Skygofree, spionaggio via mobile in stile hollywoodiano

Dal blog di Kaspersky LAB

La maggior parte dei Trojan hanno in comune più o meno le stesse caratteristiche: dopo essersi insinuati nel dispositivi, possono appropriarsi delle informazioni di pagamenti del proprietario, effettuare il mining di criptomonete al posto del cybercriminali oppure cifrano i dati e richiedono un riscatto. Tuttavia, alcuni Trojan posseggono capacità che ricordano film di spionaggio degni di Hollywood.

Di recente abbiamo scoperto proprio un Trojan appartenente a questo genere, dal nome Skygofree (che non ha nulla a che fare con il servizio Sky Go, il nome del Trojan fa riferimento a uno dei domini utilizzati). Skygofree ha un sacco di funzionalità, alcune delle quali non sono facili da trovare altrove; ad esempio, può rintracciare l’ubicazione di un dispositivo su cui è installato e attivare la registrazione audio quando il proprietario del dispositivo si trova in un determinato luogo. In pratica, ciò vuol dire che i cybercriminali possono ascoltare ciò che succede, ad esempio, quando la vittima si trova in ufficio o a casa del proprio capo.

Un’altra tecnica interessante impiegata da Skygofree è la connessione (senza che l’utente se ne accorga) dello smartphone o del tablet infetto a una rete Wi-Fi controllata dai cybercriminali, anche quando il proprietario ha disattivato le connessioni Wi-Fi sul dispositivo. In questo modo i cybercriminali possono raccogliere e analizzare il traffico della vittima. In poche parole, possono sapere esattamente quali siti sono stati visitati dall’utente vittima, cosi come le sue credenziali di accesso, password e numeri di carte di credito.

Il malware possiede anche un paio di funzionalità che gli consentono di operare in modalità standby. Ad esempio, l’ultima versione di Android può fermare automaticamente i processi non attivi per risparmiare batteria; tuttavia, Skygofree è in grado di superare questo ostacolo inviando notificazioni di sistema. Inoltre, su una delle marche più famose di smartphone dove sooo le app preferite sono disponibili quando lo schermo è spento, Skygofree si aggiunge automaticamente alla lista delle app preferite.

Il malware può monitorare app popolari quali Facebook Messenger, Skype, Viber e Whatsapp. A proposito di quest’ultima, gli sviluppatori sono stati piuttosto abili: il Trojan legge i messaggi Whatsapp mediante i servizi di accessibilità. In un altro articolo abbiamo spiegato in che modo i cybercriminalii impieghino questo strumento rivolto a non vedenti e non udenti per controllare i dispositivi infetti. Si tratta di una sorta di “occhio digitale” che legge ciò che c’è sullo schermo e, nel caso di Skygofree, raccoglie i messaggi Whatsapp. L’uso dei servizi di accessibilità richiede l’autorizzazione dell’utente ma il malware nasconde questa autorizzazione all’interno di altre richieste apparentemente innocenti.

Infine, ultimo ma non meno importante, Skygofree può attivare segretamente la fotocamera frontale e scattare una foto dell’utente quando sblocca il dispositivo, immagini che i cybercriminali possono utilizzare chissà in quanti modi.

Comunque sia questo Trojan, pur essendo innovativo in certi aspetti, possiede anche funzionalità classiche: ad esempio, può intercettare chiamate, SMS, annotazioni sul calendario e altri dati dell’utente.

La promessa di un Internet più veloce

Da poco abbiamo scoperto Skygofree, a fine 2017, ma dalle nostre analisi è emerso che i cybercriminali se ne servono già dal 2014. Durante gli ultimi tre anni si è evoluto da un malware come gli altri a un spywall articolato e multifunzione.

Il malware si diffonde mediante siti falsi di compagnie telefoniche per dispositivi mobili: Skygofree si spaccia per un aggiornamento in grado di aumentare la velocità di Internet sul telefono. Se l’utente abbocca e scarica il Trojan, appare una notifica in cui si avvisa che la configurazione delle impostazioni è in corso, nel frattempo il Trojan si nasconde agli occhi delll’utente e richiede ulteriori istruzioni al command server. A seconda della risposta, si scaricano diversi palyload (i cybercriminali hanno una soluzione per ogni evenienza).

Prevenire è meglio che curare

Fino a ora, il nostro servizio di protezione su cloud ha individuato solo poche infezioni, tutte nel nostro paese; ma ciò non vuol dire che gli utenti di altri paesi possano abbassare la guardia, i cybercriminali possono decidere di cambiare obiettivo in qualsiasi momento. La buona notizia è che, anche in questo caso, potete proteggervi seguendo queste semplici indicazioni:

1. Installate app solo dagli store ufficiali. Meglio disattivare l’opzione che consente di installare app da terze parti, basta entrare nelle impostazioni dello smartphone;

2. Se avete dei dubbi, meglio non scaricare nulla. Prestate attenzione a errori di ortografia nei nomi delle app, se l’app ha un numero esiguo di download o se richiede autorizzazioni sospette;

3. Installate una soluzione di sicurezza affidabile, come Kaspersky Internet Security for Android. Proteggerà i vostri dispositivi da app e file dannosi, siti Internet sospetti e link pericolosi. Con la versione gratuita la scansione deve essere avviata manualmente, nella versione a pagamento la scansione è automatica.

4. Per gli utenti business consigliamo l’uso di Kaspersky Security for Mobile (componente di Kaspersky Endpoint Security for Business) per la protezione di smartphone e tablet usati dai dipendenti.

Rilasciato LibraESVA 4.3.0

E’ stata rilasciata la versione 4.3.0 di LibraESVA, in questa release sono presenti correzioni a problemi noti e nuove funzionalità.
Tutti i clienti LibraESVA sono incoraggiati a procedere con l’aggiornamento.

Logo_Esva

Nuove funzionalità/Cambiamenti

  • Web interface improvements, new dialogs and buttons, clear the browser cache completely
  • Threat Analysis Portal: you can analyze threat analysis data from your Esva Appliances by registering them on tap.esvalabs.com. Just go to tap.esvalabs.com, create an account and follow the instructions. The service is free for all Libra Esva customers
  • QuickSand: added a new option to Disarm external links contained in PDF files
  • QuickSand: added support for RTF documents
  • Office365 and Google Apps integration: ip classes for outgoing email are automatically updated by ESVA
  • SPF: it is now possible to whitelist a domain (it will skip SPF validation)
  • Whaling Plugin: external email addresses are now allowed if DKIM-validated
  • Email Continuity: now you can reply to an email directly from the web interface
  • Full support for DMARC validation
  • Message list: new symbols for incoming and outgoing messages
  • Login to the web interface can now be restricted to authorized networks only. Different settings for admins, domain admins and users are supported
  • Quarantine Settings: most of quarantine settings are now customizable for each domain
  • New Quarantine Action “Release” in addition to “Release & Whitelist”
  • Inbound signatures are now customizable for each domain
  • Rules to inspect the content of the archives can now be set for a single email address (it was configurable only for the domain)
  • Rules to allow encrypted archives can now be set for a single email address (it was configurable only for the domain)
  • Dynamic Verification Cache can be resetted by pressing the “Rebuild all” button in the “domain relay” configuration page
  • When releasing an email users are now required to enter a reason, which is logged in the audit log
  • Users can teach Antispam from outside Safe Learn Networks if they have the Passwordless Authentication Cookie
  • Syslog; you can now enable additional logging of email subject, spam report for clean messages, filenames allowed by filename rules and filenames allowed by filetype rules
  • LocalRBL improvements: you can fine tune the behavior of the RBL by defining the percentage of spam/threat messages needed in order to blacklist the sender
  • Footer links to blacklist the source now require an user confirmation
  • It is possible to have different antispoofing configurations for some email addresses. Just enter a single email address in the relay table and set it’s antispoofing configuration
  • Strictier TLS: some weak chipers are not accepted anymore on SMTP protocol encryption
  • Improved LDAP Import to prevent duplicated users
  • Extended APIs for domain configuration
  • Passwordless authentication: added new API to generate the password authentication Link
  • Additional events added to the Audit Log
  • License calculation improvement

BUG Fixes

  • Disabling TLS for Mail Encryption was not possible
  • Remote syslog configuration didn’t perform as expected in some cases involving distributed setup and cluster
  • Some encrypted archives where corrupted by QuickSand
  • External SmartHost configuration: changing the IP address when credentials were already configured didn’t work as expected
  • Digest Report in Outlook Web Access had some rendering issues
  • User List: search functions for muti-domain admins had some bugs
  • Quarantine Report: after restoring Esva configuration from a Backup File some links in the report were not correct
  • When “Users can change their own Spam Settings” was set to “No” users couldn’t also change their own properties, now they can.
  • SNMP Configuration now is applied correctly on both nodes of the cluster
  • When uploading a new license, Avira signatures had to be downloaded again, now they are retained
  • Distributed Search now fully supports wildcard searches
  • Distributed Search now correctly displays Smtp Reject reasons
  • SMTP Policy Quota now is correctly replicated during cluster wizard
  • Search: when email contained more than 3 recipients a search for one recipient didn’t always return all the emails
  • Quarantine Report generation sometimes was delayed in respect to the configured time

argonavislab

I tecnici certificati su LibraESVA di Argonavis sono a tua disposizione per darti supporto tecnico o commerciale su LibraESVA

Rilasciato LibraESVA 4.2

E’ stata rilasciata la versione 4.2.0 di LibraESVA, in questa release sono presenti correzioni a problemi noti e nuove funzionalità.
Tutti i clienti LibraESVA sono incoraggiati a procedere con l’aggiornamento.

Logo_Esva

Problemi noti corretti

  • Distribuited Search: gli spazi finali vengono correttamente tagliati
  • Corretti degli errori sui report schedulati per Domain Admins e Multi Domain Admins
  • DKIM: corretti alcuni problemi della configurazione su caratteri non ammessi nel nome di dominio e sul percorso non valido.
  • Delivery Information adesso riportano correttamente tutti i destinatari
  • Content Filtering Rules: corretto un errore con gli operatori “equals” e “matched regular expression”
  • Reports: corretto un problema sul filtro “Message Already Released”
  • URLSandbox: whitelisting adesso funziona anche se Phishing Highlight è disablitato
  • Dictionary Rules: Corretto un problema con FromOrTo da default su regole multiple
  • Corretto un problema sulla modifica del corpo del messaggio in “User Management –> Text Import”
  • Migliorata l’affidabilità della funzionalità di esportazione
  • LDAP Global Filter ora sono applicabili anche all’autenticazione
  • Corretto un problema su “Disarm Web Bug” inline pixel
  • Migliorata l’elaborazione di TNEF (winmail.dat)

Nuove funzionalità/Cambiamenti

  • Aggiunta nella Dashboard la mappa mondiale della provenienza delle minacce
  • Aggiunta in Message Details la mappa visuale con il percorso compiuto dal messaggio
  • Aggiunta la prevenzione al Whaling Phishing
  • Aggiunta la possibilità di personalizzare i messaggi e Whitelisting per QuickSand
  • Quarantine Report è accessibile anche da utenti senza password tramite l’autenticazione sicura fatta tramite cookie
  • Molti altri piccoli miglioramenti di sicurezza al comportamento di tutti i motori di scansione
  • Il controllo all’interno degli archivi gestisce più formati come: .7z, .B64, .BZ, .BZ2, .CAB, .GZ, .MIM, .TAR, .TAZ, .TBZ, .TBZ2, .TGZ, .TZ, .UUE, .XZ, .Z
  • Il riavvio non è più richiesto al caricamento della licenza se la licenza non era ancora scaduta
  • Migliorata la ricerca dei messaggi: Aggiunta la possibilità di cercare una parte di stringa per mittenti e destinatari e mostrare l’hostname in smtp rejected messages
  • Molti miglioramenti nelle API
  • Migliorata la grafica del Quarantine Report per i dispositivi mobili
  • Reports: aggiunti nuovi filtri temporali ed il supporto agli operatori logici (and/or) fra filtri
  • Domain tags su Domain Relay per semplificare la ricerca ed aggiornamenti massivi
  • Più interfacce ethernet supportate dall’interfaccia web
  • Migliorata l’importazione tramite CSV di White/Black List
  • Migliorato il conteggio delle licenze (con assegnazione manuale degli alias)
  • La richiesta di rilascio di un messaggio un quarantena può essere notificata all’amministrazione di dominio

NOTE: Questo aggiornamento richiede alcuni minuti per essere completato e richiede il riavvio del sistema. E’ raccomandato effettuare uno snapshot prima di iniziare l’aggiornamento.

L’aggiornamento è scaricabile all’indirizzo: http://docs.libraesva.com/download/libra-esva-4-1-0-0-to-4-2-0-0-upgrade-script/

argonavislab

I tecnici certificati su LibraESVA di Argonavis sono a tua disposizione per darti supporto tecnico o commerciale su LibraESVA

Distribuire la patch per risolvere CVE-2017-0143 tramite Kaspersky Security Center

A seguito dell’ampia diffusione della notizia dei danni provocati dal ransomware WannaCry gli utenti Windows hanno iniziato ad installare la patch per risolvere la vulnerabilità.

