I plugin dei browser possono filtrare segreti aziendali

A luglio scorso, il ricercatore Sam Jadali ha scoperto diverse estensioni per i browser Chrome e Firefox che registrano la cronologia di navigazione per por inviarla a terze parti. Inoltre, ha scoperto una piattaforma dedicata alla compravendita di questi dati.

Una notizia del genere potrebbe anche non destare allarme. Cosa succederebbe se si venisse a scoprire che uno dei vostri dipendenti ha visitato un sito di un fornitore o si è collegato su un social network con l’account aziendale? Se queste estensioni non accedono ad altre informazioni, qual è il problema? In realtà, tali estensioni si dedicano a filtrare periodicamente i dati aziendali: vediamo come.

 

Alcuni link rivelano tutto di voi

Probabilmente, i social network e i siti ufficiali di partner e fornitori non divulgano informazioni segrete. Dovresti preoccuparvi invece di quelle pagine “chiuse” alle quali si accede solamente mediante link unici, che potrebbero essere sfruttati per ottenere informazioni. In realtà, è proprio la loro segretezza a proteggere queste pagine, in quanto da fuori non si conoscono i loro indirizzi. Ecco alcuni esempi di queste pagine.

Conferenze online

Immaginate che la vostra azienda organizzi spesso incontri e conferenze via web, momento in cui i dipendenti di diverse divisioni aziendali parlano di questioni lavorative, organizzano sessioni di brainstorming o ricevono informazioni di gestione. Esistono numerose piattaforme dove svolgere questi meeting online; per alcune c’è bisogno di una password per partecipare ma le aziende più piccole spesso utilizzano soluzioni gratuite o low-cost che propongono solamente un link con un unico identificatore per il meeting online, che viene inviato a tutte le parti interessate. Ed è tutto ciò di cui ha bisogno il partecipante alla riunione.

Immaginate che uno dei dipendenti che ha ricevuto questo link abbia installato sul proprio browser una di queste estensioni che passa informazioni all’esterno. Non appena partecipa alla conferenza online, il plugin senza scrupoli invia l’URL al mercato di compravendita corrispondente. Un cybercriminale che sta raccogliendo informazioni sulla vostra azienda o semplicemente è alla ricerca di un’occasione, acquista la cronologia di navigazione del vostro dipendente e visualizza i meeting a cui sta partecipando in tempo reale.

Niente impedisce all’acquirente del link di prendere parte alla conferenza; naturalmente, gli altri partecipanti riceveranno una notifica che avvisa della presenza di una nuova persona all’evento. Tuttavia, se al meeting sono invitate decine di partecipanti, è probabile che non tutti si conoscano tra loro per cui è molto difficile che si dubiti della presenza di una persona in particolare. Di conseguenza, l’intruso verrà a conoscenza di tutto ciò che si dirà durante il meeting.

Fatture online dei fornitori

I fornitori della vostra azienda potrebbero utilizzare servizi online per la fatturazione. In alcuni di questi servizi, per accedere alle fatture di pagamento si utilizza un link unico e al contempo disponibile per tutti. Se un cybercriminale ottiene l’accesso a una fattura, verrà a conoscenza del nome e dell’indirizzo della vostra azienda e della compagnia che vi fa da fornitore, la somma pagata e altri dati.

È vero che, nella maggior parte dei casi, se queste informazioni andassero a finire nelle mani sbagliate, non accadrebbe nulla di male. Ma se queste informazioni le riceve un cybercriminale specializzato in ingegneria sociale, allora queste fatture contengono informazioni di grande valore.

Documenti di lavoro

Molte aziende utilizzano servizi online come Google Drive per collaborare con altre aziende. In teoria, è possibile restringere l’accesso ai file per evitare che possano essere aperti dall’esterno; tuttavia, non tutti configurano queste restrizioni sui file condivisi. Spesso, chiunque abbia accesso al link che reindirizza a un file online può visualizzare e anche modificare il documento, che può contenere qualsiasi tipo di informazioni, da prezzi, tariffe a dati personali dei dipendenti.

Come difendersi da fughe di dati su vasta scala

Per ridurre il rischio di fughe di dati, ricordate ai dipendenti di prestare molta attenzione e cautela ogniqualvolta decidano di installare un’estensione del browser. Se il servizio online in uso lo consente, prima della condivisione di un documento è necessario restringere l’accesso solo ai diretti interessati. L’ideale sarebbe creare un elenco approvato delle estensioni del browser autorizzate e vietarne qualsiasi altra potenzialmente pericolosa.

