Trojan bancari in un wrapper aziendale

 
Tratto da Blog Kaspersky
Autore: Julia Glazova – 12/07/2021
 
 
Gli spammer stanno usando macro dannose per distribuire malware bancari IcedID e Qbot in documenti apparentemente importanti
 
 

 

Per gli impiegati che devono affrontare centinaia di e-mail, la tentazione di leggere velocemente e scaricare gli allegati in automatico può essere grande. I criminali informatici, naturalmente, ne approfittano, inviando documenti apparentemente importanti che potrebbero contenere qualsiasi cosa, dai link di phishing a malware. I nostri esperti hanno recentemente scoperto due campagne di spam molto simili che distribuiscono i trojan bancari IcedID e Qbot.

Spam con documenti dannosi

Entrambe le e-mail si spacciavano per corrispondenza commerciale. Nel primo caso, i criminali informatici chiedevano un risarcimento per qualche motivo fraudolento o dichiaravano qualcosa sull’annullamento di un’operazione. Allegato al messaggio c’era un file Excel con zip chiamato CompensationClaim più una serie di numeri. Il secondo messaggio di spam aveva a che fare con dei pagamenti e contratti e includeva un link al sito web violato dove era conservato l’archivio contenente il documento.

In entrambi i casi, l’obiettivo degli aggressori era quello di convincere il destinatario ad aprire il file Excel dannoso ed eseguire la macro in esso contenuta, scaricando così IcedID o (meno comunemente) Qbot sul dispositivo della vittima.

IcedID e Qbot

I trojan bancari IcedID e Qbot sono in circolazione da anni, con IcedID arrivato per la prima volta all’attenzione dei ricercatori nel 2017 e Qbot in servizio dal 2008. Inoltre, i cybercriminali stanno costantemente affinando le loro tecniche. Ad esempio, hanno nascosto il componente principale di IcedID in un’immagine PNG utilizzando una tecnica chiamata steganografia che è piuttosto difficile da rilevare.

Oggi, entrambi i programmi malware sono disponibili sul mercato ombra; oltre ai loro creatori, numerosi clienti distribuiscono i Trojan. Il compito principale del malware è quello di rubare i dettagli della carta di credito e le credenziali di accesso ai conti bancari, preferibilmente conti aziendali (da qui le e-mail di tipo aziendale). Per raggiungere i loro obiettivi, i Trojan utilizzano vari metodi. Per esempio, possono:

  • Inserire uno script dannoso in una pagina web per intercettare i dati inseriti dall’utente;
  • Reindirizzare gli utenti dell’online banking a una falsa pagina di login;
  • Rubare i dati salvati nel browser.

Qbot può anche registrare le sequenze di tasti per intercettare le password.

Purtroppo, il furto dei dati di pagamento non è l’unico problema che si presenta alle vittime. Per esempio, IcedID può scaricare altri malware, incluso il ransomware, sui dispositivi infetti. Nel frattempo, i trucchi di Qbot includono il furto di thread di e-mail da utilizzare in ulteriori campagne di spam, e fornire ai suoi operatori l’accesso remoto ai computer delle vittime. Sulle attrezzature da lavoro in particolare, le conseguenze possono essere gravi.

Come rimanere al sicuro dai trojan bancari

Non importa quanto astuti possano essere i criminali informatici, non è necessario reinventare la ruota per restare al sicuro. Entrambe le campagne di spam in questione si basano sul fatto che i destinatari compiano azioni rischiose, se, invece, non apriranno il file dannoso e non lasceranno eseguire la macro, lo schema semplicemente non funzionerà. Per ridurre le possibilità di diventare una vittima:

  • Controllate l’identità del mittente, incluso il nome del dominio. Qualcuno che afferma di essere un appaltatore o un cliente aziendale ma usa un indirizzo Gmail, per esempio, può essere sospetto. E se semplicemente non sapete chi è il mittente, controllate insieme ai colleghi;
  • Proibite le macro di default, e trattate con sospetto i documenti che richiedono di abilitare le macro o altri contenuti. Non eseguite mai una macro a meno che non siate assolutamente sicuri che il file ne abbia bisogno, e che sia sicuro;
  • Installate una soluzione di sicurezza affidabile. Se lavorate su un dispositivo personale, o il vostro datore di lavoro è poco rigoroso quando si tratta di protezione della workstation, assicuratevi che sia protetta. I prodotti Kaspersky rilevano sia IcedID che Qbot.

