Informatica Generale, Microsoft, ransomware, Sicurezza Informatica

Sicurezza delle password: le nuove regole del NIST

Nel garantire la sicurezza delle password è un errore imporre all’utente la modifica periodica e di seguire specifiche regole di scrittura (del tipo “almeno una maiuscola e un numero”).
Lo sostiene l’ultima versione delle linee guida del NIST, ma le aziende italiane ancora ignorano queste utili raccomandazioni.

Cos’è il NIST .

Il NIST è il National Institute of Standards and Technology, un’ agenzia del governo degli Stati Uniti d’America che si occupa della gestione delle tecnologie e fa parte del DoC, Department of Commerce (Ministero del Commercio).
Nato nel 1901, ha come compito istituzionale quello di sviluppare standard tecnologici, in particolare pubblica i Federal Information Processing Standard (FIPS), che definiscono gli standard obbligatori del governo statunitense.


Ovviamente gli standard definiti dal NIST non sono cogenti in Europa, tuttavia per la loro autorevolezza sono considerati un punto di riferimento a livello mondiale.


Lo sono, per esempio, tutte le pubblicazioni FIPS che definiscono gli standard di crittografia il DES (Data Encryption Standard) e l’AES (Advanced Encryption Standard), e quelle che riguardano gli algoritmi di Hash.

Le nuove regole per le password sono nella serie NIST SP 800 , un insieme di documenti che descrivono le politiche, le procedure e le linee guida del governo federale degli Stati Uniti per i sistemi e le reti informatiche.

La regola, divenuta “universale”, di obbligare gli utenti a cambiare le proprie password ogni 3-6 mesi nasce proprio nel 2003 dal NIST: tra i consigli c’era quello di creare password con tutti i tipi caratteri e di cambiarle spesso. Considerata l’autorevolezza del NIST, il manuale venne adottato in tutto il mondo e le sue regole per creare password sicure sono rapidamente diventate uno standard, ma nel 2017 il NIST ha rivisto le proprie linee guida sulla gestione delle credenziali, rimuovendo la richiesta di cambio password periodico e aggiornando i requisiti di complessità. Questo è accaduto con la pubblicazione, a giugno 2017 dell’aggiornamento NIST SP 800-63 “Digital Identity Guidelines”.

Il NIST ritiene superate quelle regole indicate nel 2003, in virtù sopratutto dell’aumento della potenza di calcolo e dell’efficacia dei software di password cracking ora in circolazione.

Inoltre, come ben noto agli addetti ai lavori, la maggior parte delle persone tende ad usare sempre le stesse tecniche di creazione delle password, per esempio – la parola “password” viene modificata – abitualmente e con scarsa fantasia – in P@ssword, PASSWORD, passw0rd, P@$$w0rd e via dicendo.
Questo rappresenta un punto debole che i criminal hacker conoscono. E che sfruttano con algoritmi di password cracking che tengono specificamente conto delle cattive abitudini degli utenti.

La pubblicazione NIST SP 800-63 è costituita da 4 documenti, quello che riporta le linee guida più utili sull’uso pratico delle password è il NIST SP 800-63B “Digital Identity Guidelines – Authentication and Lifecycle Management”.

Il cambio di orientamento che troviamo in questo aggiornamento è notevole:

  • nel cap.5.1.1.2 “Memorized Secret Verifiers”, alla pagina 14 del documento citato, leggiamo che: “Verifiers should not require memorized secrets to be changed arbitrarily (e.g., periodically). However, verifiers shall force a change if there is evidence of compromise of the authenticator”.

Quindi, obbligare arbitrariamente le persone a cambiare periodicamente le password (definite “memorized secrets”) non è più considerata una pratica utile, anzi può portare l’utente ad utilizzare password banali per riuscire a ricordarle più facilmente.

In altre parole, le politiche di scadenza delle password fanno più male che bene, perché inducono gli utenti ad impostare password molto prevedibili e strettamente correlate tra loro: quindi la password successiva può essere dedotta sulla base della password precedente. Si aggiunge, tuttavia, che la password andrebbe comunque cambiata se c’è il sospetto o l’evidenza di una sua compromissione, anche perché le password, quando rubate, vengono sfruttate in tempi brevi: i cyber criminali usano quasi sempre le credenziali delle loro vittime non appena le compromettono.

La scadenza periodica della password è quindi una difesa solo contro la probabilità che una password venga rubata durante il suo intervallo di validità e venga utilizzata da un attaccante. Se una password non viene mai compromessa, non c’è bisogno di cambiarla, se si ha la prova – o il sospetto – che una password sia stata rubata, è opportuno che si agisca immediatamente piuttosto che aspettarne la scadenza per risolvere il problema.

Oggi, quindi, le linee guida più moderne suggeriscono di non obbligare l’utente a modificare frequentemente le password: tra i primi ad aver abbracciato questa impostazione c’è il National Cyber Security Centre (NCSC) della Gran Bretagna che ha aggiornato in tal senso la propria guida: “Password Guidance: Simplifying Your Approach”.