Inoltre, è importante effettuare un’analisi dei servizi online in uso in azienda e identificare le piattaforme a cui si può accedere mediante un link diretto e senza autenticazione. In caso positivo, bisognerebbe cercare un’alternativa più sicura dello stesso servizio.

Infine, è fondamentale installare di una soluzione di sicurezza affidabile su tutti i computer aziendali, per bloccare qualsiasi tentativo d’installazione di estensioni dannose o di qualsiasi altra minaccia informatica.

Fonte
Kaspersky blog

10 Settembre 2019

Un sito dannoso può infettare il mio iPhone: vero o falso?

L’idea che gli iPhone siano totalmente immuni a qualsiasi minaccia è stata sfatata più e più volte. Sebbene gli smartphone Apple siano un obiettivo di minor interesse rispetto ai dispositivi Android, esiste anche l’idea che un iPhone possa essere infettato da tutta una serie di malware semplicemente entrando in un sito pericoloso, e senza installare o scaricare nulla dal sito, almeno consapevolmente. In questo post cercheremo di fare chiarezza sull’argomento. 


Vero: siti dannosi da oltre due anni riescono a superare i meccanismi di sicurezza di iPhone

I ricercatori di Project Zero di Google hanno scoperto diversi siti hackerati che colpiscono gli iPhone da almeno due anni. Per fare ciò, i cybercriminali hanno sfruttato 14 vulnerabilità del software, 7 delle quali presenti in Safari, il browser utilizzato dalla stragrande maggioranza dei proprietari di iPhone.

Altre 2 vulnerabilità hanno permesso ai malware di sfuggire dalla sandbox che iOS utilizza per evitare che un’app possa accedere (o modificare) ai dati di altre app. E le ultime 5 vulnerabilità riguardano il kernel di iOS, il componente centrale del sistema operativo. Arrivare al kernel consente ai cybercriminali di ottenere i permessi di root, che nemmeno i proprietari del dispositivo hanno.

I siti dannosi in questione erano in grado di colpire quasi tutte le versioni attuali del sistema operativo di Apple per dispositivi mobili, da iOS 10 ad iOS 12. I cybercriminali hanno modificato le loro strategia in base agli aggiornamenti rilasciati, concentrandosi esclusivamente sulle nuove vulnerabilità.

Quali sono i malware installati sugli iPhone infetti?

I siti infetti riuscivano a installare degli spyware sui dispositivi delle vittime, riuscendo a ottenere autorizzazioni di accesso illimitato ai dispositivi; lavoravano in background per far sì che gli utenti non notassero nulla di strano. Estraevano i dati e li inviavano al server command-and-control con una frequenza di aggiornamento di minuto in minuto. Gli spyware erano interessati soprattutto a:

  • Password e token di autenticazione custoditi nel Portachiavi iCloud. I cybercriminali erano in grado di utilizzare questi dati per ottenere l’accesso costante agli account delle vittime e per impossessarsi di altri dati anche nel caso lo spyware fosse stato eliminato dal dispositivo;
  • Messaggi su iMessage, Hangouts, Telegram, Skype, Voxer, Viber e WhatsApp. Il malware rubava informazioni dai database delle app, dove i messaggi sono custoditi in formato non cifrato;
  • Messaggi sulle app di post Gmail, Yahoo, Outlook, QQmail e MailMaster. Lo spyware poteva anche ottenere questi messaggi dai corrispondenti database delle app;
  • Cronologia di chiamate ed SMS;
  • Informazioni in tempo reale sull’ubicazione del dispositivo, se attivo il GPS;
  • Contatti;
  • Foto;
  • Note;
  • Memo vocali.

Inoltre, se richiesto dal server command-and-control, il malware inviava ai cybercriminali un elenco di app presenti sul dispositivo e i dati da ognuna di esse. Ciò che è peggio, tutte queste informazioni erano inviate in plain text. Insomma, se l’iPhone infetto si fosse collegato a una rete Wi-Fi pubblica, chiunque (e non solo i creatori dello spyware) avrebbe potuto visualizzare password, messaggi e tutto ciò che riguardava la vittima e inviato dal malware.

Inoltre, agli sviluppatori dello spyware non interessava se il malware avesse lasciato tracce nel sistema, in quanto lo spyware sarebbe comunque sparito dallo smartphone al riavvio. Ma per l’importanza dei dati coinvolti (che il malware riusciva a rubare in un colpo solo), si tratta di una magra consolazione.

Il peggio è passato… oppure no?

