Bollettino Sicurezza, ransomware, Sicurezza Informatica

Bollettino di sicurezza 04/19

Proseguono le attività di Spamming a scopo estorsivo.

“Ciao Xx X, Ti scrivo perché ho installato un malware sul sito web pornografico che hai visitato. Il mio virus ha preso le tue informazioni personali e ha acceso la tua fotocamera che ti ha ripreso; se non paghi 580,00 € in Bitcoin diffonderò il video ai tuti i tuoi contatti….”

Si presenta all’incirca così il messaggio di spam che viene recapitato, nell’ambito del nuovo fenomeno di “estorsione”, perpetrato attraverso il massivo invio di email a ignari malcapitati, e finalizzato a infondere panico ed indurre a pagare in cryptovaluta il prezzo della “non pubblicazione del video”.

Si tratta di “fake porn extortion e-mail” ed è una trovata che nell’ultimo anno ha portato ad arricchirsi svariati hacker del deep-web.

Chiaramente i criminali non hanno nulla in mano ma fanno leva sulla costante paura che tutti abbiamo di essere realmente spiati e quindi è assolutamente consigliato di cestinare la mail senza cedere alla richiesta e senza nemmeno interagire con la mail (si cederebbero all’attaccante delle informazioni di ritorno come IP, server di uscita, ecc). La cose da fare, prettamente a titolo cautelativo resta comunque il cambio della password per accedere alla Posta Elettronica e se possibile abilitare un meccanismo di doppia autenticazione.

Gootkit : campagna di diffusione del Trojan tramite finta mail I.N.A.I.L.

E’ in corso una campagna di malspam perpetrata attraverso l’invio di Posta Elettronica Certificata e avente come oggetto “I.N.A.I.L.. Comunica XXXXXXXX” o ”Tribunale di Napoli Procedura esecutiva immobiliare nr xx/xxx” . Lo scopo dei cybercriminali è quello di “inoculare” nel dispositivo dei malcapitati il trojan horse Gootkit; ciò avviene dopo l’apertura, da parte del destinatario della PEC, dell’allegato in formato PDF presente nella stessa.

Articolo correlato Gootkit

Campagna di Phishing “Fake Bartolini”

In questi giorni potrebbe giungere sul vostro smartphone una comunicazione, tramite email o SMS, da parte dell’azienda Bartolini – Corriere espresso S.p.A..: nel testo del messaggio si invita il cliente a cliccare su dei link “fasulli”. L’azienda, con un comunicato sul proprio sito, si dissocia da tale attività e sta valutando le opportune azioni legali da mettere in atto.

Evitate quindi di cliccare sul link proposto e assolutamente non fornite informazioni personali, benchè meno IBAN o Carte di Credito.

Bollettino Sicurezza, Microsoft, ransomware, Sicurezza Informatica

BOLLETTINO DI SICUREZZA 03/19

Vulnerabilità 0-Day in Google Chrome

Numerose le segnalazioni degne di nota per il mese di Marzo, partiamo dal rilevamento di numerosi PDF che sfruttano una vulnerabilità 0-day di Google Chrome. La falla in questione permette di tracciare gli utenti e, nel caso la vittima usi Chrome come lettore PDF, esfiltrare informazioni quali IP pubblico, versione del sistema operativo e l’intero percorso del PDF sul PC dell’utente. Il comportamento malevolo, infatti, non si verifica utilizzando altri strumenti per PDF come Adobe Reader, ma solo ed esclusivamente con Chrome PDF Viewer. Sebbene sembra che i primi attacchi risalgano all’ottobre 2017 e che Google sia stata avvertita lo scorso dicembre, la patch per la vulnerabilità dovrebbe arrivare solo il prossimo aprile.