Per ulteriori informazioni sulle soluzioni Kaspersky: dircom@argonavis.it

12 Luglio 2021

Garante privacy: no al controllo indiscriminato dei lavoratori

 
 
Tratto da www.garanteprivacy.it
 
 
 
L’Autorità sanziona il comune di Bolzano per 84mila euro
 
 
 
 

Non è possibile monitorare la navigazione internet dei lavoratori in modo indiscriminato. Indipendentemente da specifici accordi sindacali, le eventuali attività di controllo devono comunque essere sempre svolte nel rispetto dello Statuto dei lavoratori e della normativa sulla privacy.

È quanto affermato dal Garante per la protezione dei dati personali in un provvedimento sanzionatorio nei confronti del Comune di Bolzano, avviato sulla base del reclamo presentato da un dipendente che, nel corso di un procedimento disciplinare, aveva scoperto di essere stato costantemente controllato. L’amministrazione, che inizialmente gli aveva contestato la consultazione di Facebook e Youtube durante l’orario di lavoro, aveva poi archiviato il procedimento per l’inattendibilità dei dati di navigazione raccolti.

Dagli accertamenti del Garante è emerso che il Comune impiegava, da circa dieci anni, un sistema di controllo e filtraggio della navigazione internet dei dipendenti, con la conservazione dei dati per un mese e la creazione di apposita reportistica, per finalità di sicurezza della rete. Sebbene il datore di lavoro avesse stipulato un accordo con le organizzazioni sindacali, come richiesto dalla disciplina di settore, il Garante ha evidenziato che tale trattamento di dati deve comunque rispettare anche i principi di protezione dei dati previsti dal Gdpr. Il sistema, implementato dal Comune, senza aver adeguatamente informato i dipendenti, consentiva invece operazioni di trattamento non necessarie e sproporzionate rispetto alla finalità di protezione e sicurezza della rete interna, effettuando una raccolta preventiva e generalizzata di dati relativi alle connessioni ai siti web visitati dai singoli dipendenti. Il sistema raccoglieva inoltre anche informazioni estranee all’attività professionale e comunque riconducibili alla vita privata dell’interessato.

Nel provvedimento l’Autorità ha rimarcato che l’esigenza di ridurre il rischio di usi impropri della navigazione in Internet non può portare al completo annullamento di ogni aspettativa di riservatezza dell’interessato sul luogo di lavoro, anche nei casi in cui il dipendente utilizzi i servizi di rete messi a disposizione del datore di lavoro.

Nell’ambito dell’istruttoria, sono state inoltre riscontrate violazioni anche in merito al trattamento dei dati relativi alle richieste di accertamento medico straordinario da parte dei dipendenti, effettuate attraverso un apposito modulo, Il modulo, messo a disposizione dall’amministrazione, prevedeva la presa visione obbligatoria da parte del dirigente dell’unità organizzativa, circostanza che comportava un trattamento di dati sulla salute illecito.

Il Garante, tenendo conto della piena collaborazione dell’amministrazione, ha disposto una sanzione di 84.000 euro per l’illecito trattamento dei dati del personale. Il Comune dovrà anche adottare misure tecniche e organizzative per anonimizzare il dato relativo alla postazione di lavoro dei dipendenti, cancellare i dati personali presenti nei log di navigazione web registrati, nonché aggiornare le procedure interne individuate e inserite nell’accordo sindacale.