Gli sviluppatori di Apple hanno risolto queste vulnerabilità (che i cybercriminali hanno potuto sfruttare durante tutto questo tempo) grazie alla campagna di aggiornamenti iOS 12.1.4 rilasciata agli inizi del febbraio scorso. Per cui le ultime versioni del sistema operativo sono protette da questi tipi di attacchi.

Tuttavia, secondo gli esperti, diverse migliaia di utenti alla settimana hanno visitato questi siti dannosi e molto probabilmente le vittime sono state tante. Inoltre, i siti ormai neutralizzati potrebbero essere stati rimpiazzati da nuovi siti che stanno sfruttando vulnerabilità ancora da scoprire.

Come evitare che il vostro iPhone venga infettato da un malware

In base a quanto descritto, effettivamente il vostro smartphone Apple potrebbe essere infettato da un sito dannoso e le conseguenze potrebbero essere davvero importanti. Per questo motivo, vi consigliamo di prestare molta cautela, anche se pensate che nulla possa mettere in pericolo il vostro dispositivo.

  • Assicuratevi che sul vostro iPhone sia sempre presente l’ultima versione di iOS e scaricate gli aggiornamenti non appena disponibili. Nelle nuove versioni, gli sviluppatori risolvono le vulnerabilità di cui potrebbero approfittare i cybercriminali (e, come avete potuto ben vedere, si tratta di minacce concrete);
  • Non cliccate su link presenti in annunci pubblicitari, e-mail, messaggi provenienti e così via da mittenti sconosciuti. Attenzione anche ai risultati di ricerca: se avete dubbi circa l’autenticità di una particolare risorsa, meglio non aprirla.

Una soluzione di sicurezza dotata della tecnologia per l’analisi comportamentale in grado di bloccare anche le minacce non conosciute in precedenza potrebbe essere una buona soluzione per proteggere il vostro iPhone. Tuttavia, purtroppo, non ci sono soluzioni antivirus vere e proprie per iOS.

Riassumendo. Un iPhone può essere infettato semplicemente se si visita un sito dannoso: vero o falso?

Vero. I siti dannosi possono sfruttare vulnerabilità presenti nel browser mobile e in iOS per installare qualsiasi tipo di malware. Le minacce scoperte dai ricercatori di Project Zero di Google non sono più un pericolo, ma potrebbero spuntarne di nuove in qualsiasi momento.

 

Fonte
Kaspersky blog

9 Settembre 2019

Kaspersky : una trappola irresistibile per i malware

Eugene Kaspersky
 

L’emulazione , le sandbox, uno dei metodi per investigare circa la sicurezza di un oggetto.

Due articoli di Eugene Kaspersky : il primo qui.
Oggi il secondo:

“… un emulatore introduce l’oggetto investigato in un ambiente artificiale isolato, spingendolo a rivelare il suo carattere dannoso.

 

Tuttavia, questa strategia presenta un grande svantaggio: il fatto che l’ambiente sia artificiale. L’emulatore si sforza per rendere l’ambiente artificiale un ambiente vero del sistema operativo, ma i malware sempre più intelligenti riescono ancora a distinguerlo dalla realtà. L’emulatore poi vede che il malware lo ha riconosciuto, mette insieme e migliora la sua emulazione, e così via in un ciclo infinito che apre le porte della vulnerabilità a un computer protetto. Il problema fondamentale è che ancora nessun emulatore rappresenta l’immagine speculare di un vero sistema operativo.

 

D’altra parte, c’è un altro metodo per far fronte all’analisi comportamentale degli oggetti sospetti: analizzarli (in un sistema operativo reale) dentro una macchina virtuale. Beh, perché no? Se l’emulatore non lo ferma completamente, lasciate che lo faccia una macchina (reale) virtuale! Sarebbe l’interrogatorio ideale: si svolge in un ambiente reale, non artificiale, ma senza le conseguenze negative reali.

Ascoltando questo concetto, è possibile che alcuni si chiedano perché nessuno ci aveva mai pensato prima. Dopotutto, la virtualizzazione è una delle tendenze della tecnologia dal 1992. Beh, a quanto pare non è così semplice.

 

Prima di tutto, l’analisi degli oggetti sospetti in una macchina virtuale è un processo che utilizza molte risorse, cosa che risulta idonea solo per le soluzioni di sicurezza di grandi aziende dove l’analisi deve essere super intensa, in modo che assolutamente nessun oggetto dannoso riesca a superare le difese. Ahimè, questa tecnologia non è adatta ai computer di casa e agli smartphone, almeno per ora.