Anche Microsoft ha rinnovato la sua “Microsoft Password Guidance”, abbandonando la policy di scadenza delle password. Lo possiamo vedere nel documento rilasciato a maggio 2019 “Security baseline (FINAL) for Windows 10 v1903 and Windows Server v1903”.

Secondo quanto scritto in tale documento, Microsoft non raccomanderà più una policy che imponga agli utenti di cambiare periodicamente le loro password. E lo motiva con gli stessi argomenti usati dal NIST: “Quando gli esseri umani sono costretti a cambiare le loro password, troppo spesso fanno una piccola e prevedibile alterazione delle password esistenti e/o dimenticano le nuove password”.

Purtroppo, queste regole non sono state invece recepite dalla grande maggioranza delle aziende e dei siti – soprattutto quelli italiani, compresi i siti bancari – che continuano ad imporre il cambio periodico della password.

Nei paragrafi successivi vengono indicate altre utili linee guida, improntate al buon senso ed alla praticità d’uso.

  • La lunghezza minima per la password dovrebbe essere di almeno 8 caratteri, ma deve essere consentita una lunghezza massima di almeno 64 caratteri. E tutti i caratteri ASCII (RFC 20) dovrebbero essere accettati. È imbarazzante vedere ancora oggi molti siti che impongono lunghezze massime risibili e che addirittura non accettano i caratteri speciali. Questa limitazione, da considerarsi non più accettabile, è spesso causata dall’utilizzo di sistemi “legacy” che non permettono l’uso di password più lunghe di 8 caratteri e/o non accettano i caratteri speciali (o ne accettano solo alcuni).
  • Non dovrebbero essere imposte “regole di composizione”, come quelle che richiedono, per esempio, “un numero ed un carattere speciale”. È noto, infatti che in questi casi il pattern statisticamente più utilizzato dagli utenti è: maiuscola all’inizio, numeri e caratteri speciali in fondo. Questo serve solo a dare indicazioni all’attaccante che potrà limitare il numero di tentativi, concentrando l’attacco brute force sulle password più probabilmente usate dagli utenti.
  • Anche l’imposizione delle famigerate domande di sicurezza è deprecata dal NIST, che invita a non richiederle. Tali domande (dette “hint”, suggerimento) sono in genere di questo tipo:
Il nome del tuo primo animale?
La tua squadra del cuore?

Le risposte saranno molto banali e chi ci conosce potrebbe facilmente indovinarle.

  • Altra utile indicazione del NIST è che: “I verificatori dovrebbero consentire ai richiedenti di utilizzare la funzionalità di “incolla” quando si inserisce una password”. Questo facilita anche l’uso dei gestori di password (i password manager), che sono ampiamente consigliati e che aumentano la probabilità che gli utenti scelgano password più forti.
  • Ovviamente è anche consigliata l’autenticazione a due fattori, per la quale vengono esaminate le varie modalità disponibili. Per maggior sicurezza – e nella logica dell’autenticazione multi-fattore – lo smartphone deve essere preventivamente attivato da “qualcosa che sai” (una password di sblocco) oppure da “qualcosa che sei” (l’impronta digitale, la faccia ecc.).

Quest’ultimo non è un passaggio da sottovalutare e ci fa capire perché, con l’entrata in vigore della Direttiva (UE) 2015/2366 nota come PSD2 (recepita dall’Italia con il D.lgs. 15 dicembre 2017, n. 218), non sono più ammessi i token hardware (quelle chiavette in plastica che generavano un codice a 6 numeri) per l’autenticazione nei siti bancari: erano dispositivi non sicuri, perché potevano essere attivati senza alcun codice di sicurezza. Quindi in caso di furto o smarrimento, chiunque avrebbe potuto utilizzarli.

Informatica Generale, Microsoft, ransomware, Sicurezza Informatica

Nuova truffa “Microsoft like”

E’ in atto una nuova ondata di truffe ai danni di utenti che, navigando su normali web-site, si trovano improvvisamente davanti ad un messaggio di Warning all’apparenza proveniente da Microsoft:


“Security warning: Il tuo computer è stato bloccato. Errore #DW6VB36. Per favore chiamaci immediatamente al numero +39 0694804XXX. Non ignorare questo avviso critico. Se chiudi questa pagina, l’accesso del tuo computer sarà disattivato per impedire ulteriori danni alla nostra rete. Il tuo computer ci ha avvisato di essere stato infestato con virus e spyware. Sono state rubate le seguenti informazioni: Accesso Facebook, Dettagli carta di credito, Accesso account e-mail, Foto conservate su questo computer.
Devi contattarci immediatamente in modo che i nostri ingegneri possano illustrarti il processo di rimozione per via telefonica. Per favore chiamaci entro i prossimi 5 minuti per impedire che il tuo computer venga disattivato. Chiama per ricevere supporto: +390694804XXX.”