24 Giugno 2021

Nasce l’Agenzia per la Cybersicurezza Nazionale (ACN)

 
Tratto da www.zerounoweb.it
Autore: Paola Mangiapane – 16/06/2021
 
 

Il Consiglio dei Ministri ha approvato il Decreto Legge, firmato da Mario Draghi, che istituisce l’Agenzia per la Cybersicurezza nazionale (ACN). Trecento super-esperti ne avvieranno le attività. In seguito altre 500 figure professionali iper-specializzate affiancheranno i pionieri, formando un esercito di 800 guerrieri al cyber crimine.

La notizia risale a pochissimi giorni fa (11 giugno), ma ha una potenza di fuoco straordinaria, sia dal punto di vista della difesa delle infrastrutture informatiche pubbliche e private, sia dalla prospettiva culturale e di governance. L’Italia si è adeguata così al recente “Regolamento sulla cybersicurezza” dell’Ue, individuando in tempi molto brevi il “centro nazionale di competenza” richiesto agli Stati membri.

L’ACN sarà un ente con “personalità giuridica di diritto pubblico”; il suo direttore – scelto dal premier per decreto, in accordo con il nuovo “Comitato interministeriale per la cyber sicurezza” (Cics) – sarà Roberto Baldoni fino ad oggi vicedirettore del Dis con delega alla cybersecurity, mentre il premier Mario Draghi avrà funzioni di “alto sorvegliante” sulla strategia nazionale di sicurezza cibernetica.

L’Agenzia avrà funzioni di difesa delle infrastrutture informatiche critiche del Paese e di coordinamento delle risorse del Recovery Fund dedicate alla cybersecurity.

 

18 Giugno 2021

Furto delle credenziali di accesso di Office 365: il phishing nelle immagini

 
Tratto da Blog Kaspersky
Autore: Roman Dedenok – 15/06/2021
 
 
Per aggirare i meccanismi di analisi dei testi, i criminali informatici ora diffondono le e-mail di phishing attraverso le immagini. Ecco come evitare questo pericolo.
 

Le moderne soluzioni anti-phishing e anti-spam si basano sempre più su una varietà di tecnologie di apprendimento automatico. L’uso di reti neurali per analizzare i testi rende difficile ingannare questi meccanismi, ed è per questo che i cybercriminali si sono rivolti verso un trucco semplice ma efficace: inserire il testo in un’immagine. Successivamente, aggiungono l’immagine al corpo del messaggio usando la codifica Base64 (generalmente, le immagini nei messaggi di posta elettronica sono ospitate su un sito web esterno e i client di posta non caricano le immagini delle e-mail provenienti dall’esterno dell’azienda). La maggior parte di queste e-mail vanno alla caccia delle credenziali di accesso a Microsoft Office 365.

L’e-mail di phishing in questione

Un’e-mail di phishing di questo tipo è fondamentalmente un’immagine su uno sfondo bianco (in questo si confonde con l’interfaccia predefinita di Outlook). Ecco qui un esempio di quanto stiamo parlando:

Imitazione di una e-mail generata automaticamente.

Come sempre, dobbiamo considerare se ogni elemento del messaggio è appropriato, nella norma e plausibile. Non c’è alcuna ragione legale per cui il formato di questa (o di una qualsiasi altra) e-mail debba essere un’immagine. In particolare, le e-mail generate automaticamente come le verifiche di account usano del testo. Controllare se l’e-mail è un’immagine o un testo è semplice: passate sopra un collegamento ipertestuale o un pulsante e verificate se il cursore del mouse cambia, con un testo normale lo farà. In questo caso, invece, cliccando su qualsiasi punto dell’immagine si aprirà il collegamento ipertestuale perché l’URL di destinazione è collegato all’immagine, quindi in pratica l’intera immagine è un pulsante/collegamento ipertestuale.

Se vi resta ancora qualche dubbio, provate a evidenziare una parte del testo o a ridimensionare la finestra del vostro programma di posta. Se si tratta di un’immagine, non sarete in grado di evidenziare alcuna parola e il ridimensionamento della finestra non causerà l’adattamento o il cambiamento della lunghezza delle righe di testo.