 

In secondo luogo, questa tecnologia esiste  per davvero. Infatti, la usiamo già internamente qui nella Kompagnia, per effettuare indagini. Però se parliamo di prodotti per essere venduti, non ce ne sono ancora molti disponibili. La concorrenza ha rilasciato prodotti simili, ma la loro efficacia lascia ancora molto a desiderare. In generale, questi prodotti si limitano a raccogliere registri e analisi di base.

 

In terzo luogo, avviare un file in una macchina virtuale è solo l’inizio di un lungo e difficoltoso processo. Dopotutto, l’obiettivo dell’esercizio è quello di far sì che si riveli la natura dannosa di un oggetto; e per far ciò c’è bisogno (tra le altre cose) di un hypervisor intelligente, l’analisi e il registro comportamentale, la messa a punto costante dei modelli di azioni pericolose, la protezione contro i trucchi anti-emulazione e l’ottimizzazione dell’esecuzione.

 

Posso affermare senza falsa modestia che siamo molto avanti rispetto al resto del mondo!

Recentemente, abbiamo ottenuto un brevetto statunitense (US10339301) che riguarda la creazione di un ambiente adeguato a far sì che la macchina virtuale effettui analisi veloci e profonde di oggetti sospetti. Funziona così:

  • Le macchine virtuali sono state create (per diversi tipi di oggetti) con impostazioni che assicurano la loro esecuzione ottimale e un tasso di rilevamento altissimo;
  • L’hypervisor di una macchina virtuale funziona insieme al registro del comportamento di un oggetto e dell’analisi del suo sistema, con l’aiuto dei database aggiornabili dei modelli comportamentali sospetti, dell’euristica e della logica di azione-reazione e molto altro;
  • Se vengono rilevate azioni sospette, il sistema di analisi incorpora al volo i cambiamenti nel processo di esecuzione dell’oggetto in una macchina virtuale con il fine di fargli rivelare le sue intenzioni dannose. Per esempio, il sistema può creare file, modificare il registro, accelerare i tempi e così via.

Il terzo e ultimo punto è la caratteristica più unica e interessante della nostra tecnologia. Lasciate che vi faccia un esempio per farvi capire come funziona.

Il sistema rileva che un file “si è addormentato” e non da più segni di attività. Ciò è dovuto al fatto che può essere stato programmato per rimanere inattivo per vari minuti, decine di minuti o anche ore prima di mostrare la sua attività dannosa. Quando inizia la sua falsa inattività, acceleriamo il tempo del funzionamento della macchina virtuale in modo da far passare uno, tre, cinque, e fino a un miliardo di minuti al secondo. La funzionalità dell’oggetto in analisi non cambia, mentre il tempo di attesa si riduce di cento (fino a mille) volte; e se dopo il suo “pisolino,” il malware decide di verificare l’orologio di sistema (ha seguito il proprio corso?), gli si farà credere che è così, pertanto continuerà con la sua missione dannosa e, di conseguenza, si esporrà nel processo.

Un altro esempio.

L’oggetto sfrutta una vulnerabilità in una libreria specifica o cerca di cambiare il contenuto di un file o di un registro. All’inizio, con l’aiuto della funzione comune fopen() cercherà di aprire la libreria (file o registro) e, se fallisce (non esiste nessuna libreria, né i diritti d’accesso), si arrenderà semplicemente. In questa situazione, cambiamo (al volo) il valore di ritorno della funzione fopen() da “file inesistente” a “file esistente” (o se necessario, creiamo il file e inseriamo il contenuto corrispondente); poi, osserviamo semplicemente come si comporta l’oggetto.

Questa strategia funziona molto bene anche nella condizione di alberi logici del comportamento di un oggetto. Ad esempio, se esistono un file A e un file B, allora si modifica il file C ed è fatta. Tuttavia, non si sa ciò che farà il programma soggetto all’indagine e se esiste solo il file A o il file B; dopodiché analizziamo l’attività dell’albero logico.

Una cosa degna di nota è che le regole di reazione per l’esecuzione dei file son configurate attraverso database esterni e facilmente aggiornabili. Non c’è bisogno di sviluppare di nuovo l’intero motore per aggiungere una nuova logica, basta solo descrivere la moltitudine di scenari possibili del comportamento dannoso e aggiornarla con un click.

Ed è così che funziona in sostanza la nostra tecnologia. Sarà presto aggiunta a KATA e verrà commercializzata come una soluzione indipendente per le aziende: Kaspersky Sandbox.