Falsi avvisi di questo tipo sono apparsi anche in passato e sotto altre forme. 
E’ importante sottolineare che a fronte della visualizzazione del messaggio non vi è alcun furto di dati personali né infezione da virus. Chiudendo la navigazione, infatti, il computer continua a funzionare normalmente.
Chiamando, invece, il numero indicato e seguendo le istruzioni telefoniche del presunto operatore, il computer viene messo disposizione del truffatore tramite assistenza remota consentendogli, in questo modo, di installare programmi illeciti e virus.
Il costo dell’intervento per il finto “sblocco” ammonta intorno ad un centinaio di euro.


La Polizia Postale e delle Comunicazioni raccomanda di ignorare avvisi di questo tipo anche quando esercitano una forte pressione psicologica. Se avvisi di questo tipo si ripetono costantemente, è opportuno effettuare una scansione con un antivirus aggiornato per rimuovere un eventuale malware pubblicitario (adware).
Infine, è sempre necessario installare un antivirus ed aggiornarlo costantemente su tutti i dispositivi. 
E’ bene ricordare che quando la rete presenta una situazione inaspettata, è sempre necessario documentarsi prima di prendere ogni decisione.

A disposizione per qualsiasi richiesta o chiarimento.

Informatica Generale, ransomware, Recensioni, Sicurezza Informatica

Yoroi rende disponibile al pubblico ‘Yomi’

Una delle aziende con cui collaboro ormai da diversi anni e che ho scelto come partner aziendale in ambito security è Yoroi: azienda italiana con sede a Cesena è senza dubbio fiore all’occhiello d’eccellenza in ambito di Cyber Security in Italia.

Yoroi ha recentemente deciso di rendere gratuitamente pubblico ‘Yomi, uno dei suoi innovativi e potenti strumenti atti a rilevare, analizzare e bloccare i software dannosi. Come dice il nome, “Yomi: The Malware Hunter“, è infatti una piattaforma online per la rilevazione e la gestione in sicurezza di malware informatici.; basato su tecnologia open source italiana da oggi può essere usata anche dai singoli individui, gratuitamente.

Ma che cos’è Yomi?

Già soprannominata dalla stampa come “Il cimitero dei virus” all’epoca del suo lancio in versione beta, la piattaforma Yomi, ulteriormente perfezionata, è una pagina web in grado di “digerire” e detonare nel suo recinto di sabbia (sandbox) documenti dannosi, file eseguibili, installatori e script senza alcun pericolo. La “detonazione” avviene infatti in una maniera controllata, registrando il comportamento di ogni file potenzialmente dannoso dentro un ambiente personalizzato e progettato per sconfiggere le tecniche di evasione più avanzate messe in atto da chi diffonde il malware.

Detto in parole povere, se ci ritroviamo un file sospetto e vogliamo verificarlo, possiamo caricarlo gratuitamente dentro Yomi che lo “eseguirà” in una zona protetta e restituirà in output un report dettagliato sul tipo di minaccia e il suo comportamento.

“Compito di Yomi è di contribuire a rendere il cyberspace più sicuro per tutti – ha detto Marco Ramilli di Yoroi -, e per questo ne facciamo dono alla comunità italiana di info-security.”

Il malware rappresenta un potente strumento per il cybercrime in tutto il mondo e, con oltre 856 milioni di campioni identificati durante l’ultimo anno è, senza dubbio, uno dei principali tipi di minaccia che aziende e organizzazioni affrontano ogni giorno per gestire la propria attività con grande impegno di tempo, risorse e denaro, mettendo a rischio la propria reputazione e gli asset dei loro clienti.

Le minacce malware hanno sviluppato in questi anni la capacità di eludere ogni rilevamento, scavalcando le barriere di sicurezza e rimanendo in silenzio fino a scatenare il loro potenziale malevolo, consentendo ad hacker malvagi, cyber-criminali e spie di rubare segreti, dati, beni digitali e denaro, compromettendo processi aziendali e persino vite umane quando colpiscono le infrastrutture critiche. Per divertimento e profitto.

Per tutti questi motivi ‘Yomi’ è il contributo italiano alla battaglia contro il malware dedicato ai professionisti della sicurezza, alle comunità di intelligence, ai CERT e ai CSIRT che vorranno usarlo.

Il software di Yomi è in grado di condurre un’analisi multilivello sui software malevoli: statica, dinamica e comportamentale, per aiutare gli analisti umani a comprendere la dinamica dell’esecuzione del codice dannoso risparmiando tempo e denaro, può analizzare una grande varietà di tipi di file, per ogni tipo di esigenza, sia privata che aziendale, per realtà di piccole e di grandi dimensioni, compresi i pericoli che preoccupano di più i gli utenti comuni e che derivano dal trattamento di documenti PDF, Office, Powerpoint, Word o Excel, anche nei formati compressi.