Lo stile generale della e-mail  non conferisce maggiore credibilità: i caratteri e l’interlinea variano, l’uso della punteggiatura è improprio e il linguaggio è inusuale. Sono tutti segnali di una probabile truffa. Certo, le persone commettono errori, ma i template di Microsoft tendono a non averne. Se vi accorgete di così tanti errori evidenti in un’e-mail, molto probabilmente si tratta di phishing.

Un’ultima cosa: la pretesa che l’account debba essere verificato entro 48 ore dovrebbe farvi suonare un ulteriore campanello d’allarme. I truffatori spesso cercano di mettere fretta agli utenti affinché compiano azioni avventate.

Il sito di phishing

Mettendo da parte l’e-mail, nemmeno il sito a cui si riferisce sembra convincente. Un sito legale appartenente a Microsoft dovrebbe essere ospitato su un dominio Microsoft; tuttavia, il banner “Create your website with WordPress.com” evidenzia chiaramente che il sito è stato costruito utilizzando la piattaforma di hosting gratuita WordPress.

 

Pessima imitazione di una pagina web Microsoft.

 

Nel complesso, un sito web di questo tipo assomiglia a uno vero, ma di 25 anni fa forse. Ecco la moderna pagina di accesso ai servizi Microsoft, affinché possiate fare un confronto: https://login.microsoftonline.com/.

Come difendervi

Una soluzione di sicurezza affidabile rileva le e-mail di phishing basandosi su diversi fattori, non solo sulla mera analisi del testo. Raccomandiamo quindi di utilizzare meccanismi moderni di protezione della posta come quelli offerti da Kaspersky Security for Microsoft Office 365.

Ogni postazione di lavoro dei dipendenti e ogni dispositivo connesso ha bisogno anche di sicurezza aggiuntiva, che farà da ulteriore barriera contro il phishing e altri trucchi.

Infine, non dimenticate di fomentare una maggiore consapevolezza tra i dipendenti delle best practices di sicurezza informatica attraverso una adeguata formazione. Se il personale è a conoscenza dei metodi più moderni impiegati dai cybercrminali, è meno probabile che cadano nella trappola del phishing.

Per ulteriori informazioni sulle soluzioni Kaspersky: dircom@argonavis.it

16 Giugno 2021

Attacchi mirati tramite due zero day di Windows e Chrome

 
Tratto da www.bitmat.it
Autore: Redazione BitMAT – 09/06/2021
 
 
 
Kaspersky rileva due zero-day in Microsoft Windows e Chrome impiegati in una serie di attacchi mirati contro diverse aziende. Microsoft ha già reso disponibili due patch.
 
 
 
attacchi mirati
 
 

Duranti gli ultimi mesi sono stati osservati numerosi attacchi mirati condotti tramite minacce avanzate che sfruttano gli zero-days in the wild. A metà aprile, gli esperti di Kaspersky hanno scoperto una nuova ondata di exploit contro diverse aziende che hanno permesso agli attaccanti di compromettere le reti prese di mira senza essere rilevati. Non avendo trovato un legame tra questi attacchi e i threat actor già noti, Kaspersky ha denominato questo nuovo attore PuzzleMaker.

Tutti gli attacchi mirati sono stati condotti attraverso Chrome e hanno utilizzato un exploit per eseguire del codice da remoto. Sebbene i ricercatori di Kaspersky non siano stati in grado di risalire al codice per l’exploit di esecuzione remota, la linea temporale e la disponibilità dell’exploit suggeriscono che gli attaccanti stavano usando la vulnerabilità, ora patchata, CVE-2021-21224. Questa vulnerabilità era legata a un bug Type Mismatch in V8, un motore JavaScript utilizzato da Chrome e Chromium web-browser, e permetteva agli attaccanti di sfruttare il processo di rendering di Chrome (responsabili di ciò che accade all’interno della tab degli utenti).

