Attacchi informatici alle aziende: un’esca chiamata coronavirus

La paura generata dal coronavirus viene sfruttata dai cybercriminali per attaccare le aziende e installare malware

Sappiamo che le e-mail con allegati dannosi inviati alle aziende non sono certo una novità. Sono ormai almeno tre anni che ne vediamo di tantissime nel traffico di e-mail spazzatura. Più il messaggio falso si avvicina all’originale (grazie alle tecniche di ingegneria sociale ), più è probabile che la vittima non sospetti nulla.

Questo genere di phishing è particolarmente pericoloso per le aziende che vendono direttamente della merce, dal momeno che le e-mail con richieste di ordini, consegne e ordini di acquisto sono il loro pane quotidiano. Anche chi è ben allenato a identificare un’e-mail falsa a volte fa fatica a capire se si tratta di phishing o di un vero ordine di un cliente. E così il numero di e-mail false (ma molto convicenti) continua ad aumentare, anche se non parliamo dello stesso volume del normale spam, poiché si tratta di e-mail create con uno scopo preciso e inviate a indirizzi scelti per raggiungere un obiettivo.

Nel corso delle ultime settimane, gli scammer stanno sfruttando l’epidemia del coronavirus per dare un tocco ancora più credibile alle loro e-mail, che spesso fanno riferimento a problemi con le spedizioni per colpa del coronavirus (il destinatario, a sua volta, si domanda a cosa si riferiscano). In altri casi, invece, i cybercriminali sfruttano la pandemia per giustificare l’ordine urgente, visto che i loro partner abituali non riescono a spedire la merce in tempo. Qualunque sia il caso, lo scopo è quello di convincere la vittima ad aprire l’allegato dannoso. I trucchi standard sono usati spesso come pretesto e di solito implicano che la vittima verifichi i dati dell’ordine, le informazioni di invio o di pagamento, oppure la disponibilità di un prodotto.

Di seguito vi proponiamo alcuni esempi che riguardano questo tipo di p hishing e i rischi che ne derivano.

Ritardo nella consegna

I truffatori scrivono che, a causa del COVID-19, la consegna di una certa merce sarà posticipata. Si allegano i dati di consegna aggiornati, insieme ad altre istruzioni. In particolare, nell’e-mail si chiede se i tempi di consegna sono idonei, costringendo in un certo qual modo il destinatario ad aprire l’allegato, che a un primo sguardo sembra una fattura in formato PDF.

Al posto della fattura, all’interno si trova un installer NSIS che esegue uno script dannoso; lo script poi avvia un processo cdm.exe standard, grazie al quale viene eseguito un codice dannoso. In questo modo, il codice viene eseguito nel contesto di una procedura legittima, bypassando i meccanismi di difesa standard. Lo scopo finale è quello di spiare ciò che fa l’utente. I nostri prodotti di sicurezza per le caselle di posta identificano la minaccia come Trojan-Spy.Win32.Noon.gen.

Nuovo ordine in tutta fretta

I truffatori sostengono che, per via dell’epidemia di coronavirus, i loro fornitori cinesi non possono portare a compimento quanto richiesto. Può sembrare piuttosto convincente, date le circostanze. Per evitare la delusione dei clienti, i truffatori desiderano effettuare un ordine urgente di certe merci (non specificate nell’e-mail) presso la compagnia per la quale lavora il destinatario. Quale azienda può resistere a un’opportunità del genere, arrivata così all’improvviso?

Sorpresa, sorpresa, il file allegato non contiene un ordine ma una Backdoor.MSIL.NanoBot.baxo che, una volta avviata, esegue un codice dannoso all’interno del processo RegAsm.exe (anche in questo caso, un tentativo di aggirare i meccanismi di difesa). Il risultato è che i cybercriminali riescono a ottenere l’accesso da remoto al computer della vittima.

Un altro ordine improvviso

Una variante del trucco appena descritto. Di nuovo, i cybercriminali menzionano un fantomatico fornitore cinese che ha problemi con le consegne e richiedono prezzi e termini di consegna per le merci indicate nell’allegato, un file DOC.

Il fatto che si tratti di un file DOC ha una ragione. All’interno si trova un exploit che sfrutta la vulnerabilità CVE-2017-11882 presente in Microsoft Word (le nostre soluzioni la identificano come Exploit.MSOffice.Generic). Quando si apre il file, viene scaricata e avviata la Backdoor.MSIL.Androm.gen. L’obiettivo, come avviene per tutte le backdoor, è quello di ottenere l’accesso da remoto al sistema infettato.

