raccoglie dati riguardanti le abitudini e l'affidabilità dei consumatori. E', per capirsi, il soggetto a cui si rivolge una banca ad esempio, per capire se la persona che gli chiede un prestito sia affidabile o meno. La sensibilità dei dati dovrebbe essere quindi chiara, dato il ruolo di Equifax. Equifax ha dichiarato due giorni fa di essere stata vittima di un attacco hacker durante il quale gli attaccanti sono entrati in posesso dei dati sensibili riguardanti 143 milioni di clienti. E si, il numero è già impressionate: ancora più paura però desta il tipo di dati sottratti. Lo analizziamo come un case studies, che esemplifica perfettamente come trascurare la sicurezza informatica non solo esponga a grandi rischi, ma produca errori e rischi a catena. 

Che cosa è accaduto?
Stando a quando dichiarato da Rick Smith, amministratore delegato di Equifax, gli attaccanti sono entrati in possesso di nomi, numeri di previdenza sociale, data di nascita, indirizzi e, in alcuni casi, il numero della patente, compagnia assicurativa, la maggior parte dei dettagli bancari ecc.. 

venerdì 8 settembre 2017

SynAck: una nuova famiglia di ransomware pensata per attaccare le aziende?


Negli ultimi 5 giorni è registrato un grosso incremento dell'attività di un ransomware praticamente sconosciuto, chiamato SynAck o Syn Ack. Questo particolare ceppo di ransomware è stato individuato la prima volta il 3 di Agosto e tutti gli esperti hanno concordato nell'affermare che siamo di fronte ad una famiglia completamente nuova di ransomware. 

La campagna di SynAck è cresciuta dopo un mese
L'attività di SynAck non era mai stata a livelli allarmanti, anzi il ransomware risultava essenzialmente sconosciuto. Poi ha iniziato a "mietere" sempre più vittime, fino ad arrivare a mettere a segno svariate infezioni ogni giorno nell'ultimo mese. E' stato, infatti, individuato un grosso picco nell'attività di SynAck questa settimana, il cui bilancio si attesta attorno alle 100 vittime (dati del servizio Id-Ransomware). 

giovedì 7 settembre 2017

Un bug nel Kernel di Windows può impedire agli antivirus di individuare i malware


Gli sviluppatori di Malware possono abusare di un errore di programmazione contenuto nel kernel di Windows per impedire ai software di sicurezza di identificare moduli dannosi che dovessero venire caricati durante il runtime. Il bug riguarda  PsSetLoadImageNotifyRoutine, uno dei meccanismi low-level che alcuni software di sicurezza usano per individuare quando del codice che viene caricato nel kernel o nello user space. 

Il problema è che un attaccante potrebbe sfruttare questo bug nel kernel per far si che PsSetLoadImageNotifyRoutine restituisca un nome del modulo non valido, consentendo all'attaccante di "far passare" un malware come una operazione legittima

Il bug è presente in tutte le versioni di Windows rilasciate negli ultimi 17 anni
Questa problematica è emersa solo quest'anno, individuata da un ricercatore di enSilo che stava
studiando approfonditamente il kernel di Windows. Il ricercatore stesso afferma che sono riguardate tutte le versioni rilasciate a partire da Windows 2000 in poi, Windows 10 compreso

mercoledì 6 settembre 2017

Nuovo ransomware della famiglia CryptoMix: arriva Arena


Qualche giorno fa è stata individuata un'altra variante della famiglia di ransomware CryptoMix: sulla famiglia CryptoMix stiamo scrivendo ormai da molto tempo non solo per l'alto numero di infezioni che si registrano da ormai un anno, ma anche perché è una delle famiglie ransomware più attive e costantemente in espansione/miglioramento, con una media di una nuova variante ogni settimana.  

L'ultima variante: Arena Ransomware
L'ultima variante, individuata dai ricercatori di MalwareHunterTeam, cripta i file modificandone l'estensione in .arena. E' il secondo ransomware, rilasciato nelle ultime settimane, che modifica l'estensione in .arena: non vanno però confusi, in quanto l'altro, individuato qualche settimana prima, appartiene alla famiglia Crysis. La differenza più lampante tra le due varianti è che quella appartenente alla famiglia CryptoMix modifica il nome dei file con una stringa esadecimale.

martedì 5 settembre 2017

TrickBot Update: il trojan bancario ora attacca non solo i portali di banking online, ma anche gli utenti Coinbase


Abbiamo già parlato alcune volte di TrickBot, uno dei trojan bancari più diffusi. TrickBot è un trojan che si diffonde sopratutto tramite l'exploit kit Rig, impiegato nell'ambito di campagne di malvertising. Più recentemente è stato riscontrato in distribuzione tramite la botnet Necurs. Ovviamente è diffuso anche tramite email di spam. 

