AdvancedIPSpyware: il backdoored che colpisce le aziende

 
Tratto da www.bitmat.it
Autore:  Redazione BitMAT – 13/10/2022
 

Kaspersky ha scoperto AdvancedIPSpyware, una versione con backdoor di Advanced IP Scanner presenta un’architettura insolita ed è la copia quasi identica del sito web legittimo

AdvancedIPSpyware
 

In un recente report sul crimeware, gli esperti di Kaspersky hanno descritto AdvancedIPSpyware. Si tratta di una versione con backdoor dello strumento legittimo Advanced IP Scanner, utilizzato dagli amministratori di rete per controllare le reti locali (LAN). Lo strumento dannoso ha colpito un vasto pubblico con aziende vittime in Europa Occidentale, America Latina, Africa, Asia Meridionale, Australia e Paesi della CSI, raggiungendo un numero complessivo di circa 80 vittime.

Testo estratto dall’articolo pubblicato su www.bitmat.it

14 Ottobre 2022

Qbot: il trojan bancario adesso colpisce le aziende

 
Tratto da www.bitmat.it
Autore:  Redazione BitMAT – 07/10/2022
 

Gli esperti Kaspersky segnalano una campagna malware Qbot. I criminali informatici intercettano conversazioni esistenti e si inseriscono per diffondere file malevoli

 

Qbot
 

Dopo un periodo di tregua, sta tornando una campagna dannosa che prende di mira le organizzazioni con il pericoloso malware Qbot. Kaspersky ha identificato una nuova ondata di attività con oltre 1.500 utenti colpiti dal 28 settembre 2022. Tra i Paesi più attaccati ci sono gli Stati Uniti con 193 utenti, seguiti da Italia con 151, Germania con 93 e India con 74 (al 4 ottobre 2022). Kaspersky ha finora scoperto più di 400 siti web infetti che diffondono Qbot.

Qbot è un noto Trojan bancario, in grado di rubare i dati e le e-mail degli utenti dalle reti aziendali infette, di diffondersi ulteriormente nella rete e di installare ransomware o altri Trojan su altri dispositivi della rete. I criminali informatici presumibilmente intercettano le e-mail attive che riguardano conversazioni su questioni di lavoro e inviano ai destinatari un messaggio contenente un link con un file archiviato con una password da scaricare per infettare i loro dispositivi con un trojan bancario. Per convincere gli utenti ad aprire o scaricare il file, gli attaccanti di solito affermano che contiene alcune informazioni importanti, come un’offerta commerciale. Questo schema rende questi messaggi più difficili da individuare e aumenta le probabilità che il destinatario cada nella trappola.

Testo estratto dall’articolo pubblicato su www.bitmat.it

10 Ottobre 2022

Le estensioni del browser sono più pericolose di quanto sembrano

 
Tratto da Blog Kaspersky
Autore:  Anastasia Starikova – 20/09/2022
 
 
Tutti abbiamo probabilmente installato almeno una volta un’estensione per il browser, ad esempio, un ad-blocker, un traduttore online, un correttore ortografico o altro. Tuttavia, pochi di noi si fermano a pensare: “è sicuro?”. Purtroppo queste estensioni, apparentemente innocue, possono essere molto più pericolose di quanto non sembrino a prima vista.
 

Cosa sono e cosa fanno le estensioni?

Un’estensione del browser è un plug-in che aggiunge funzionalità al browser. Ad esempio, può bloccare gli annunci pubblicitari sulle pagine web, prendere appunti, controllare l’ortografia e molto altro ancora. Per i browser più diffusi, esistono negozi ufficiali di estensioni che aiutano a selezionare, confrontare e installare i plug-in desiderati. Tuttavia, le estensioni possono essere installate anche da fonti non ufficiali.

È importante sottolineare che, per svolgere il proprio lavoro, un’estensione deve avere il permesso di leggere e modificare il contenuto delle pagine web visualizzate nel browser.

Nel caso di Google Chrome, le estensioni chiederanno il permesso di leggere e modificare tutti i dati dell’utente su tutti i siti web visitati.

Tutto ciò rappresenta un’opportunità per i criminali informatici dato che ne approfittano per distribuire adware e persino malware sotto le sembianze di estensioni apparentemente innocue.

Per quanto riguarda le estensioni adware, il diritto di alterare il contenuto visualizzato consente loro di mostrare annunci sui siti che l’utente visita con frequenza. In questo caso, i creatori delle estensioni guadagnano soldi dagli utenti che cliccano sui link affiliati e tracciati che li portano verso i siti web degli inserzionisti. Per ottenere contenuti pubblicitari più mirati, possono anche analizzare le query di ricerca e altri dati.

