Komplex un nuovo malware per OS X

E’ stato individuato un nuovo malware costruito per colpire sistemi OS X e chiamato Komplex (Trojan.OSX.Sofacy.gen dal motore anti-malware Kaspersky per MAC)

Il malware è della famiglia dei Trojan, sembra essere legato al gruppo Sofacy, un gruppo di Cyber Spionaggio responsabile anche della recente diffusione di dati che proverebbero il ricorso al doping degli atleti americani impegnati alle olimpiadi provenienti dai server dell’agenzia internazionale per la lotta al doping, è stato costruito per sferrare attacchi mirati, rubando informazioni ed eseguendo comandi arbitrari sulla macchina infettata.

Il malware effettua dei controlli ed implementa tecniche di evasione dall’analisi euristica ed è in di accorgersi se viene eseguito in una sandbox.

Sofacy_1-500x391

Komplex scarica un’altro componente “dropper” e lo posiziona nella cartella “/tmp/content” (SHA256: 96a19a90caa41406b632a2046f3a39b5579fbf730aca2357f84bf23f2cbc1fd3).
Il componente “dropper” a sua volta installa in maniera persistente, inserendolo fra le applicazioni eseguite all’avvio del sistema operativo un terzo componente eseguibile reperibile nella cartella “/Users/<nome_utente>/.local/kextd” (SHA256:
227b7fe495ad9951aebf0aae3c317c1ac526cdd255953f111341b0b11be3bbc5), assieme ad un file di tipo plist posizionato in “/Users/<nome_utente>/com.apple.updates.plist”  (SHA256:
1f22e8f489abff004a3c47210a9642798e1c53efc9d6f333a1072af4b11d71ef) ed uno script che si occupa della persistenza del malware “/Users/<nome_utente>/start.sh” (SHA256:
d494e9f885ad2d6a2686424843142ddc680bb5485414023976b4d15e3b6be800).

Come già avvenuto in passato il vettore di penetrazione sfruttato da questo malware è la posta elettronica.

Il messaggio virato contiene un solo allegato in forma di pacchetto eseguibile che a sua volta contiene il codice cifrato del malware, gli script e un documento in formato PDF.

Quando viene aperto l’allegato, il codice del malware carica e apre un documento PDF. L’utente ritiene che il risultato della sua operazione sia congruo, si aspettava di aprire un allegato e così è stato, non immaginando che invece ha installato un malware sul proprio sistema.

Questo genere di malware, il trojan è molto insidioso, il sistema vittima di questo attacco non ha una sintomatologia che gli permetta di capire che è stato attaccato, tuttavia questi malware lasciano delle porte aperte ai criminali che sono riusciti ad installarlo.

Tramite il server Command & Control possono rubare dati presenti sul sistema e scaricare file aggiuntivi sulla macchina in modo da poter eseguire comandi di shell arbitrari, il cui risultato viene inviato come risposta al server C&C

La prevenzione in questi casi è fondamentale, sono necessari un ottimo sistema antispam ed un ottimo antimalware.

Logo_Esva

LibraESVA è fra i migliori antispam, grazie al sistema di filtraggio basato su 14 stadi di scansione, i 3 motori antimalware disponibili, il sistema sandbox per l’analisi dei collegamenti è in grado di filtrare il 99,97% dei messaggi di spam, con un tasso di falsi positivi quasi assenti.

kaspersky-logo

Kaspersky Endpoint Security for Business è disponibile anche per sistemi MAC, ed è già in grado di bloccare questa minaccia. Logiche commerciali hanno trasmesso il concetto che i sistemi OS X fossero esclusi dalla minaccia dei malware, purtroppo la realtà è differente, pur non essendo diffusi come per altre piattaforme, i malware esistono anche per OS X, proteggersi è una reale esigenza.

argonavislabArgonavis è a vostra disposizione per fornirvi ulteriori informazioni su aspetti tecnici e commerciali, ed illustrarvi la convenienza nel proteggere i vostri sistemi con le tecnologie più efficaci.