Non c’è tempo da perdere!

Questa truffa è rivolta a quelle compagnie que stanno subendo interruzioni nel proprio workflow a causa dell’epidemia di coronavirus (un gruppo già grande e sempre più nutrito). I truffatori vogliono che il mittente evada comunque l’ordine ma, al contempo, sperano che l’azienda possa tornare alla normalità e possa risolvere i problemi causati dal coronavirus.

Invece dell’ordine, l’allegato contiene il Trojan.Win32.Vebzenpak.ern che, una volta avviato, esegue il codice dannoso all’interno del processo legittimo RegAsm.exe. Anche stavolta, lo scopo è quello di ottenere l’accesso da remoto al dispositivo ormai compromesso dal Trojan.

Come difendersi dagli allegati e-mail dannosi

Per evitare che i cybercriminali vi lascino come ricordo un Trojan o una backdoor in allegato, vi consigliamo di seguire queste indicazioni:

Esaminate attentamente le estensioni dei file in allegato. Se si tratta di un file eseguibile, la probabilità che si tratti di un allegato non sicuro si avvicina al 100%;
Verificate l’effettiva esistenza della compagnia che ha mandato l’e-mail. Al giorno d’oggi, anche le aziende più piccole sono presenti online in qualche modo (sui social network, ad esempio). Se non trovate nulla, lasciate perdere tutto: in ogni caso, anche se l’azienda esistesse, forse non varrebbe la pena collaborarci;
Verificate che i dati nel campo del mittente e quelli nella firma automatica Che ci crediate o no, i cybercriminali spesso non fanno caso a questi dettagli quando falsificano le e-mail;
Ricordate che i cybercriminali possono ricavare informazioni sulla propria “azienda” da risorse disponibili per tutti, per poi perpetrare attacchi di spear phishing. Se avete dubbi sulle informazioni contenute in un’e-mail che avete ricevuto, mettetevi in contatto con l’azienda per assicurarvi che il messaggio sia legittimo;
E soprattutto, fate in modo che la vostra azienda utilizzi una [KESB placeholder] soluzione di sicurezza affidabile[KESB placeholder] sia sulle workstation, sia sul server di posta elettronica. La soluzione di sicurezza deve essere aggiornata regolarmente e avvalersi di database altrettanto aggiornati. Se così non fosse, sarebbe difficile stabilire se un allegato e-mail sia dannoso, in particolare se si ha a che fare con documenti Office.

Autore
Tatyana Shcherbakova
Kaspersky blog

INPS segnala falso SMS con richiesta di installazione di APP malvole

L’INPS e la Polizia Postale, dai propri siti ufficiali, segnalano che è in atto una campagna di “smishing” (‘phishing’ tramite SMS) attraverso l’invio di SMS del tipo

“A seguito della sua richiesta accredito domanda Covid-19. Aggiorna i tuoi dati nel inps-ixxxxx.online”.

Cliccando sul link riportato nel SMS si apre un clone del sito INPS che invita a scaricare una APP sullo smartphone.

L’installazione di tale APP consentirebbe a terzi di ottenere il controllo dello smartphone.

Porre attenzione ai contenuti degli SMS, e non cliccare su tale link.

Si suggerisce di accedere al sito INPS traaamite il sito istituzional , scrivendo sempre manualmente il suo indirizzo www.inps.it.

Fonte
INPS

Certificati SSL su Safari validi per non più di 398 giorni

In occasione del CA/Browser Forum, il 19 febbraio 2020, Apple ha annunciato che dal 1° settembre 2020 il suo browser web Safari accetterà solo a certificati SSL con una validità di non più di 398 giorni.

I certificati SSL emessi fino al 31 agosto 2020 con una validità di due anni potranno essere utilizzati fino alla loro scadenza.

La validità consigliata dei certificati SSL è già cambiata diverse volte nel corso degli anni.
Dopo una decisione presa al CA/Browser Forum a marzo 2018, i certificati SSL possono avere una validità massima di due anni.
Ma se si vorrà che il proprio sito sia compatibile su tutte principali piattaforme , sarà necessarie tenere conto della decisione di Apple.