Tentativo di frode a nome Alitalia

Proseguiamo con la scoperta della diffusione di una campagna di phishing che ha interessato un account di Alitalia lo scorso Mercoledì 27 Febbraio. In data 27/02/2019, alle ore 10:31, è stato segnalato un caso di phishing avente come mittente una casella di posta elettronica Alitalia, appartenente al Com. Marco Massone (marco.massone@alitalia.com). Dalla suddetta email sono state inviate circa 3.213 singole email, ciascuna con 98 destinatari diversi, per un totale di 300.000 singoli indirizzi email. In aggiunta, in alcuni casi sono stati utilizzati dei gruppi di distribuzione, con ulteriore fattore moltiplicativo. La maggioranza delle email hanno destinatari esterni, un insieme ridotto è stato indirizzato a destinatari Alitalia. Tuttavia alcune email sono state inviate a gruppi di distribuzione CRM, con conseguente diffusione massiva. Prestate quindi attenzione se avete ricevuto una insolita mail dalla compagnia aerea, si tratta di malware.

Pacha Group : nuovi attacchi.

Riemerge anche l’attore cyber crime noto come Pacha Group, probabilmente localizzato in Cina, che pare stia distribuendo un miner per sistemi Linux chiamato Antd.

Antd – esito di un riuso parziale di codice del miner XMRig per Monero – è noto almeno dal settembre 2018 e si presenta come una minaccia piuttosto sofisticata; la variante distribuita in questo caso ha ricevuto il nome GreedyAntd. La catena d’infezione è avviata con la compromissione di un server vulnerabile esposto online; si ipotizzano attacchi di brute forcing o l’impiego di exploit contro servizi come WordPress, PhpMyAdmin o JBOSS. In seguito viene scaricato ed eseguito il payload di primo livello che garantisce la persistenza nei sistemi, termina eventuali altri miner e scarica, talvolta via proxy, ulteriori componenti. Questi ultimi vanno a costituire una struttura modulare piuttosto articolata mirata ad eludere l’analisi dinamica. L’analisi dei server che ospitano GreedyAntd ha consentito di scoprire su un server di terze parti compromesso anche una componente irrelata rispetto a questa operazione che viene sfruttata per scaricare una configurazione di xmr-stak json. Questo codice sembra realizzato mediante riuso di codice di HelloBot, un bot di origine cinese scoperto nel gennaio 2019.

QakBot, distribuzione Trojan attraverso One Drive

Nell’ultimo mese è stata diffusa una variante del Trojan QakBot diffuso tramite mail. L’infezione è stata originata dalla seguente URL :

https://onedrive[.]live[.]com/redir?resid=234C9055AF39ACB4%211859&authkey=%21AII Tn9Z_vwswsP8&page=Download

Il trojan ha la capacità di:

  • annullare tentativi di disinfezione da parte della client AntiVirus;
  • autenticarsi in locale con le credenziali dell’Amministratore di Dominio;
  • bloccare in breve tempo molteplici account, forzando tramite scripting gli accessi;
  • effettuare dei movimenti laterali.

Prestare estrema attenzione ai link che si cliccano nelle e-mail in quanto veicolo usato per diffondere malware.

Vulnerabilità in Win Rar

La già nota vulnerabilità degli archivi WinRAR CVE-2018-20250 continua ad essere sfruttata da attori diversi, fra cui vi sono anche alcuni APT. L’exploit viene generalmente utilizzato dagli attaccanti nelle prime fasi della compromissione. In alcuni dei casi analizzati, i file all’interno dell’archivio malevolo – che comprendono numerose immagini per adulti – non possono essere visualizzati in anteprima, così i target sono costretti a decomprimerlo e ne vengono infettati. Dopo lo sfruttamento della vulnerabilità, viene impiegata una back-door scritta in C#, che si presenta come OfficeUpdateService.exe, per la gestione delle minacce da remoto e per la sottrazione di informazioni. In altre situazioni il WinRAR contiene diversi PDF sul tema delle offerte di lavoro in Arabia Saudita; in questo caso le macchine sono infettate dopo l’exploit con uno script VBS e poi viene eseguita direttamente in memoria (tecnica “fileless”) una backdoor PowerShell. Il terzo scenario rilevato consiste nell’uso di un archivio ACE protetto da password, il cui filename è in cirillico; poiché la password risulta ignota, gli analisti non sono stati in grado di analizzarne il contenuto.

Il consiglio è di evitare l’apertura di archivi, in quanto essendo occultato il contenuto, l’utente deve per forza eseguire l’apertura, compromettendosi.