Gli esperti di Kaspersky sono stati, tuttavia, in grado di rilevare e analizzare gli attacchi mirati del secondo exploit: l’exploit di elevazione dei privilegi che sfrutta due vulnerabilità distinte presenti nel kernel del sistema operativo Microsoft Windows. La prima è una vulnerabilità Information Disclosure, in grado di far trapelare informazioni sensibili del kernel, rinominata CVE-2021-31955. La vulnerabilità è collegata a SuperFetch, una feature introdotta per la prima volta in Windows Vista che mira a ridurre i tempi di caricamento del software precaricando le applicazioni comunemente utilizzate in memoria.

La seconda vulnerabilità, Elevation of Privilege (una vulnerabilità che permette agli attaccanti di sfruttare il kernel e ottenere un accesso privilegiato al computer), è stata denominata CVE-2021-31956, ed è un buffer overflow heap-based. Gli attacchi mirati hanno usato la vulnerabilità CVE-2021-31956 insieme a Windows Notification Facility (WNF) per creare primitive di lettura/scrittura di memoria arbitraria ed eseguire moduli malware con privilegi di sistema.

Una volta che gli attaccanti hanno usato entrambi gli exploit di Chrome e Windows per infiltrarsi nel sistema preso di mira, il modulo stager scarica ed esegue un dropper malware più complesso da un server remoto. Questo dropper installa poi due file eseguibili, che si presentano come file legittimi del sistema operativo Microsoft Windows. Uno dei due file eseguibili è un modulo shell remoto, che è in grado di scaricare e caricare file, creare processi, rimanere in stand-by per un certo periodo di tempo e cancellarsi dal sistema infetto.

In occasione del Patch Tuesday. Microsoft ha rilasciato una patch per entrambe le vulnerabilità.

Gli attacchi mirati che abbiamo rilevato, non sono stati ancora collegati a un threat actor noto. Pertanto, abbiamo denominato il loro sviluppatore “PuzzleMaker” e monitoreremo con attenzione il panorama degli attacchi alla ricerca delle sue attività future o di nuovi insight su questo gruppo. Di recente, abbiamo assistito al proliferare di minacce di alto profilo legate a exploit zero-day. Questo ci ricorda che gli zero-day continuano ad essere il metodo più efficace per infettare gli obiettivi designati. Ora che queste vulnerabilità sono state rese pubbliche, probabilmente osserveremo un aumento del loro utilizzo negli attacchi da parte di questo e altri threat actor. Per questa ragione raccomandiamo agli utenti di scaricare l’ultima patch da Microsoft il più presto possibile“, ha dichiarato Boris Larin, Senior Security Researcher del Global Research and Analysis Team (GReAT).

I prodotti Kaspersky rilevano e proteggono dall’exploit delle vulnerabilità Information Disclosure CVE-2021-31955 ed Elevation of Privilege CVE-2021-31956 e dai moduli malware associati.

Maggiori informazioni su questi nuovi zero-day sono disponibili su Securelist.

Per proteggere la propria organizzazione dagli attacchi mirati che sfruttano queste due nuove vulnerabilità, gli esperti di Kaspersky raccomandano di:

  • Aggiornare il browser Chrome e Microsoft Windows appena possibile e controllare regolarmente la disponibilità di aggiornamenti.
  • Utilizzare una soluzione di sicurezza per gli endpoint affidabile, come Kaspersky Endpoint Security for Business, dotata di funzionalità di prevenzione degli exploit, behavior detection e di un remediation engine in grado di respingere gli attacchi mirati.
  • Installare soluzioni anti-APT e EDR, abilitando le funzionalità di discovery e detection delle minacce, le indagini e la remediation tempestiva degli incidenti.
  • Fornire al team SOC l’accesso alla più recente threat intelligence e a una formazione professionale continua. Il framework Kaspersky Expert Security offre tutte queste funzionalità.
  • Un’adeguata protezione degli endpoint e l’implementazione di servizi dedicati possono respingere gli attacchi mirati di alto profilo. Il servizio Kaspersky Managed Detection and Response può aiutare a identificare e fermare gli attacchi nelle loro fasi iniziali, prima che gli attaccanti raggiungano i loro obiettivi.

Per ulteriori informazioni sulle soluzioni Kaspersky: dircom@argonavis.it

11 Giugno 2021

Blog & News

Categorie