Komplex un nuovo malware per OS X

E’ stato individuato un nuovo malware costruito per colpire sistemi OS X e chiamato Komplex (Trojan.OSX.Sofacy.gen dal motore anti-malware Kaspersky per MAC)

Il malware è della famiglia dei Trojan, sembra essere legato al gruppo Sofacy, un gruppo di Cyber Spionaggio responsabile anche della recente diffusione di dati che proverebbero il ricorso al doping degli atleti americani impegnati alle olimpiadi provenienti dai server dell’agenzia internazionale per la lotta al doping, è stato costruito per sferrare attacchi mirati, rubando informazioni ed eseguendo comandi arbitrari sulla macchina infettata.

Il malware effettua dei controlli ed implementa tecniche di evasione dall’analisi euristica ed è in di accorgersi se viene eseguito in una sandbox.

Sofacy_1-500x391

Komplex scarica un’altro componente “dropper” e lo posiziona nella cartella “/tmp/content” (SHA256: 96a19a90caa41406b632a2046f3a39b5579fbf730aca2357f84bf23f2cbc1fd3).
Il componente “dropper” a sua volta installa in maniera persistente, inserendolo fra le applicazioni eseguite all’avvio del sistema operativo un terzo componente eseguibile reperibile nella cartella “/Users/<nome_utente>/.local/kextd” (SHA256:
227b7fe495ad9951aebf0aae3c317c1ac526cdd255953f111341b0b11be3bbc5), assieme ad un file di tipo plist posizionato in “/Users/<nome_utente>/com.apple.updates.plist”  (SHA256:
1f22e8f489abff004a3c47210a9642798e1c53efc9d6f333a1072af4b11d71ef) ed uno script che si occupa della persistenza del malware “/Users/<nome_utente>/start.sh” (SHA256:
d494e9f885ad2d6a2686424843142ddc680bb5485414023976b4d15e3b6be800).

Come già avvenuto in passato il vettore di penetrazione sfruttato da questo malware è la posta elettronica.

Il messaggio virato contiene un solo allegato in forma di pacchetto eseguibile che a sua volta contiene il codice cifrato del malware, gli script e un documento in formato PDF.

Quando viene aperto l’allegato, il codice del malware carica e apre un documento PDF. L’utente ritiene che il risultato della sua operazione sia congruo, si aspettava di aprire un allegato e così è stato, non immaginando che invece ha installato un malware sul proprio sistema.

Questo genere di malware, il trojan è molto insidioso, il sistema vittima di questo attacco non ha una sintomatologia che gli permetta di capire che è stato attaccato, tuttavia questi malware lasciano delle porte aperte ai criminali che sono riusciti ad installarlo.

Tramite il server Command & Control possono rubare dati presenti sul sistema e scaricare file aggiuntivi sulla macchina in modo da poter eseguire comandi di shell arbitrari, il cui risultato viene inviato come risposta al server C&C

La prevenzione in questi casi è fondamentale, sono necessari un ottimo sistema antispam ed un ottimo antimalware.

Logo_Esva

LibraESVA è fra i migliori antispam, grazie al sistema di filtraggio basato su 14 stadi di scansione, i 3 motori antimalware disponibili, il sistema sandbox per l’analisi dei collegamenti è in grado di filtrare il 99,97% dei messaggi di spam, con un tasso di falsi positivi quasi assenti.

kaspersky-logo

Kaspersky Endpoint Security for Business è disponibile anche per sistemi MAC, ed è già in grado di bloccare questa minaccia. Logiche commerciali hanno trasmesso il concetto che i sistemi OS X fossero esclusi dalla minaccia dei malware, purtroppo la realtà è differente, pur non essendo diffusi come per altre piattaforme, i malware esistono anche per OS X, proteggersi è una reale esigenza.

argonavislabArgonavis è a vostra disposizione per fornirvi ulteriori informazioni su aspetti tecnici e commerciali, ed illustrarvi la convenienza nel proteggere i vostri sistemi con le tecnologie più efficaci.

Richiedi Informazioni

 

30 Settembre 2016

Pensi che la tua password sia veramente sicura?

La scelta di una buona password è una delle operazioni più importanti e sottovalutate che l’utente informatico si trova a fare.