Le conseguenze sono ancora peggiori quando si tratta di estensioni dannose. Se un hacker ha accesso ai contenuti di tutti i siti web visitati, potrebbe rubare i dati delle carte di credito, i cookie e altre informazioni sensibili.

Alcune estensioni dannose:

  • adware con funzionalità WebSearch;
  • add-on di tipo DealPly;
  • estensioni della famiglia AddScript;
  • FB Stealer.
Gli esperti Kaspersky hanno elaborato un report  sulle principali estensioni dannose per il browser.
 

Come proteggersi

Le estensioni del browser sono strumenti utili, ma è importante installarle con cautela e tenere presente che non sono sempre così innocue come si potrebbe pensare. Quindi, vi suggeriamo di adottare le seguenti misure di sicurezza:

  • Scaricate le estensioni solo da fonti ufficiali. Ricordate che questa non è una garanzia di sicurezza assoluta: ogni tanto qualche estensione pericolosa riesce a penetrare negli store ufficiali. Tuttavia, queste piattaforme di solito ci tengono alla sicurezza degli utenti e rimuovono le estensioni dannose.
  • Non installate troppe estensioni e controllate regolarmente l’elenco. Se nell’elenco appare qualche estensione che non avete installato voi stessi, è bene preoccuparsi.
  • Utilizzate una soluzione di sicurezza affidabile.

Testo estratto dall’articolo pubblicato sul Blog Kaspersky

21 Settembre 2022

Disponibili le patch per 64 vulnerabilità nei prodotti Microsoft

 
Tratto da Blog Kaspersky
Autore:  Editorial Team – 16/09/2022
 
 
Microsoft ha rilasciato una patch per 64 vulnerabilità presenti in una serie di prodotti e componenti di diverso tipo, da Windows e Office, a Defender e Azure.

Cinque vulnerabilità sono critiche. Due vulnerabilità sono state diffuse prima del rilascio della patch (il che le rende tecnicamente zero-days), mentre una è già stata sfruttata da alcuni cybercriminali.

Si consiglia di installare gli aggiornamenti il prima possibile.

Vulnerabilità critiche

Tutte e cinque le vulnerabilità critiche appena corrette appartengono alla classe RCE (Remote Code Execution), ovvero possono essere utilizzate per eseguire codice arbitrario sui computer delle vittime.

  • CVE-2022-34718: si tratta di un bug presente nel protocollo TCP/IP di Windows, con un punteggio CVSS pari a 9,8. Un utente non autorizzato può utilizzarlo per eseguire codice arbitrario sul computer Windows attaccato con il servizio IPSec abilitato inviandogli un pacchetto IPv6 appositamente creato.
  • CVE-2022-34721 e CVE-2022-34722: si tratta di due vulnerabilità nel protocollo Internet Key Exchange che consentono a un criminale di eseguire codice dannoso inviando un pacchetto IP a un computer vulnerabile. Entrambe hanno un punteggio CVSS pari a 9,8. Nonostante queste vulnerabilità interessino solo la versione del protocollo IKEv1, Microsoft ricorda che tutti i sistemi Windows Server sono vulnerabili perché accettano pacchetti sia v1 che v2.
  • CVE-2022-34700 e CVE-2022-35805: sono due vulnerabilità che interessano il software di Microsoft Dynamics CRM. Se sfruttate, consentono a un utente autenticato di eseguire comandi SQL arbitrari, dopodiché l’hacker può aumentare i propri diritti ed eseguire comandi all’interno del database di Dynamics 365 con diritti di db_owner. Dato che un utente malintenzionato deve in qualche modo autenticarsi, il punteggio CVSS assegnato a queste vulnerabilità è leggermente inferiore ad altri (8,8), ma sono comunque considerate critiche.

Altre vulnerabilità sono elencate nell’articolo del Blog Kaspersky

19 Settembre 2022

Qui c’è puzza di phishing: e-mail contrassegnate come sicure

Tratto da Blog Kaspersky
Autore:  Roman Dedenok – 25/07/2022

Le e-mail di lavoro con il marchio “verificato” dovrebbero far suonare un campanello d’allarme

Quando i truffatori inviano e-mail di phishing o allegati dannosi utilizzano tutta una serie di trucchi per convincere l’utente a fare click su un link o ad aprire un file. Uno di questi trucchi consiste nell’aggiungere diversi tipi di marchi, loghi, frasi o contrassegni che indicano che il link o il file allegato è affidabile.

Per quanto possa sembrare una sciocchezza, questo approccio funziona. Una persona esperta nel campo della sicurezza informatica potrebbe non cascarci, ma i dipendenti meno esperti a livello informatico potrebbero cadere nel tranello. Per questo motivo, consigliamo agli IT security manager di fornire ai loro colleghi una breve panoramica sugli stratagemmi più elementari utilizzati dei cybercriminali.

Che aspetto hanno i marchi “verificati”?

Naturalmente non esiste un unico tipo: ogni cybercriminale ha il suo. Abbiamo visto molti esempi diversi, ma tendono ad essere variazioni sui seguenti temi:

  • Il file allegato è stato scansionato da un antivirus (a volte segue un logo).
  • Il mittente è nell’elenco delle persone attendibili.
  • Tutti i link sono stati scansionati da un motore anti-phishing.
  • Non è stata rilevata alcuna minaccia.

Qui sotto potete osservare un esempio di e-mail di phishing inviata da alcuni hacker che si fingono membri del team di assistenza per indurre il destinatario a cliccare sul link e a inserire le proprie credenziali di Office 365. Per rendere il messaggio ancora più plausibile, si legge che il mittente del messaggio è verificato.

Lettera con la dicitura: "questo mittente è stato verificato ed è stato incluso nell'elenco dei mittenti sicuri".

In questo caso, però, la dicitura “questo mittente è stato verificato ed è stato incluso nell’elenco dei mittenti sicuri di [nome della società]” dovrebbe essere un segnale d’allarme.

Come reagire a un’e-mail contrassegnata come sicura

Anche se le e-mail di phishing o dannose di solito richiedono una risposta rapida (nell’esempio precedente, si presentava la minaccia di perdere l’accesso all’e-mail del lavoro), una risposta rapida è proprio quello che non dovreste mai dare. Innanzitutto, ponetevi le seguenti domande:

  • Avete già visto questo contrassegno o marchio in passato? Se lavorate in questa azienda da almeno una settimana, probabilmente non è la prima e-mail che ricevete.
  • Qualcuno dei vostri colleghi ha mai visto un marchio di questo tipo nelle loro e-mail del lavoro? Se avete dubbi, è meglio chiedere a un collega più esperto o a un informatico.
  • Il contrassegno o dicitura è appropriata al contesto? Certo, a volte la dicitura “file scansionato” o “link scansionato” può avere senso. Tuttavia, se il mittente lavora nella vostra stessa azienda, come può il suo indirizzo e-mail aziendale non essere inserito nell’elenco degli indirizzi attendibili?

In realtà, i moderni filtri di posta elettronica funzionano in modo opposto: marcano le e-mail potenzialmente pericolose, non quelle che hanno ricevuto un giudizio positivo. Le e-mail vengono contrassegnate per indicare che un link o un allegato pericoloso è stato rimosso, oppure che potrebbero essere di spam o di phishing. Nel caso di Outlook in Office 365, queste etichette di solito non vengono inserite nel corpo del messaggio, ma in campi speciali. Nella maggior parte dei casi, queste e-mail vengono semplicemente eliminate prima di arrivare al destinatario o finiscono nella cartella spam. Contrassegnare i messaggi sicuri è inefficiente.

Questa pratica è stata utilizzata in passato nei servizi di posta elettronica gratuiti, ma il vero scopo era sempre quello di sottolineare che stavano offrendo un servizio speciale o un vantaggio rispetto alla concorrenza, ad esempio, un filtro speciale o un motore antivirus integrato.

Come proteggersi e salvaguardare la propria azienda

Ancora una volta, vi consigliamo di informare periodicamente i vostri colleghi circa i trucchi dei cybercriminali (ad esempio, potete inviare loro il link a questo post). Per una maggiore sicurezza, è una buona idea sensibilizzare i dipendenti nei confronti delle minacce informatiche utilizzando servizi speciali dedicati.

E per assicurarsi che un allegato contenuto in un’e-mail senza nessun marchio nel corpo del messaggio sia stato scansionato e non contenga minacce informatiche, si consiglia di implementare una protezione a livello di gateway di e-mail o di utilizzare soluzioni di sicurezza specializzate per Office 365. Non farebbe nemmeno male una protezione a livello di workstation con un motore anti-phishing affidabile.

Per informazioni sulle soluzioni Kaspersky: dircom@argonavis.it

3 Agosto 2022

Blog & News

Categorie