Bollettino Sicurezza 01/19

Anno nuovo, novità! Con uno spirito super collaborativo e propositivo mi accingo ad inaugurare il nuovo anno sul Blog con un nuovo e (spero) costante appuntamento che intendo proporre ogni 2 settimane. Tale appuntamento come riporta il titolo intende racchiudere in un unico articolo tutte le scoperte, segnalazioni e sviluppi che riscontro nella mia continua attività di ricerca e studio in ambito security IT, spero la cosa possa suscitare interesse e sia fonte di ispirazione e confronto su di una tematica quanto mai attuale.

  • Spyware per Android : si finge un’applicazione legittima.

Dopo qualche mese dalla mia ultima segnalazione sul tema (http://www.danielequattrini.eu/2018/12/14/app-android-viola-pay-pal) è emersa una serie di nuovi riscontri atti ad avvalorare la presenza di una vera e propria ondata di download/installazione, su oltre 100.000 dispositivi Android , di Applicazioni che, pur fingendosi legittime App scaricabili dal Play Store di Google , si rivelano invece veri e propri “spyware agents” che violano la privacy delle utenze su cui vengono installate. Tra le applicazioni riscontrate in tale situazione troviamo Flappy Birr Dog ,
FlashLight, HZPermis Pro Arabe, Win7imulator, Win7Launcher e Flappy Bird.

La minaccia è in grado di rubare numerosi informazioni tra cui localizzazione, messaggi SMS, Log delle chiamate, contenuto
della clipboard, lista contatti, file, lingua utilizzata e produttore del dispositivo; inoltre lo spyware si serve di Firebase Cloud Messaging per inviare tali informazioni al server di comando e controllo.

Da notare poi che, oltre a fungere da infostealer, il malware è anche in grado di ottenere credenziali tramite phishing, vale a dire mostrando falsi popup e form di login di popolari applicazioni come Facebook o Google. La maggior parte delle infezioni sono state registrate al momento in India, seguita a una certa distanza da Russia,Pakistan, Bangladesh, Indonesia, Brasile, Egitto, Ucraina, Turchia e USA. Anche se in misura più limitata, in totale lo spyware è riuscito ad infettare dispositivi in 196 paesi, inclusa l’Italia.

Al momento le contromisure da poter prendere per evitare di incappare in questo spiacevole raggiro sono :

  • Evitare le App note come compromesse e/o malevole ;
  • Ridurre sempre al minimo necessario l’accesso dell’App ai servizi del vostro apparato (tramite la sezione Privacy nelle Impostazioni) in particolare, se proprio non necessario evitare di concedere all’App di accedere a Contatti, Fotocamera, Localizzazione, Chiamate e Messaggistica.

  • Oggetto NRSMiner: nuova versione del miner di criptomoneta

Nell’ambito di oculate attività di studio e documentazione si è venuti a conoscenza di una nuova versione di NRSMiner, un miner di criptomoneta che frutta il noto exploit EternalBlue (CVE-2017-0143) per propagarsi nei sistemi vulnerabili. Facciamo un passo indietro e definiamo: che cosa è un miner di cryptovalute? A livello teorico il concetto può presentarsi abbastanza contorto, infatti la definizioni di miner (in italiano “Minatore”) è colui che, tramite una potente infrastruttura tecnologica hardware, verifica e funge da garante per le transazioni con moneta virtuale e l’immissione sul mercato di nuove monete (sempre virtuali). Faccio un esempio concreto ma che dovrebbe far capire il senso:

“Le classiche ripetizioni scolastiche che si prendono dalla figlia dell’amica della mamma quando si va male in Greco e Latino, ogni volta dopo le ripetizioni l’allievo paga in contanti la prestazione, raramente la controparte rilascia quietanza cartacea e tutto si conclude con una stretta di mano. Poniamo il caso che alla fine dell’ultima lezione Carlo abbia dato 30€ in contanti a Sofia, e nessuno oltre a loro due era presente alla scena. La settimana successiva, altra lezione e altro scambio di denaro, ma stavolta Sofia chiede a Carlo 60€ (30€ per la lezione conclusa e 30€ per quella della settimana precedente – magari anche in buona fede, ma non è detto), in questo caso Carlo dovrebbe accettare la cosa o creare un contenzioso. Caso differente invece sarebbe quello in cui oltre a Carlo, presenti alla lezione e allo scambio ci fossero anche Michele e Amelia, in questo caso, loro potrebbero regolarizzare la cosa in quanto essendo presenti ricorderebbero l’avvenuto pagamento.”

Ecco Michele e Amelia sono i “miner”. Tracciano la transazione e la rendono valida. Quando c’è uno scambio di cripto-valute questo viene notato dalla rete di minatori: i minatori hanno degli speciali computer che processano dei problemi matematici in maniera molto veloce. Lo scambio viene crittografato con un algoritmo che si chiama SHA-256.
Questo è un programma che prende una stringa o un testo e lo ricodifica utilizzando una serie alfanumerica particolare. Al codice della transazione ricodificato viene aggiunto un numero alla fine per rendere la crittografia molto più potente: “Alessia manda 2 bitcoin a Gianni” con SHA256 diventa “f975bc6e80440210b6f7f0d7c6678e7bda8706b92d26827455215a7d98e5388e”, questo numero che viene aggiunto al codice è un numero casuale che determina la codifica finale dello SHA256.
I computer dei minatori devono indovinare quel numero.

I computer speciali dei minatori per farlo inseriscono tantissimi numeri casuali per ottenere lo stesso SHA256. Chi trova per primo il numero lo comunica a tutti gli altri che registrano e confermano la transazione, in aggiunta a questo vengono assegnati come premio dei bitcoin.
Chi indovina prende n bitcoin.

Questa parte finale è quella che si ricollega all’articolo di partenza, il mining è diventato un vero e proprio lavoro, che consente al “miner” di accedere a un potenziale di guadagno molto elevato, ovviamente il rovescio della medaglia è composto dalla necessità di possedere un infrastruttura tecnologica con una potenza di calcolo devastante per poter competere con gli altri miner ed arrivare al premio, una potenza che raramente un individuo può permettersi in casa, non solo per il costo hardware ma anche per il dispendio energetico che questo consuma. Ecco quindi che il crimine informatico prende forma. NRSMiner è un particolare software che se installato nel PC infetto consente all’attaccante di prendere possesso del PC stesso in modo silente andando a sfruttare ogni sua singola risorsa per eseguire il mining di criptovalute, ovviamente all’insaputa del proprietario che noterà solamente un drastico calo delle performance della propria macchina.

Da notare che, oltre alla capacità di mining, NRSMiner possiede quella di scaricare dei moduli per aggiornare se stesso perciò gli operatori della minaccia potranno facilmente diffondere la nuova versione attraverso i sistemi già infetti. Il metodo di diffusione è a rete, quindi gli operatori della minaccia puntano ad infettare quanti più client possibili in modo da avere un vero e proprio esercito di risorse informatiche per fare mining ed arricchirsi a spese altrui.
La maggior parte delle infezioni sono state registrate per ora in Vietnam ma sono stati colpiti altri stati asiatici tra cui Giappone, Malesia, Cina e del Medio Oriente (Iran).

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *