Skygofree, spionaggio via mobile in stile hollywoodiano

Dal blog di Kaspersky LAB

La maggior parte dei Trojan hanno in comune più o meno le stesse caratteristiche: dopo essersi insinuati nel dispositivi, possono appropriarsi delle informazioni di pagamenti del proprietario, effettuare il mining di criptomonete al posto del cybercriminali oppure cifrano i dati e richiedono un riscatto. Tuttavia, alcuni Trojan posseggono capacità che ricordano film di spionaggio degni di Hollywood. Continua a leggere Skygofree, spionaggio via mobile in stile hollywoodiano

Kaspersky installazione automatica di pacchetti

Kaspersky Security Center è la console creata appositamente per semplificare tutte le operazioni di gestione che dovrebbe svolgere l’amministratore. Non si limita a gestire le funzionalità antimalware dei prodotti Kaspersky, ma mette a disposizione un’insieme di strumenti efficaci per gestire con facilità alcuni aspetti della struttura IT.

L’installazione automatica dei pacchetti sugli endpoint membri del gruppo è una di quelle funzionalità che va verso questa direzione.

La procedura è molto semplice, occorre prima di tutto creare un pacchetto di installazione.

Quando il pacchetto è pronto è sufficiente andare nelle proprietà del gruppo a cui desideriamo installare il pacchetto

Aprire la scheda: “Automatic installation” e selezionare i pacchetti che desideriamo distribuire

e premere OK per concludere la procedura.

Conclusa la procedura verrà creato un task specifico che installa su tutte le macchine del gruppo in automatico i pacchetti selezionati.

Su ogni nuovo endpoint che andremo a posizionare nel gruppo automaticamente verrà lanciato automaticamente il task, senza rischio di dimenticarne nessuno.

Argonavis è a vostra disposizione per fornirvi ulteriori informazioni su aspetti tecnici e commerciali, ed illustrarvi la convenienza nel proteggere i vostri sistemi con le tecnologie più efficaci.

Richiedi Informazioni

Bloccare l’esecuzione di eseguibili da dispositivi rimovibili con Kaspersky

I dispositivi rimovibili sono considerati da sempre una fonte di rischio di infezione da parte del malware.

Esiste anche un’altra situazione che si vorrebbe evitare, ovvero che l’utente possa eseguire delle applicazioni, magari in edizione portable e quindi in grado di aggirare una policy che vieta l’installazione di nuovo software, trasportate tramite chiavette USB.

Kaspersky ci mette a disposizione tramite il modulo Application Startup Control lo strumento per bloccare l’esecuzione di file .exe da dispositivi rimovibili.

Come primo passo dobbiamo creare una nuova Application Category nuova categoria

nuova categoria

nuova categoria
Volendo potremmo creare una esclusione per alcune applicazioni, in questo esempio andiamo ad inserire il file .exe di setup di Kaspersky Endpoint Security 10.

nuova categoria

Conclusa la creazione della categoria di software, possiamo creare una nuova regola su Application Startup Control.

Selezionato in Category, la nostra categoria appena creata, mettiamo in flag solo sulla voce: “Deny for other users”. In questa maniera, non avendo selezionato nessun utente a cui è permesso, la conseguenza sarà quella di impedire a tutti l’utilizzo di eseguibili dal dispositivo rimovibile. application startup control

Argonavis è a vostra disposizione per fornirvi ulteriori informazioni su aspetti tecnici e commerciali, ed illustrarvi la convenienza nel proteggere i vostri sistemi con le tecnologie più efficaci.

Richiedi Informazioni

Creare una regola per impedire l’avvio di applicazioni

Kaspersky Endpoint Security permette di specificare nella policy le applicazioni che si desidera non possano essere eseguite dagli endpoint.

Per poterlo fare è necessario definire una categoria a cui appartengono le applicazioni da bloccare. Il termine categoria in questo caso è scorretto perché all’interno di una categoria possono far parte anche diversi tipi di applicazione che non sono collegate da utilizzi similari.