Yomi è anche capace di ispezionare gli indirizzi e i domini di rete e presenta funzionalità di analisi SSL, per consentire ai cacciatori di malware di riconoscere le minacce nascoste che sfruttano la protezione crittografica.

La piattaforma creata da Yoroi presenta diverse caratteristiche innovative nel panorama dell’analisi delle minacce informatiche. Mentre è possibile condividere con la comunità le proprie scoperte ‘Yomi’ rende anche possibile decidere – per questioni di privacy o di segretezza – di richiedere report privati per i campioni analizzati attraverso la sua piattaforma.

Per provare “Yomi: The Malware Hunter” clicca qui.

Oppure contattami pure per una demo-training sul suo utilizzo.

Bollettino Sicurezza, ransomware, Sicurezza Informatica

Bollettino di sicurezza 04/19

Proseguono le attività di Spamming a scopo estorsivo.

“Ciao Xx X, Ti scrivo perché ho installato un malware sul sito web pornografico che hai visitato. Il mio virus ha preso le tue informazioni personali e ha acceso la tua fotocamera che ti ha ripreso; se non paghi 580,00 € in Bitcoin diffonderò il video ai tuti i tuoi contatti….”

Si presenta all’incirca così il messaggio di spam che viene recapitato, nell’ambito del nuovo fenomeno di “estorsione”, perpetrato attraverso il massivo invio di email a ignari malcapitati, e finalizzato a infondere panico ed indurre a pagare in cryptovaluta il prezzo della “non pubblicazione del video”.

Si tratta di “fake porn extortion e-mail” ed è una trovata che nell’ultimo anno ha portato ad arricchirsi svariati hacker del deep-web.

Chiaramente i criminali non hanno nulla in mano ma fanno leva sulla costante paura che tutti abbiamo di essere realmente spiati e quindi è assolutamente consigliato di cestinare la mail senza cedere alla richiesta e senza nemmeno interagire con la mail (si cederebbero all’attaccante delle informazioni di ritorno come IP, server di uscita, ecc). La cose da fare, prettamente a titolo cautelativo resta comunque il cambio della password per accedere alla Posta Elettronica e se possibile abilitare un meccanismo di doppia autenticazione.

Gootkit : campagna di diffusione del Trojan tramite finta mail I.N.A.I.L.

E’ in corso una campagna di malspam perpetrata attraverso l’invio di Posta Elettronica Certificata e avente come oggetto “I.N.A.I.L.. Comunica XXXXXXXX” o ”Tribunale di Napoli Procedura esecutiva immobiliare nr xx/xxx” . Lo scopo dei cybercriminali è quello di “inoculare” nel dispositivo dei malcapitati il trojan horse Gootkit; ciò avviene dopo l’apertura, da parte del destinatario della PEC, dell’allegato in formato PDF presente nella stessa.

Articolo correlato Gootkit

Campagna di Phishing “Fake Bartolini”

In questi giorni potrebbe giungere sul vostro smartphone una comunicazione, tramite email o SMS, da parte dell’azienda Bartolini – Corriere espresso S.p.A..: nel testo del messaggio si invita il cliente a cliccare su dei link “fasulli”. L’azienda, con un comunicato sul proprio sito, si dissocia da tale attività e sta valutando le opportune azioni legali da mettere in atto.

Evitate quindi di cliccare sul link proposto e assolutamente non fornite informazioni personali, benchè meno IBAN o Carte di Credito.

Informatica Generale, Microsoft, ransomware, Sicurezza Informatica

Vulnerabilità 0-day su sistemi Microsoft Windows

Nell’ottica di garantire un servizio di informazione reattivo e sicuro mi preme riferire relativamente alla recente scoperta di una importante vulnerabilità all’interno dei moderni sistemi operativi Microsoft Windows. La criticità è nota con l’identificativo CVE-2019-0797.

La problematica è originata da degli errori di gestione degli oggetti in memoria del componente Win32k che un attaccante, con accesso locale alla macchina, può sfruttare al fine di ottenere privilegi amministrativi su di essa, prendendone in completo controllo ed evadendo restrizioni e policy di sicurezza. Un cosiddetto attacco di “privilege-escalation“.

La vulnerabilità è stata ribattezzata “The fourth horseman” (il quarto cavaliere) per via del fatto che è la quarta vulnerabilità di privilege escalation scoperta nell’ultimo anno su Microsoft Windows.

Ricercatori di terze parti hanno rilevato lo sfruttamento di questa vulnerabilità in recenti attacchi ai danni di sistemi operativi Windows 10, operati da parte di attori malevoli attivi nell’area Mediorientale e Asiatica.

Questo il loro rimando tecnico dettagliato

Microsoft è corso subito ai ripari ammettendo la problematica e confermandola attraverso un apposito bollettino di sicurezza, ove risultano afflitte le versioni 32 e 64 bit di Microsoft Windows Server 2012, 2012 R2, 2016, 2019, Microsoft Windows 8.1 e 10, anche per architetture ARM64.