Un pò di storia
TrickBot è un trojan bancario individuato nell'Autunno del 2016 e la maggior parte degli esperti è convinta che sia stato sviluppato dallo stesso gruppo che aveva prodotto e distribuito il trojan bancario Dyre (oggi defunto). Sicuramente dietro a questo trojan c'è un gruppo che ha grande esperienza: il codice del trojan infatti è una sommatoria di pezzi di codice che hanno, mano a mano, ampliato le funzioni stesse del trojan, rendendolo un trojan unico, con una grande quantità di differenti possibilità di azione. 

lunedì 4 settembre 2017

Ransomware Locky: da una settimana è tornato in diffusione con molteplici campagne di spam


Nel corso della settimana appena passata, vari ricercatori di sicurezza hanno individuato diverse campagne di spam che diffondono il ransomware Locky secondo diverse modalità di distribuzione.
Ne elenchiamo alcune, rinnovando l'invito a fare molta molta attenzione a ciò che si riceve via email, a tenere ben "affilati" i filtri antispam e a dotarsi di antivirus che eseguano scansione comportamentale dei file e verifica proattiva delle email e dei file contenuti.

1. Distribuzione attraverso macro di Word
La prima ondata di email di spam diffonde un documento Word contenente una macro. E' una modalità di distribuzione che non ha nulla di nuovo, anzi, è una delle più comuni metodologie di diffusione di malware. Messaggi ingannevoli tentano di indurre la vittima ad abilitare la macro contenuta nel documento Word, solitamente spacciandola come necessaria per visualizzare contenuti o abilitare nuove funzioni. L'attivazione della macro di solito innesca uno script dannoso integrato nel documento stesso: lo script quindi esegue il download e installa un malware.

mercoledì 30 agosto 2017

Botnet WireX: smantellata una grossa botnet di dispositivi Android usata per attacchi DDOS


Un numero molto ampio di ricercatori di svariati vendor di sicurezza ha individuato una botnet, chiamata wireX, composta esclusivamente da dispositivi Android compromessi. Tutti i dispositivi che sono finiti ad essere nodi della botnet sono accomunati dal fatto di avere installate app dannose progettate per generare grandi volumi di traffico finalizzati alla costruzione di attacchi DDoS coordinati. 

La rete è stata smantellata da una task force composta da vari team di ricerca, delle vittime stesse e dell'FBI: è bastato individuare il malware responsabile del "reclutamento" nella rete per metterla in down.

Qualche dato in più
La botnet WireX è stata attivata, si presume, intorno al 2 o 3 di Agosto: svariati sono stati gli attacchi DDoS lanciati, ma il picco si è sviluppato a partire dal 17 Agosto in poi. Vittime principali sono stati fornitori di contenuti digitali e Content Delivery Network (reti di distribuzione di contenuti digitali). Gli attacchi sono stati generati da oltre 70.000 smartphone distribuiti in oltre 100 paesi diversi. Il totale massimo di dispositivi attivati nel momento di picco è stato invece di oltre 120.000 dispositivi.Nella foto sotto, Akamai stima il numero di dispositivi componenti la rete in base al numero di IP unici individuati al momento del picco di attacco.

martedì 29 agosto 2017

Apple Warning. Un attacco di phishing che... funziona come un ransomware


Da qualche tempo stiamo scrivendo alcuni articoli volti a contraddire uno dei più comuni miti metropolitani, ovvero il fatto che i dispositivi Apple (iPhone, iPad e sopratutto i Macbook) non necessitino di antivirus nè particolari attenzioni perché, fondamentalmente, inattaccabili.
Abbiamo già parlato di malware per Mac pensati per attivare la webcam e registrare audio e video a insaputa della vittima, di un malware particolare come MacDownloader e di alcuni ransomware per Mac, come Patcher

In questi giorni però è stata scoperta una vera e propria truffa ai danni dei clienti Apple, particolarmente innovativa e inedita: un attacco di phishing che comporta il rapimento del dispositivo e, conseguentemente, una richiesta di riscatto per riaverne accesso.