Richiedi Informazioni

 

30 Settembre 2016

Arrestato gruppo criminale Lurk, autore di Angler Kit

All’inizio del mese di giugno una importante organizzazione di criminali informatici, chiamata Lurk, è stata arrestata dalle forze dell’ordine russe.

Il gruppo Lurk era specializzato in frodi online con software Remote Banking Service e sofisticati meccanismi di furto, sempre rivolte verso il settore bancario. Lurk è anche l’autore di Angler Kit, di cui avevamo già parlato Angler: un kit di exploit utilizzato anche per la diffusione di ransomware e della sua grandissima diffusione.

Si ritiene che Angler Kit non sia stato creato con l’intenzione di essere ridistribuito, ma doveva rimanere riservato per permettere al gruppo di effettuare le loro frodi, tuttavia a partire dal 2013 Angler è stato uno dei malware più distribuiti secondo la filosofia “Malware as a Service”, ovvero viene reso disponibile, pronto per l’utilizzo ad altri gruppi di criminali informatici in cambio di una sottoscrizione o di una percentuale dei proventi delle truffe effettutate.

Secondo Ruslan Stoyanov di Kaspersky Lab la scelta di cambio di strategia fatta dal gruppo Lurk, di espandere il business di questo kit di malware è dipesa dalla necessità di dover guadagnare molti più soldi per pagare una struttura molto complessa.

“Crediamo che la decisione del gruppo Lurk di concedere l’accesso ad Angler sia in parte dovuta alla necessità di pagare le fatture. Dal momento in cui Angler ha iniziato a essere dato in concessione, la profittabilità del business principale del gruppo – le rapine informatiche alle aziende – ha iniziato a calare a causa di una serie di misure di sicurezza implementate dagli sviluppatori software dei sistemi bancari remoti, che rendevano il furto molto più difficile per gli hacker. Tuttavia, all’epoca Lurk aveva un’imponente infrastruttura di rete e moltissimi membri dello “staff”…e tutto doveva essere pagato. Hanno quindi deciso di espandere il proprio business e per certi versi ci sono riusciti. Mentre il trojan bancario Lurk rappresentava una minaccia solo per le organizzazioni russe, Angler è stato utilizzato per attacchi agli utenti di tutto il mondo”, ha spiegato Ruslan Stoyanov, Head of Computer incident investigations department di Kaspersky Lab.

kaspersky-logo

Le informazioni raccolte dalla speciale Divisione per le Indagini sugli Incidenti Informatici allestita da Kaspersky Lab sono risultate determinanti per identificare i componenti del gruppo.

Lo studio approfondito di questi fenomeni criminali, oltre ad assicurare alla legge i delinquenti, crea nel gruppo di ricerca Kaspersky Lab un know-how di conoscenze che vengono trasferite nei prodotti Kaspersky Lab e garantiscono ottimi risultati nella protezione del business.

argonavislab

Argonavis è a vostra disposizione per fornirvi ulteriori informazioni su aspetti tecnici e commerciali, ed illustrarvi la convenienza nel proteggere i vostri sistemi con la tecnologia Kaspersky.

Richiedi Informazioni

 

 

31 Agosto 2016

Kaspersky rilascia un proprio Sistema Operativo

Diverse minacce informatiche possono influenzare la stabilità delle infrastrutture di 12Internet. Il corretto funzionamento dipende dalle scelte fatte sulle attrezzature da parte dei fornitori di servizi di telecomunicazioni.

Tra le minacce informatiche rivolte alle apparecchiature per le telecomunicazioni, sono particolarmente significative due tipologie di minacce:

  1. Le minacce associate con azioni involontarie:
    • azioni svolte dai dipendenti a seguito di un guasto dell’apparecchiatura totale o parziale
    • installazione non autorizzata e l’utilizzo di programmi non sicuri
  2. Le minacce associate con azioni intenzionali:
    • attacchi remoti su hardware con l’obiettivo di cambiare la sua configurazione o modificare il suo software integrato (Firmware).
    • attacchi che sfruttano backdoor built-in o vulnerabilità note di software e hardware al fine di intercettare traffico o prendere il controllo di apparecchiature o di un sistema.