Per via dei correnti abusi registrati in-the-wild e del rischio di ulteriori sfruttamenti anche in scenari di attacco basati su malware, mi sento di suggerire la pianificazione e l’applicazione del pacchetto di sicurezza “March 2019 Security Updates”, rilasciato da Microsoft in questi giorni, all’interno del Vostro parco macchine Microsoft Windows.

Come al solito sono a disposizione per ulteriori chiarimenti o perplessità.

Bollettino Sicurezza, Microsoft, ransomware, Sicurezza Informatica

BOLLETTINO DI SICUREZZA 03/19

Vulnerabilità 0-Day in Google Chrome

Numerose le segnalazioni degne di nota per il mese di Marzo, partiamo dal rilevamento di numerosi PDF che sfruttano una vulnerabilità 0-day di Google Chrome. La falla in questione permette di tracciare gli utenti e, nel caso la vittima usi Chrome come lettore PDF, esfiltrare informazioni quali IP pubblico, versione del sistema operativo e l’intero percorso del PDF sul PC dell’utente. Il comportamento malevolo, infatti, non si verifica utilizzando altri strumenti per PDF come Adobe Reader, ma solo ed esclusivamente con Chrome PDF Viewer. Sebbene sembra che i primi attacchi risalgano all’ottobre 2017 e che Google sia stata avvertita lo scorso dicembre, la patch per la vulnerabilità dovrebbe arrivare solo il prossimo aprile.

Tentativo di frode a nome Alitalia

Proseguiamo con la scoperta della diffusione di una campagna di phishing che ha interessato un account di Alitalia lo scorso Mercoledì 27 Febbraio. In data 27/02/2019, alle ore 10:31, è stato segnalato un caso di phishing avente come mittente una casella di posta elettronica Alitalia, appartenente al Com. Marco Massone (marco.massone@alitalia.com). Dalla suddetta email sono state inviate circa 3.213 singole email, ciascuna con 98 destinatari diversi, per un totale di 300.000 singoli indirizzi email. In aggiunta, in alcuni casi sono stati utilizzati dei gruppi di distribuzione, con ulteriore fattore moltiplicativo. La maggioranza delle email hanno destinatari esterni, un insieme ridotto è stato indirizzato a destinatari Alitalia. Tuttavia alcune email sono state inviate a gruppi di distribuzione CRM, con conseguente diffusione massiva. Prestate quindi attenzione se avete ricevuto una insolita mail dalla compagnia aerea, si tratta di malware.

Pacha Group : nuovi attacchi.

Riemerge anche l’attore cyber crime noto come Pacha Group, probabilmente localizzato in Cina, che pare stia distribuendo un miner per sistemi Linux chiamato Antd.

Antd – esito di un riuso parziale di codice del miner XMRig per Monero – è noto almeno dal settembre 2018 e si presenta come una minaccia piuttosto sofisticata; la variante distribuita in questo caso ha ricevuto il nome GreedyAntd. La catena d’infezione è avviata con la compromissione di un server vulnerabile esposto online; si ipotizzano attacchi di brute forcing o l’impiego di exploit contro servizi come WordPress, PhpMyAdmin o JBOSS. In seguito viene scaricato ed eseguito il payload di primo livello che garantisce la persistenza nei sistemi, termina eventuali altri miner e scarica, talvolta via proxy, ulteriori componenti. Questi ultimi vanno a costituire una struttura modulare piuttosto articolata mirata ad eludere l’analisi dinamica. L’analisi dei server che ospitano GreedyAntd ha consentito di scoprire su un server di terze parti compromesso anche una componente irrelata rispetto a questa operazione che viene sfruttata per scaricare una configurazione di xmr-stak json. Questo codice sembra realizzato mediante riuso di codice di HelloBot, un bot di origine cinese scoperto nel gennaio 2019.

QakBot, distribuzione Trojan attraverso One Drive

Nell’ultimo mese è stata diffusa una variante del Trojan QakBot diffuso tramite mail. L’infezione è stata originata dalla seguente URL :

https://onedrive[.]live[.]com/redir?resid=234C9055AF39ACB4%211859&authkey=%21AII Tn9Z_vwswsP8&page=Download

Il trojan ha la capacità di:

  • annullare tentativi di disinfezione da parte della client AntiVirus;
  • autenticarsi in locale con le credenziali dell’Amministratore di Dominio;
  • bloccare in breve tempo molteplici account, forzando tramite scripting gli accessi;
  • effettuare dei movimenti laterali.

Prestare estrema attenzione ai link che si cliccano nelle e-mail in quanto veicolo usato per diffondere malware.