…”

Fonte
Kaspersky blog

2 Settembre 2019

Il ransomware Syrk si nasconde nel pacchetto di trucchi per Fortnite

I criminali informatici cercano di ricavare introiti da qualsiasi cosa goda di favore pubblico, persino i giochi più popolari. Il malware spesso finge di essere una copia pirata o una versione mobile di un gioco, soprattutto se quest’ultimo non è stato ufficialmente pubblicato.

Una delle ultime novità è Syrk, un ransomware encryptor che si fa passare per un pacchetto di trucchi per Fortnite, un gioco che in soli due anni ha all’attivo 250 milioni di utenti. Syrk promette ai giocatori due trucchi: aimbot (uno strumento per mirare automaticamente) e WH (conosciuto anche come ESP, che scopre la localizzazione di altri utenti). In realtà, quello che fa davvero è cifrare i file delle vittime e chiedere un riscatto.

Come funziona il ransomware Syrk

Secondo i ricercatori Cyren, Syrk è una copia intatta di un ransomware open source. Una volta eseguito, il software si connette a un server command and control e disattiva i seguenti programmi:

  • Windows Defender
  • UAC (il sistema che richiede l’autorizzazione dell’utente per eseguire operazioni da amministratore).
  • Applicazioni di monitoraggio dei processi che possono essere usate per individuare infezioni come Task Manager, Process Monitor e Process Hacker.

Inoltre, questo malware si aggiunge autonomamente all’elenco di caricamento automatico, per far sì che l’utente non possa disfarsi del problema semplicemente riavviando il computer.

Il malware inizia a localizzare e a cifrare file multimediali, documenti di testo, fogli di calcolo, archivi ZIP e RAR, file di Photoshop e Microsoft Visual Studio, e infine aggiunge al file l’estensione .SYRK.

Sullo schermo appare una richiesta di riscatto impossibile da chiudere.

https://twitter.com/leotpsc/status/1156875558174769152

Il testo con la maschera di Guy Fawkes sullo sfondo dice che l’unico modo per recuperare i file è quella di contattare i criminali via mail e pagarli. La vittima ha un tempo limitato per farlo: Syrk eliminerà i file cifrati ogni due ore, prima le cartelle con le immagini, poi quelle del desktop e infine i documenti dell’utente.

Come recuperare i file e gratis

 Abbiamo una buona notizia: anche se Syrk ha penetrato nel vostro pc e ha cifrato i vostri documenti, non dovete pagare il riscatto. La sua versione attuale custodisce la chiave necessaria per decifrare i file del computer infettato in un file chiamato -pw+.txt o +dp-.txt.

Per recuperare i vostri file:

  • Copiate la chiave;
  • Nella finestra di richiesta del riscatto, premete su  Mostra il mio ID per aprire una pagina che mostra il vostro ID e vi invita a introdurre la chiave per decifrare i file.
  • Incollate la chiave nel campo corrispondente e premete Decifra i miei file.

Il programma recupererà le foto e i documenti cifrati, creando ed eseguendo due file .exe, i quali elimineranno i resti del malware.

C’è anche un altro modo per recuperare i file, anche se è più complicato. La verità è però che il malware include una componente di decifrazione che recupererà i documenti, sempre che riusciate ad estrarlo ed eseguirlo. L’infezione dovrà comunque essere eliminata manualmente.

Come proteggersi dai ransomware

Secondo i ricercatori, i dati eliminati da Syrk possono essere recuperati, anche se è possibile che abbiate bisogno dell’aiuto di esperti.

Recuperare i file grazie all’aiuto della chiave archiviata funziona, ma i creatori del malware possono impostare questo strumento per negare all’utente l’opportunità di decifrare i file senza pagare il riscatto. Come sempre, la migliore strategia è quella di evitare che il malware vi infetti.

  • Non scaricate mai programmi da fonti non attendibili, nonostante vi promettano grandi vantaggi per i vostri giochi;
  • Effettuate il backup dei file e custoditelo adeguatamente per far sì che nessuno possa accedervi direttamente attraverso il vostro computer. Se utilizzate hard disk o memorie USB, vanno collegate solo per effettuare i backup;
  • Installate una soluzione di sicurezza di fiducia.Kaspersky Internet Security rileva Syrk come oggetto dannoso, che non potrà mai accedere ai vostri file, nonostante proviate a scaricarlo ed eseguirlo.

Fonte
Kaspersky Blog

28 Agosto 2019

Blog & News

Categorie