Kaspersky Security Center ha uno strumento per installare la patch in maniera automatizzata utilizzando la seguente procedura:

  1. Scaricare l’aggiornamento dal sito Microsoft
  2. Creare una cartella temporanea e copiare il file *.msu scaricato nel passo precendente
  3. Nella cartella temporanea creare un file .bat ed inserire il seguente comando:

wusa.exe %updatename%.msu /quiet /warnrestart

Sostituire %updatename% con il nome esatto del file scaricato (differente per ogni versione di sistema operativo).

Il comando esegue l’installazione silenziosa dell’aggiornamento ed al termine richiederà il riavvio. Non è possibile evitare il riavvio al termine dell’installazione.

Al posto del parametro warnrestart è possibile indicare forcerestart, in quel caso il sistema verrà riavviato immediatemente senza consenso dell’utente (parametro utile nelle postazioni non presidiate).

Nota: Non ci sono conseguenze negative nell’esecuzione del comando su un computer in cui l’aggiornamento era già stato installato.

  1. In Kaspersky Security Center, menu Advanced → Remote installation → Installation packages. Premere su Create installation package.
  2. In “New Package Wizard”, selezionare Create installation package for specified executable file.

Image: create the installation package

  1. Creare il pacchetto di installazione con il file .bat. Selezionare Copy entire folder to the installation package per includere il file .msu.
  2. Installare il pacchetto sui computer avendo cura di sceglierli in base al sistema operativo per cui è stata creata la patch.

Ransomware Wannacry e patch management

Nelle ultime ore si sta diffondendo un nuovo tipo di ransomware chiamato con il nome di Wannacry, non mi soffermerò a descrivere il suo comportamento visto che è comune alla propria specie: effettua la crittografia usando l’algoritmo di cifratura AES e richiede un riscatto in bitcoin, ma per la sua caratteristica di colpire sfruttando delle vulnerabilità del software.

Da tempo avevamo previsto che il ransomware sarebbe potuto mutarsi in virus e puntualmente è accaduto. Wannacry verrà ricordato come l’inizio di una nuova era nell’epoca del Cyber Crime.

Fin’ora avevamo sempre visto che l’innesco di una infezione di ransomware era legata ad un comportamento poco accorto di qualche utente: un allegato ad un messaggio di posta aperto, l’apertura di un link in un messaggio di posta elettronica, la visita ad un sito web pericoloso o comunque che avesse già subito un attacco informatico.

Wannacry invece supera questi schemi noti ed inaugura la stagione dei “virus” ransomware, la cui caratteristica è quella di diffondersi in modo automatico ovvero utilizzando anziché un vettore di penetrazione legato all’incapacità umana di comprendere la pericolosità delle proprie azioni, un vettore di penetrazione legato alle vulnerabilità del software installato.

Le vittime scelte da Wannacry, che al momento ha colpito in particolare in Russia, ma anche in Italia (che guida la particolare classifica europea delle vittime di questo ransomware) hanno un elemento in comune, non avevano installato una patch di Microsoft per i propri sistemi operativi, rilasciata nel bollettino di marzo Microsoft Security Bulletin MS17-010 – Critical

Il risultato è stato che gli attaccanti hanno potuto colpire tutti coloro che non si erano “protetti” installando tempestivamente l’aggiornamento.

Questo nuovo tipo di diffusione della minaccia, deve spingerci a far evolvere la nostra strategia di difesa. La sola protezione perimetrale era già stata superata dalla mobilità dei dispositivi, le tecniche di protezione degli endpoint (anche le più sofisticate che fanno uso di machine learning e riconoscimento delle applicazioni) non sono più efficaci se non impariamo a tenere aggiornato dal punto di vista della sicurezza i nostri software.

Per tutti coloro che ancora non sono stati infettati si suggerisce di verificare ed installare il prima possibile la patch di sicurezza, mentre per le vittime non resta che ripristinare un backup o pagare il riscatto in bitcoin.

Fra le dotazioni minime di protezione informatica in azienda, oltre ai già diffusi Firewall (UTM) e Anti Malware installati sugli endpoint, dobbiamo prevedere sistemi di gestione automatiche delle Patch per evitare che minacce di questo genere possano colpirci.

Aggiornamento del 15/05/2017: Vista la particolare gravità della situazione Microsoft ha deciso di distribuire un aggiornamento (disponibile a questo indirizzo: http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598) per risolvere la vulnerabilità anche per i sistemi operativi Windows XP e Windows 2003 il cui supporto era stato interrotto.