Vulnerabilità in Win Rar

La già nota vulnerabilità degli archivi WinRAR CVE-2018-20250 continua ad essere sfruttata da attori diversi, fra cui vi sono anche alcuni APT. L’exploit viene generalmente utilizzato dagli attaccanti nelle prime fasi della compromissione. In alcuni dei casi analizzati, i file all’interno dell’archivio malevolo – che comprendono numerose immagini per adulti – non possono essere visualizzati in anteprima, così i target sono costretti a decomprimerlo e ne vengono infettati. Dopo lo sfruttamento della vulnerabilità, viene impiegata una back-door scritta in C#, che si presenta come OfficeUpdateService.exe, per la gestione delle minacce da remoto e per la sottrazione di informazioni. In altre situazioni il WinRAR contiene diversi PDF sul tema delle offerte di lavoro in Arabia Saudita; in questo caso le macchine sono infettate dopo l’exploit con uno script VBS e poi viene eseguita direttamente in memoria (tecnica “fileless”) una backdoor PowerShell. Il terzo scenario rilevato consiste nell’uso di un archivio ACE protetto da password, il cui filename è in cirillico; poiché la password risulta ignota, gli analisti non sono stati in grado di analizzarne il contenuto.

Il consiglio è di evitare l’apertura di archivi, in quanto essendo occultato il contenuto, l’utente deve per forza eseguire l’apertura, compromettendosi.

Informatica Generale, Microsoft, ransomware, Sicurezza Informatica

Occhio alle mail DHL, sono vettori di LokiBot

Nel corso delle attività di routine volte allo studio e all’analisi del traffico mail e delle evoluzioni tecnologiche nel cybercrime, è stata recentemente rilevata una campagna di phishing tesa a diffondere il pericoloso trojan noto come LokiBot.

LokiBot, è un trojan bancario, nato per i dispositivi mobili, con anche funzionalità di ransomware, nella seconda metà del 2018 la sua pericolosità è aumentata in quanto si sono manifestate infezioni e propagazioni anche in ambiente Windows, quindi l’habitat di propagazione della minaccia si è esteso ai PC.

In maniera analoga ad altri trojan del settore, come BankBot, LokiBot prende di mira un gran numero di applicazioni bancarie, mostrando all’utente false schermate di login mediante le quali cattura le credenziali di autenticazione e le invia ai server C&C controllati dai cybercriminali, è in grado di “falsificare” più di 100 app bancarie, oltre ad alcune app di ampia diffusione quali Facebook, Messenger, Google Play Games, Microsoft Outlook, PayPal, Skype, WhatsApp e Viber.

Le caratteristiche sono piuttosto comuni e già viste in altri trojan bancari, oltre ad alcune specifiche di questa nuova famiglia.

Questo malware è infatti in grado di:

  • Aprire un browser mobile, caricare un URL specifico e installare un proxy SOCKS5 mediante il quale redirigere il traffico di rete in uscita (analogamente a SockBot);
  • Rispondere automaticamente agli SMS e inviare SMS di spam a tutti i contatti della vittima allo scopo di diffondere l’infezione;
  • Mostrare false notifiche apparentemente provenienti da app legittime. (Quest’ultima funzione consente al malware di indurre l’utente ad aprire l’app della propria banca facendogli credere, ad esempio, di aver ricevuto un accredito sul proprio conto corrente. Quando l’utente apre la notifica, LokiBot mostra la falsa schermata per l’inserimento delle credenziali)

La diffusione rilevata avviene tramite false notifiche DHL in lingua inglese. Con sofisticate tecniche di ingegneria sociale, gli attaccanti cercano di indurre le vittime a cliccare su un link presente nel corpo del testo che rinvia ad un’immagine sfocata. Se l’utente fa doppio click sull’immagine (quasi un riflesso incondizionato quando si vuole ingrandire una foto), si avvia il download di un archivio .iso contenente un file eseguibile. Questo procede al lancio del software legittimo di Windows “RegAsm.exe” dentro il quale verrà poi iniettato il codice di LokiBot.

regasm.exe

Lo strumento di registrazione di assembly legge i metadati all’interno di un assembly e aggiunge al Registro di sistema le voci necessarie per consentire ai client COM di creare classi di .NET Framework in modo trasparente. (fonte Microsoft)

Lo scopo principale della minaccia è quello di esfiltrare password dai più popolari browser (Explorer, Firefox, Chrome, Opera, Safari, Yandex ecc), da client mail (Outlook, Thunderbird, ecc) e client FTP (BlazeFTP, ClassicFTP, FileZille ecc).

Vi invito quindi a fare estrema attenzione alle e-mail provenienti da mittenti DHL o altri vettori / corrieri, aprendo gli allegati solo ed esclusivamente se si è certi della provenienza.

Nel prossimo articolo riprenderò il tema dell’ingegneria sociale applicata al cybercrime.

Informatica Generale, online, privacy, ransomware, Sicurezza Informatica

Cambiate le Password, c’è Collection#1

Cambiate tutte le vostre password», Non è una minaccia ma un vero e proprio avvertimento che rimbalza da un paese all’altro dopo la notizia del furto di dati più grande mai messo a segno nella storia di internet. Si chiama Collection #1 e proprio il suo nome fa temere che non sia finita qua.