Come funziona l'attacco
Si sono registrati svariati attacchi, sopratutto all'estero, ma l'Italia non è rimasta indenne. L'attacco comincia con la più classica delle email di phishing che viene confezionata per simulare una

lunedì 28 agosto 2017

Il ransomware SyncCrypt si nasconde dentro una immagine JPG


E' stato individuato, giusto qualche giorno fa, un nuovo ransomware che si diffonde in maniera un pò insolita rispetto ai tradizionali metodi di diffusione. Il ransomware in questione si chiama SyncCrypt, si diffonde tramite email di spam e modifica l'estensione dei file in .kk

Come si diffonde
Si diffonde tramite email di spam che contengono, come allegato, un file .WSF. Questo metodo di diffusione è piuttosto comune, ma c'è una particolarità che contraddistingue il download e l'installazione del ransomware, la quale rende interessante lo studio di questo malware. Lo script WSF infatti scarica alcune immagini che hanno integrati dei file .ZIP: questi a loro volta contengono i file necessari a infettare il computer. Questo metodo ha il grande vantaggio per i cyber-criminali di rendere praticamente invisibile l'eseguibile del ransomware alla maggior parte dei controlli da parte dei software antivirus. 

L'immagine e i file zip collegati

venerdì 4 agosto 2017

Il ransomware Cerber ora ruba anche le password degli account e dati dai portafogli Bitcoin


L'ultima versione del ransomware Cerber (ne abbiamo parlato qui)  ha avuto un aggiornamento che gli consente di rubare informazioni dai dispositivi delle vittime, come fosse appunto un infostealer (trojan pensati appositamente per rubare informazioni come le password degli account). 

Nel dettaglio questa ultima versione di Cerber può rubare le password dai browser e perfino file riguardanti i portafogli di Bitcoin. 

La funzione infostealer di Cerber
Più precisamente Cerber può rubare le password memorizzate nei browser web come Internet

giovedì 3 agosto 2017

Ransomware GlobeImposter: in distribuzione via email di spam in 4 diverse versioni

La campagna di mail di spam Blank Slate ha legato per ora il suo nome al ransomware Aleta, una nuova versione del ransomware BTCware (chi volesse saperne di più può leggere qui). Da qualche giorno però sono riprese ondate di mail di spam provenienti dalla stessa fonti, ma che mettono in distribuzione diverse varianti del ransomware Globe Imposter. Nel dettaglio sono in distribuzione, praticamente in contemporanea, 4 diverse versioni del ransomware. 

Come si diffonde?
La campagna Blank Slate prende il nome dal fatto, caratterizzante della campagna stessa, di non recare nessun testo in oggetto della mail.

mercoledì 2 agosto 2017

[Quick Heal Lab] Report delle minacce 2° trimestre 2017: Ransomware e Exploit


Nel secondo trimestre del 2017, i Lab Quick Heal hanno individuato oltre 224 milioni di malware: il mese di Aprile detiene il record di individuazioni. Rispetto al primo trimestre del 2017 abbiamo registrato una riduzione del 24% nel numero delle individuazioni (nel primo trimestre furono 295 milioni di malware). Il tipo di malware più individuato in questo trimestre è un trojan che modifica le impostazioni del browser e sottrae informazioni sensibili alla vittima. I free software si confermano come il mezzo più usato per la diffusione di infezioni, seguiti dalle email di spam e i dispositivi removibili. Sono stati individuati anche 8 nuove famiglie di Ransomware e bloccati oltre 1 milione di tentativi di exploit finalizzati alla diffusione di ransomware. 

Rispetto ad Android si è registrato un calo di individuazioni di malware del 21%. App Store di terze parti continuano ad essere la fonte prioritaria nella diffusione di app dannose. I ransomware per

lunedì 31 luglio 2017

WannaCry ha fatto scuola: individuati trojan bancari che si diffondono come worm entro le reti locali


Due trojan bancari -Emotet e Trickbot- hanno aggiunto componenti di auto-diffusione per aumentare le proprie possibilità di infettare quante più macchine possibile entro la stessa rete. 