Alcune minacce possono essere mitigate attraverso lo sviluppo di software per la sicurezza, specifiche, tuttavia i produttori di apparati si trovano ad affrontare un difficile dilemma.

Da un lato, la apparecchiature che producono deve fornire funzionalità estese; dall’altro, il firmware dovrebbe essere sufficientemente compatto per rendere possibile la verifica che non presenti vulnerabilità e backdoor sfruttabili.

Va inoltre tenuto presente che la protezione contro le apparecchiature di telecomunicazione informatica minacce è ulteriormente complicata da una serie di fattori, tra cui:

  1. la necessità di attrezzature per funzionare in modo autonomo, senza aggiornamenti di manutenzione o software per lunghi periodi di tempo
  2. utilizzo di hardware specializzato
  3. utilizzo di software proprietario incorporato
  4. collegamento diretto permanente ad Internet
  5. impossibilità di installare una protezione aggiuntiva progettata per sistemi generici

L’unico modo per proteggere questi apparati è quello di sviluppare una suite software integrata di cyber-sicurezza già inclusa nel sistema operativo.

Per affrontare la questione della sicurezza informatica per le apparecchiature di telecomunicazione, riducendo al minimo il tempo necessario per sviluppare le caratteristiche di sicurezza è stato realizzato KasperskyOS, un sistema operativo sicuro basato su un’architettura progettata per garantire che il software venga eseguito in modo sicuro, anche quando le applicazioni non sono completamente sicure per la presenza vulnerabilità. Inoltre, KasperskyOS fornisce protezione in caso di errori software casuali e sulle azioni errate da parte degli utenti.

KasperskyOS, gira su hardware: Intel x86, x64, ARMv7 (i.MX6) destinato al mercato degli apparati di telecomunicazione ed in particolare ai Router.

30 Agosto 2016

Kaspersky blocca BadUSB

BadUSB è una vulnerabilità nota da diverso tempo, ma poco nota, si tratta della possibilità di riprogrammare il firmware delle memorie usb (le famose “chiavette”)  con un firmware malevolo in grado di effettuare operazioni di keylogging, redirect DNS o altre azioni.

Kaspersky ha introdotto un nuovo componente chiamato BadUSB Attack Prevention che permette di prevenire la connessione alla workstation protetta di dispositivi USB riprogrammati per riprodurre il funzionamento di una tastiera.

Quando un dispositivo USB viene collegato alla workstation protetta e viene identificato con una tastiera dal sistema operativo, il componente richiede all’utente di autorizzare la connessione al nuovo componente. Tutte le tastiere che non sono state autorizzate verranno bloccate.badusb

23 Agosto 2016

Rilasciato Kaspersky Endpoint Security 10 Service Pack1 Maintenance Release 3

E’ stato rilasciato Kaspersky Endpoint Security 10 Service Pack 1 Maintenance Release 3, la prima versione compatibile con l’aggiornamento Microsoft Windows 10 Anniversary Update.

Oltre ad estendere la compatibilità all’ultimo rilascio di Microsoft Windows 10, sono state introdotte numerose correzioni rispetto alla versione precedente, l’elenco completo si trova all’indirizzo: http://support.kaspersky.com/13071

La versione Kaspersky Endpoint Security 10 Service Pack 1 Maintenance Release 3 è anche oggetto di una campagna di Bug Bounty ed eventuali criticità che verranno riscontrate durante la campagna verranno aggiornate automaticamente durante l’attività di update schedulata.

Si consiglia a tutti i clienti di procedere all’aggiornamento a questa versione di prodotto.

17 Agosto 2016

Blog & News

Categorie