Il bottino degli hacker è di 773 milioni di indirizzi web e 22 milioni di password uniche. Secondo l’Agi, il primo a darne notizia su Twitter è stato un esperto italiano di cybersecurity, ma a scoprire l’archivio è stato Troy Hunt, il ricercatore informatico autore del sito “Have I been pwned” con cui si può verificare se i propri account sono stati compromessi. (ecco il link https://haveibeenpwned.com/)


Collection #1 è una sorta di elenco del telefono, una ‘master list’ degli hacker, con dati rubati a milioni di utenti. Si tratta di un enorme database da oltre 87 GigaByte con più di 12.000 file. In realtà i numeri riportati da Hunt sul proprio sito non rappresentano la reale portata del fenomeno, visto che sono stati ripuliti da doppioni e file inutilizzabili. I dati grezzi parlano di circa 2,7 miliardi di indirizzi mail e password, fra cui un miliardo di e-mail e relativi password combinati. Questa lunghissima lista, come ha spiegato lo stesso Troy Hunt, nasce dall’unione di elenchi minori ed è stata resa disponibile da sconosciuti tramite il sito di file sharing Mega.

Sembra una collezione completamente casuale di siti, fatta esclusivamente per massimizzare il numero di credenziali accessibili agli hacker. Non c’è uno schema, solo la ricerca di massima esposizione. La notizia riaccende l’allarme sulla necessità di cambiare le password delle proprie caselle di posta elettronica con una certa frequenza. Anche perché il nome stesso, Collection #1, potrebbe far pensare a nuovi ‘elenchi del telefono per hacker’ in un prossimo futuro.

Informatica Generale, ransomware, Sicurezza Informatica

Ave Maria : nuova famiglia di Infostealer

Si è chiusa di recente una ricerca approfondita, partita a metà dicembre, che ha portato alla luce una nuova famiglia di infostealer che è stata battezzata “Ave Maria”.

infostealer

è un particolare tipo di Trojan Virus che ruba le informazioni contenute sui computer compromessi in cui viene eseguito e provvede a comunicarli all’esterno.

Si è manifestato con una campagna a pioggia di tipo crime che, tra gli altri target, avrebbe colpito anche in Italia.
La minaccia in questione deriva dal trojan bancario TinyNuke, a sua volta variante di NukeBot.

Le email distribuite dagli attaccanti – che si spacciano per conferme di spedizioni o richieste di pagamento – contengono in allegato un Excel con l’exploit per la vulnerabilità Microsoft Office CVE-2017-11882 (vulnerabilità della memoria corrotta).
Dopo che le vittime hanno aperto il documento viene scaricato un archivio zippato (.rar) auto estraente che contiene file con estensioni fuorivianti; fra di essi vi sono un AutoIt interpreter, uno script AutoIt offuscato e un ICM che contiene il payload finale e le sue configurazioni.

Lo script dispone di tecniche per l’elusione della detection e ha il compito di decriptare ed eseguire il payload finale che si trova all’interno dell’ICM.
Il payload, una volta iniettato in un processo .NET legittimo, procede con la connessione al C&C.

AVE_MARIA dispone di un’utility per aggirare lo User Access Control; inoltre, sfrutta una vulnerabilità del tool Windows pkgmgr.exe per scalare i privilegi nei sistemi.

Può sottrarre le credenziali dei client mail come Microsoft Exchange e Outlook e Mozilla Thunderbird, ma anche di browser come Firefox e Chrome; i dati raccolti vengono cifrati con PK11.
Ulteriori analisi hanno permesso di rilevare all’interno dell’infrastruttura degli attaccanti l’utilizzo di IP mobile nigeriani per ospitare sistemi di comando e controllo.

Informatica Generale, Linux, ransomware, Sicurezza Informatica

Malware su Mac : i riscontri

Alzino la mano tutti quelli che almeno una volta hanno sentito dire : “Beh con il Mac, non prendi i Virus”!
Beh se a me avessero dato 1€ ogni volta che ho sentito questa frase, oggi sarei ricco.
Duole infrangere questa miliare certezza su cui molti consumatori fondavano il dispiacere di dover spendere cifre astronomiche per comprarsi il sottile Pc con la mela.


Seppur benfatto macOS è un sistema operativo come un altro, è solo strutturato in modo più sicuro, ma ha anch’esso le sue debolezze.

Nell’ambito di una recente ricerca che ho condotto e approfondito ho rilevato riscontri circa la scoperta riguardante un malware per sistemi macOS distribuito mediante un sedicente programma per “crack” di Adobe Zii (suite Adobe per MAC), al momento riscontrato in due casi simili.