In questo post analizziamo un caso concreto, il caso in cui su vuole evitare che l’esecuzione degli updater possa rendere non più funzionanti dei software scritti appositamente.

Il primo passo da compiere e creare una nuova categoria dal menu “Advanced” -> “Application category“, premendo sul tasto destro del mouse selezionare nel menu contestuale il menu “New” e selezionare “Category“.

creazione_categoria

In questo caso specifico possiamo scegliere una categoria predefinita già realizzata da Kaspersky, ma è possibile anche selezionare singolarmente dei file ed estrarne la caratterizzazione.

creazione_categoria

diamo un nome alla categoria che stiamo creando

creazione_categoria

premendo il pulsante Add, compare un menu che ci permette di scegliere la categoria

creazione_categoria

selezioniamo la categoria Trusted Updater, che contiene gli eseguibili responsabili degli aggiornamenti delle applicazioni lecite.

creazione_categoria

Concludiamo la creazione della categoria premendo il tasto Next

creazione_categoria

Conclusa la creazione di questa categoria, dobbiamo modificare la policy che si applica agli endpoint a cui vogliamo inibire l’aggiornamento automatico.

modifica_policy

Nella sezione “Application Startup Control” aggiungiamo una nuova regola, selezionando la categoria che abbiamo creato, senza specificare nessun utente e mettendo il flag su “Deny for other users“. In questo modo nessuno ha il permesso di eseguire le applicazioni che fanno parte della categoria.

creazione_categoria

Salvando la regola ci appare il messaggio di avviso che approvando la regola gli utenti non potranno eseguire le applicazioni contenute nella categoria.

modifica_policy

Terminata la procedura possiamo salvare la regola ed attendere che la policy venga applicata.

modifica_policy

StrongPity un attacco APT interessato all’Italia

Il ricercatore di Kaspersky Lab, Kurt Baumgartner, ha evidenziato in una ricerca una woodpicker pericolosa minaccia chiamata: StrongPity. Si tratta di un malware utilizzato per effettuare attacchi persistenti (APT), utilizzati per rubare dati confidenziali.

Il malware StrongPity viene distribuito tramite gli installar opportunamente modificati di due applicativi utilizzati per la crittografia: WinRAR e TrueCrypt. L’utente alla ricerca di uno di questi software, durante la ricerca potrebbe imbattersi in un sito da cui fare il download che presenta la versione di uno di questi software alterata.

Conclusa l’installazione l’applicazione binoculars scelta funziona regolarmente, purtroppo però entra in funzione anche il meccanismo di controllo del malware che permette ai criminali informatici di aver il controllo completo del sistema, permettendo di rubare i contenuti dei dischi e inviare al target dei moduli aggiuntivi del malware per ottenere informazioni mirate in base al sistema target.

Il malware è stato distribuito a partire da maggio 2016 da un sito italiano di distribuzione di WinRAR. In questo caso gli utenti non venivano reindirizzati ad un sito che proponeva una versione modificata, ma ottenevano direttamente l’installer dannoso StrongPity dal sito distributore. In alcuni casi erano presenti dei domini che invertivano alcuni caratteri e che conducevano a siti malevoli da cui scaricare l’applicazione modificata.

Questo malware era diretto in particolare contro gli utenti italiani, con l’87% delle infezioni a livello mondiale.

Questo genere di malware è particolarmente difficile da scoprire, la macchina infetta non mostra sintomi di infezione, l’obiettivo di un attacco APT e rubare i dati in maniera persistente e sempre più mirata.

I prodotti Kaspersky Lab individuano e rimuovono i componenti di StrongPity con i nomi: HEUR:Trojan.Win32.StrongPity.gen, Trojan.Win32.StrongPity.* ed altri nomi generici di infezione.

Richiedi Informazioni

Skygofree, spionaggio via mobile in stile hollywoodiano

Categorie