Configurare Kaspersky Security for Windows Server per Chrome

Kaspersky Security for windows server è una applicazione studiata appositamente per proteggere al meglio i Sistemi Operativi Windows Server.

Kaspersky Security for windows server contiene accorgimenti tecnici in grado di non rendere necessario il riavvio del sistema operativo in caso di installazione o aggiornamento, limitare il carico di lavoro sui server, ma allo stesso tempo garantire una protezione ottimale grazie a moduli espressamente progettati per proteggere sistemi operativi Server, come Anti Cryptor, che impedisce ad altre macchine infette da Ransomware, la possano cifrare tutti i documenti delle cartelle condivise ed Exploit Prevention.

Exploit Prevention

Il componente Exploit Prevention, tiene traccia dei file eseguibili eseguiti dalle applicazioni potenzialmente vulnerabili.

Se si verifica un tentativo di esecuzione di un file eseguibile da parte di un’applicazione vulnerabile non eseguito dall’utente, la protezione Kaspersky , blocca l’esecuzione di questo file.

Google Chrome e Edge Chromium

A partire dalla versione 79, i browser Google Chrome e Edge Chromium utilizzano il meccanismo di integrità del codice Microsoft. Questo meccanismo impedisce la modifica del codice del browser e blocca eventuali exploit dei processi Edge e Chrome.

Le librerie di terze parti, inclusa la libreria Exploit Prevention, non possono essere caricate nello spazio degli indirizzi di un browser che sta utilizzando il meccanismo di integrità del codice Microsoft.

Soluzione per la configurazione

Per visualizzare correttamente le pagine del sito Web, disabilitare la libreria Prevenzione exploit per i processi chrome.exe e msedge.exe

Aprire Kaspersky Security Center.
Andare su Managed devices → Policies.
Aprire la politica per Kaspersky Security 10 for Windows Server policy.
Selezionare la sezione Real-time server protection.
In Exploit Prevention premere Settings.

Premere la scheda Protected processes e cercare i processi chrome.exe e msedge.exe
Togliere la spunta da questi due processi e premere ОК.

Salvare la politica di Kaspersky Security 10 for Windows Server.

In questa maniera Exploit Prevention non potrà più lavorare su Google Chrome e Edge Chromium, ma sarà possibile aprire correttamente le pagine web.

Autore
Angelo Penduzzu
Questar blog

Vulnerabilità CVE – 2020-0674: Kaspersky ti protegge

Una nuova vulnerabilità per Internet Explorer, identificata con il codice CVE-2020-0674 , che affligge la libreria jscript.dll, è stata scoperta recentemente.

Attualmente Microsoft non ha ancora rilasciato una patch ufficiale per risolvere il problema, che potenzialmente ha un impatto molto elevato sul dispositivo della vittima.

Kaspersky Security for Windows Server, grazie al modulo Exploit Prevention permette di mitigare il rischio legato a questa vulnerabilità che affligge il modulo jScript.

Per ridurre la superficie di attacco e le possibilità di sfruttare la vulnerabilità in attesa del rilascio della patch, suggeriamo di aggiungere il file JScript.dll nella lista dei moduli vietati per il processo iexplore.exe

Per proteggere il tuo server dalla vulnerabilità CVE-2020-0674 segui i seguenti passaggi :

Apri Kaspersky Security Center.
Vai in Managed devices → Policies.
Apri la politica di Kaspersky Security for Windows Server.
Vai nella sezione Real-time server protection.
Nella sezione Exploit Prevention, premi Settings.

Seleziona Prevent vulnerable processes exploit ed abilita la modalità Terminate on exploit.

Apri la scheda Protected processes, trova iexplore.exe nella tabella e premi Set exploit prevention techniques.

Successivamente seleziona Apply selected exploit prevention techniques.
Aggiungi jscript.dll all’elenco dei Deny modules e premi OK.

La vulnerabilità CVE-2020-0674 permette ad un attaccante di iniettare ed eseguire, nella memoria dalla maccchina della vittima del codice arbitrario, che verrà eseguito con gli stessi permessi dell’utente che ha aperto la pagina.

Affinché la vulnerabilità venga sfruttata è sufficiente che la vittima apra una pagina web o una mail con il codice in grado di sfruttare la vulnerabilità.

Per approfondire con maggiori dettagli suggeriamo di consultare la nota pubblicata dal sito ufficiale Microsoft.