Ma facciamo un passo indietro, l’affermazione di inzio articolo è vera?
La risposta è No. O meglio, non è propriamente esatta, ma l’argomentazione è abbastanza strutturata e merita approfondimento:

OS X è un sistema operativo Unix-Based (bastao su Unix), tali sistemi risultano essere molto più sicuri dei sistemi Windows per la loro logica di permessi associata agli utenti.

Nei sistemi Unix-Based, ad ogni file o cartella (anche se la definizione di cartella in ambito unix non è corretta) possono essere associati 3 tipi di permessi (e la loro relativa negazione):

– Lettura: indicata con una “r”;
– Scrittura: indicata con una “w”;
– Esecuzione: indicata con una “x”.

La presenza o meno della “lettera” identificativa associa il relativo permesso. A questo va aggiunto il concetto della tripletta “UGO“: User, Group, Other.

Cerchiamo di comprenderlo con un esempio:

Il file daniele.txt presenta i seguenti campi.

Campo 1: Serve al sistema per capire se sia un File o una Directory
Campo 2: Permessi assegnati al proprietario del file
Campo 3: Permessi assegnati al gruppo (cui potranno far parte più utenti)
Campo 4: Permessi assegnati a tutti gli altri

Nel nostro esempio, sappiano che: si tratta di un file (1) , il proprietario può leggere e modificare il file (dan rw-) , gli utenti appartenenti allo stesso gruppo e tutti gli altri utenti (che non fanno parte del gruppo “staff”) possono solamente leggerlo.

Compreso questo concetto sui file, lo estendiamo a tutto il sistema operativo. Quando avviamo la prima volta il sistema operativo, andremo a creare un nostro primo utente, per definizione, questo utente sarà anche amministratore del sistema e questo vuol dire che l’utente appena creato avrà anche i permessi di modificarne i file.
Non trattandosi, però, dell’utente “root“ (super-user), il sistema richiederà di inserire la password utente per consolidare eventuali modifiche.
L’esempio più lampante della necessità di inserire la password è sicuramente Preferenze di Sistema : alcune aree, lo avrete notate, hanno un “lucchetto” che deve essere sbloccato inserendo la password.
Questo perché le modifiche avranno effetto sull’intero sistema.

Un sistema operativo Unix-Based, infatti, non permette di modificare elementi che abbiano effetti sull’intero sistema operativo, senza averne i privilegi. Questi privilegi vengono controllati inserendo, appunto, la password.

Ora che abbiamo compreso come lavora il nostro Mac, almeno se con informazioni minimali, possiamo anche capire come rispondere alla domanda iniziale: il Mac prende virus?

La risposta è Si, se l’utente non fa attenzione.

Il virus è un programma. Un programma deve essere eseguito: non importa cosa esso faccia, quando il virus viene eseguito, se va ad intaccare componenti di sistema operativo, OS X richiederà la password dell’utente amministratore.
Alcuni malware non intaccano tutto il sistema operativo: in questo caso, purtroppo, non verrà richiesta nessuna password, in quanto siamo già autenticati per poter lavorare su tutti i file ed impostazioni afferenti al nostro utente.

Fatto questo doveroso escursus torniamo ai due casi di malware su macOS riscontrati:

Nel primo caso si tratta di un documento *.docm (file di Word con Macro) che si presenta come testo estratto da un “BitcoinMagazine”. Le macro malevole ivi contenute sono capaci di aggirare le restrizioni delle sandobox di macOS e di scaricare mediante uno script in Python una backdoor Meterpreter.

L’altro caso riguarda un’applicazione che si spaccia per un Messenger adottato da giocatori online, chiamato Discord. Di fatto l’applicazione non fa nulla per trarre in inganno le vittime; una volta aperta, avvia lo script Automator che decodifica un payload in Python capace di rubare screenshot. Nel suo codice è contenuto anche il setup della backdoor Empyre.
Tutti e tre i malware presentano alcune similitudini nel codice che tuttavia non sono sufficienti a sostenere un’attribuzione comune.

  1. Quando lanciate un programma, e questo vi chiede la password, fate sempre attenzione prima di inserirla e chiedetevi se effettivamente deve avere effetto o no su tutto il sistema;
  2. Create un secondo utente, senza privilegi di amministratore, con cui lavorare normalmente: se il virus chiederà la password, voi non potrete installarlo. Inoltre, se non dovesse chiedere la password, i danni li farà unicamente su questo utente. Basterà loggarsi con utente amministratore ed eliminare l’utente e la sua home directory;
  3. Fate attenzione cosa scaricate e da dove: conosciamo bene quali siti siano sicuri e quali meno;
  4. Attenzione alle mail: molti virus si propagano proprio tramite mail. Controllate sempre il mittente ed eventuali link (basta un semplice copia e incolla su un file di testo per vedere l’URL che richiamerà);
  5. Attivate Time Machine: male che vada potrete tornare indietro all’ultimo backup utile.

Come sempre, basta un pò di accortezza nelle cose e si eviteranno molti problemi.

Come al solito a disposizione per ogni possibile dubbio o approfonidimento.