Aggiornamento sulla sicurezza del 03/05/2019

Aggiornamento sulla sicurezza del 03/05/2019

Consigli, avvisi, novità sui rischi connessi alla sicurezza informatica.

1.GandCrab 2.1: in diffusione un nuovo ransomware tramite email di spam.

Scoperta in the wild, quindi già in diffusione contro utenti reali, una nuova variante del noto ransomware GandCrab. Questo ransomware, ormai alla seconda versione, bersaglia sopratutto paesi anglofoni e scandinavi.

Viene diffuso principalmente attraverso email dannose: solitamente l'oggetto delle email fa riferimento a invio di documenti importanti, ricevute di pagamenti, ordini di vario tipo, ticket e buoni sconto ecc... Una tecnica pensata proprio per ingannare l'utente e convincerlo a scaricare l'archivio compresso. La criptazione avviene usando l'algoritmo di cifratura RSA, che non altera tutto il file, ma solo una parte, quella sufficiente a renderlo inutilizzabile dall'utente. Ogni file viene criptato utilizzando una chiave unica, il che rende molto molto difficile procedere alla decriptazione dei file stessi. I file criptati non vengono rinominati, ma il ransomware ne modifica l'estensione in .CRAB.

2.FacexWorm: il malware in diffusione su Facebook Messenger e Chrome

Gli utenti di Google Chrome, Facebook e tutti coloro che utilizzano cirptovalute devono prestare attenzione ad una nuova tipologia di malware chiamata FacexWorm: questo malware è specializzato nel furto di password, nel furto di criptovalute dai fondi delle vittime, nell'esecuzione di script per il mining e per un elevato livello di spam contro gli utenti Facebook.

La catena di infezione inizia solitamente quando un utente riceve link attraverso messaggi di spam su Facebook Messenger. Il clic su questo link conduce a una pagina web che imita Youtube: tramite alcuni avvisi questa falsa pagina Youtube prova a convincere gli utenti a installare una fantomatica estensione collegata a Youtube per Google Chrome. Questa estensione ha numerose funzioni dannose, ma la più grave è quella per la quale l'estensione aggiunge del codice al browser degli utenti per rubare le credenziali dai form di login. Le credenziali raccolte vengono quindi inviate ai server controllati dai cyber attaccanti.

3.Una analisi dell'infezione Dharma ransomware - Quick Heal Security Labs

Abbiamo notato una impennata improvvisa delle individuazioni del ransomware Dharma sui pc dei nostri utenti. Il Ransomware Dharma non è affatto nuovo e anzi, la prima versione, distinguibile dall'estensione ".dharma" è perfino risolvibile. Non lo è però la seconda versione in distribuzione, quella attuale, che cripta i file in ".arrow".

Il ransomware Dharma è diffuso principalmente attraverso due vettori: la porta RDP e altre forme di vettori. Il Remote Desktop Protocol (RDP) eseguito sulla porta 3389, viene solitamente bersagliato da un attacco di brute-forcing. Come risultato l'attaccante può riuscire ad ottenere l'accesso all'account Admin. Una volta ottenuti  i privilegi di admin, l'attaccante ha la capacità di eseguire qualsiasi tipo di attacco: in questo caso installa il ransomware Dharma. Nel secondo caso invece non conoscevamo la fonte di infezione, ma, una volta iniziato lo studio dell'infezione, abbiamo subito notato interessanti voci aggiunte al registro della vittima. Stiamo parlando di voci di registro aggiunte dagli attaccanti.

4. Necurs: la più grande SPAM botnet usa una tecnica che bypassa gli antivirus per diffondere malware.

Necurs è indubbiamente la botnet più estesa al mondo, composta da milioni di dispositivi infetti finiti sotto il suo controllo: ne abbiamo parlato spesso come "centro nevralgico" di attacchi spam, phishing e per la distribuzione di exploit e a malware di ogni tipo. Proprio in questi giorni ha subito un update: ha migliorato il proprio "equipaggiamento" e usa attualmente una nuova tecnica per infettare le vittime.

Proprio in questi giorni Necurs ha subito un update: ha migliorato il proprio "equipaggiamento" e usa una nuova tecnica per infettare le vittime. Questa tecnica consiste nell'invio di una mail ad una nuova, potenziale vittima con un file allegato: questo file, una volta estratto, contiene un altro file in formato .URL. Questo è un tipico file di collegamento che apre una pagina web direttamente nel browser invece che in una location in locale. La destinazione finale di questo link è un file script remoto che scarica e esegue automaticamente il payload finale. Il perchè dell'uso dei file .URL è semplice: una catena di infezione così semplice riesce ad evitare gli scanner antimalware che analizzano ogni singola email in cerca di link dannosi o allegati compromessi.

5. Curiosità: hackerato il sito della RedBull: 2 volte! (per colpa di Drupal)

Il sito della Redbull, produttrice del famosissimo drink energizzante, è stato recentemente attaccato da un gruppo di cyber attaccanti. Non sono stati fatti cambiamenti né sostituzioni nella pagina principale del sito, ma sono solo aggiunte alcune pagine prima inesistenti. Una di queste pagine dice "hacked by Prosox": questa breve rivendicazione è seguita da un link che conduce al profilo Twitter dell'hacker. 

Stando a varie fonti, sarebbero stati attaccati oltre 30 sottodomini Redbull: le indagini hanno rivelato che è stato usato uno script CMS e l'attacco è stato distribuito usando Drupal.Drupal, un popolare CMS open source, è sotto osservazione da qualche settimana a causa delle gravi vulnerabilità riscontrate e per l'impressionante serie di attacchi che stanno bersagliando da qualche settimana i siti gestiti con Drupal. La (prima) falla di sicurezza CRITICA riscontrata, Drupalgeddon2, ha permesso una lunghissima serie di attacchi contro siti gestiti con Drupal. Solo che, risolta la prima, è arrivata la seconda falla critica...