E' una novità perché, fino ad oggi, i trojan bancari non hanno implementato moduli di auto diffusione nel tentativo di rimanere più a lungo possibile non individuati nei dispositivi infetti e di poter rubare informazioni senza dare possibilità alle vittime di rendersene conto. Il successo di WannaCry e, poco dopo di Not Petya, entrambi con moduli di auto-diffusione che hanno permesso loro la virulenza per i quali sono diventati famosi, hao fatto tornare in voga le componenti worm. 

Emotet
Il primo trojan bancario dotato di componenti di self-spreading ad essere individuato è stato Emotet.

giovedì 27 luglio 2017

FruitFly: una famiglia di malware e spyware per il Mac


E' stata individuata una nuova variante di spyware per i sistemi macOS: questo spyware è conosciuto come FruitFly. 

La particolarità di questo spyware è la longevità del suo anonimato:è stato individuato solo nel Gennaio del 2017, ma si scopri che era attivo e in circolazione da almeno due anni, senza però venire mai individuato né dai comuni antivirus commerciali né dagli strumenti di sicurezza integrati nel sistema operativo macOS.

A seguito della scoperta Apple ha emesso un aggiornamento di sistema che blocca il download e l'esecuzione del malware, limitando in conseguenza le infezioni.

mercoledì 26 luglio 2017

Unicredit Hacked: fuga dei dati di 400.000 clienti


Stamani mattina
Unicredit Banca ha diramato un nota ufficiale nella quale afferma di aver subito una intrusione informatica in Italia. Nel dettaglio la Banca dichiara accessi non autorizzati a dati riguardanti clienti italiani, relativi però solo a prestiti personali. I dati fuoriusciti, si legge nella nota, non comprenderebbero né password né codici per autorizzare transazioni bancarie, ma dati anagrafici dei clienti e i loro IBAN.

L'accesso sarebbe tramite un partner commerciale esterno italiano, ma la nota non rende chiaro se

martedì 25 luglio 2017

Risolvibile il Ransomware Scarab


Il Ransomware Scarab è una variante di Hidden Tear, un ransomware open-source rilasciato nel 2015 usato sia a fini di studio che per fini criminosi. I nostri tecnici sono in grado di risolvere quest'infezione: chi avesse subito questo attacco può scriverci alla mail alessandro@nwkcloud.com e/o visitare il sito www.decryptolocker.it

Come si diffonde
I vettori di diffusione del ransomware Scarab sono email di spam contenenti allegati che veicolano l'eseguibile del ransomware. 

Come cripta i file
Gli allegati, di solito .zip., contengono l'eseguibile del ransomware: l'exe viene di solito copiato nelle cartelle di sistema. L'esecuzione del .exe comporta l'infezione: per prima cosa il ransomware esegue

giovedì 20 luglio 2017

I tuoi server web davvero al sicuro? Verificalo con un penetration test gratuito


I ransomware WannaCry e Petya sono stati protagonisti, per qualche settimana, delle cronache riguardo il cyber-crime. La virulenza impressionate che li ha contraddistinti è stata possibile a causa del fatto che entrambi hanno sfruttato, tramite l'exploit kit Eternal Blue, una vulnerabilità presente nel protocollo SMBv1. Vulnerabilità che era stata risolta ben 2 mesi prima dell'inizio della diffusione di WannaCry: se si fosse proceduto  all'installazione massiccia della patch, WannaCry non avrebbe costituito uno dei più grossi attacchi ransomware della storia. 

Exploit kit e Brute-Force Attack sono solo alcuni tipi di attacco che un sistema può subire e i cui effetti possono essere molto gravi per aziende e utenti.

Abbiamo perciò ritenuto utile offrire gratuitamente un servizio di "Penetration test":  mettiamo a

mercoledì 19 luglio 2017

[STRONGBOX] Disponibile la nuova versione della App Strongbox Cloud 1.3 per iPhone e iPad


Strongbox è la soluzione di backup in cloud che ti libera da ogni preoccupazione, perché archivia e protegge i tuoi file dopo averli portati al sicuro in cloud. StrongBox permette di visualizzare e condividere i file archiviati nel cloud, da qualsiasi luogo, da qualsiasi browser e da qualsiasi device - anche dal tuo tablet o smartphone - attraverso l'app dedicata.
E' ora disponibile al download la nuova versione (1.3) della App StrongBox Cloud per iPad e iPhone. Sono state introdotte alcune novità e risolti alcuni bug. Così il tuo backup è sempre con te!

NOVITA' :

martedì 18 luglio 2017

La famiglia Cryptomix cresce ancora: ecco EXTE Ransomware


La famiglia Cryptomix è abbastanza florida: CryptoShield, il capostipite, conta ben 3 versioni. Revenge è stato abbandonato pochi mesi dopo la messa in distribuzione, ma solo perché è stato sostituito da MOLE. MOLE ha 2 versioni ad oggi entrambi decriptabili. Per questo il o i cyber-criminali dietro questo gruppo di ransomware stanno distribuendo due nuove versioni: uno è Azer (ne abbiamo già parlato qui) l'altro è stato individuato qualche giorno fa e si chiama Exte Cryptomix. 

Cambiamenti nella variante Exte Cryptomix.
Se, tendenzialmente, il meccanismo di criptazione non ha subito grandi modifiche tra una versione e

lunedì 17 luglio 2017

Varie campagne di spam stanno distribuendo il ransomware NemucodAES e il trojan Kovter. Fate attenzione!


Un ricercatore del SANS Insitute Internet Storm Center ha dato notizia di aver individuato circa 2 settimane fa un significativo incremento di campagne di email di spam finalizzate alla diffusione del ransomware NemucodAES e del trojan Kovter.

Queste campagne sono ancora in corso: attenzione a non aprire email dubbie o provenienti da mittenti sconosciute. Evitare sopratutto l'apertura di eventuali archivi allegati!

Le email di spam
Le email di spam sono di vario tipo: le prime individuate dal SANS Institute sono email di spam provenienti da un finto account mail di UPS (United Parcel Service), il famoso corriere espresso statunitense. Queste email contengono archivi .zip contenenti file javascript finalizzati al download

venerdì 14 luglio 2017

Eternal Blues: disponibile il tool per la verifica delle vulnerabilità sfruttate da EternalBlue.


Il ricercatore di sicurezza Elad Erez ha creato un tool, denominato Eternal Blues, che può essere usato dagli amministratori di sistema per verificare se i computer della propria rete siano o meno vulnerabili ad exploit con EternalBlue, l'exploit kit rubato all'NSA e responsabile delle infezioni di WannaCry, NotPetya e ormai una altra lunga lista di ransomware e malware minori. 

Nell'ambiente della sicurezza IT EternalBlue è considerato uno dei più potenti exploit mai visti: una prova della sua efficacia e della capacità di creare minacce virulente sono stati per l'appunto i due massivi attacchi con WannaCry e NotPetya. Come abbiamo già detto EternalBlue sfrutta la

giovedì 13 luglio 2017

[CASE STUDY] I dati sensibili di 14 milioni di utenti esposti sul web


Parliamo di un caso reale, perché nulla come la realtà può dare indicazioni rispetto alla crescente attenzione che è ormai d'obbligo riservare alla sicurezza dei dati e alla privacy dei clienti delle aziende (e non solo). 

I dati sensibili di circa 14 milioni di utenti Verizon sono stati esposti online fino a qualche giorno fa a causa del fatto che un contractor di terza parte ha dimenticato di limitare gli accessi esterni ad un server Amazon S3 che ospita un servizio di storage in cloud.

La scoperta è del gruppo di ricercatori di UpGuard, una compagnia di cyber-sicurezza che denuncia

mercoledì 12 luglio 2017

Esistono malware per Mac? Si e tra i più diffusi c'è un Miner di criptovalute


Il Mining di cripto-valute è ormai diffusissimo: in parole semplici si tratta di guadagnare Bitcoin o altri tipi di cripto-moneta per svolgere il compito di verificare che le transazioni avvengano in modo lecito e sicuro e per evitare la cosidetta "doppia spesa" (cioè che si possano usare gli stessi bitcoin per eseguire due diversi acquisti). Il termine "Mining" ( Miner indica invece il soggetto che esegue il compito di mining) significa letteralmente "estrazione", ma forse è fuorviante. I miner infatti mettono a disposizione la potenza di calcolo dei propri pc per eseguire i maxi calcoli