Esistono delle regole abbastanza precise che permettono di selezionarne una efficace, tuttavia spesso il problema diventa ricordarla senza doverla scrivere da qualche parte, riducendone l’efficacia.

Kaspersky ha reso pubblico un servizio che permette di testare la complessità della password: https://password.kaspersky.com/it/ dando una indicazione temporale del tempo che sarebbe necessario per individuarla.

kaspersky password

Anche se lo strumento dovesse indicare che il tempo per scoprire con degli strumenti automatici fosse di oltre 10000 secoli, di cambiare la password ogni 6 mesi. La digitazione frequente e magari fatta postazioni “insicure” come ad esempio da PC posti in luoghi pubblici, potrebbe mettere a rischio la riservatezza della password.

27 Settembre 2016

Inserire una eccezione per la sandbox di LibraESVA

Nell’ultima versione di LibraESVA 4.0.0 è stata rilasciata una interessantissima funzionalità la Sandbox, che permette di analizzare la pericolosità dei link prima di poterci accedere.

Il link nel messaggio viene riscritto, in modo da indirizzarlo verso la sandbox installata negli EsvaLabs ed essere analizzato.

In alcuni casi è utile poter inserire delle eccezioni alla riscrittura. LibraESVA anche in questo caso ci permette di scegliere per quali domini non effettuare la riscrittura del link.

Dal menù “System” -> “Content Analisys” -> “Phishing Highlight” possiamo inserire dei siti da considerare SAFE

eccezioni sandbox

Nota: per i siti considerati sicuri e su cui non si vuole la riscrittura mettere il valore Phishing Safe: Yes, mettendo Phishing Safe: No i link che rispondono alla regola verranno considerati sempre come Phishing.

Dopo aver inserito le regole ricordarsi di applicare le nuove impostazioni

phishing apply settings

argonavislab

Argonavis ti invita a richiedere una prova di 30 giorni di LibraESVA, per provare sul tuo dominio gli straordinari risultati di filtraggio dello spam e dei malware allegati a messaggi di posta elettronica.

Richiedi Informazioni

23 Settembre 2016

Ransomware Fantom

Sembra un aggiornamento critico di Windows, mentre invece è solo il maschera dietro cui si nasconde Fantom, uno delle ultime varianti di Ransomware scoperte.

Il gruppo MalwareHunterTeam, che ha disoffuscato il codice, ha potuto osservare che dal punto di vista crittogratico assomiglia agli altri Ransomware basati su EDA2, genera una chiave AES a 128 bit da usare per crittografare tutti i file, a sua volta anche la chiave viene crittata con l’algoritmo RSA e viene caricata su un server di Command & Control gestito dai criminali.

cleanup

Una volta iniziato il processo di crittografia dei file, il sistema mostra una maschera tipica di quando è in corso un aggiornamento di Windows, tuttavia la percentuale non riguarda l’aggiornamento del sistema, ma la crittazione dei file presenti.

windows-update-screen

Al termine delle operazioni di crittografia i file colpiti avranno la propria estensione modificata in .fantom ed in ciascuna cartella si potrà trovare il file  DECRYPT_YOUR_FILES.HTML con le istruzioni per pagare il riscatto.

Al momento l’unico modo per decrittare i file è avere la chiave memorizzata sul server Command & Control, ma il suggerimento come al solito è quello di non pagare.

Sicuramente non si tratta di un ransomware particolarmente originale sotto il punto di vista tecnico, ma è originale il suo camuffamento sotto la forma di Windows Update.

Ricordiamo i principali metodi per evitare di essere infettati:

  1. Un ottimo sistema antispam, che filtri messaggi di spam ed i malware allegati
  2. Un ottimo sistema antimalware in grado di filtrare anche le minacce sconosciute
  3. Educare gli utenti a tenere comportamenti corretti evitando di aprire messaggi il cui contenuto non è chiaro.

argonavislab

Argonavis ed i suoi partner sono a tua disposizione per consigliarti ed implementare le migliori scelte per aumentare il livello di sicurezza della tua struttura.

Richiedi Informazioni

5 Settembre 2016

Bug Bounty Program

I Bug Bounty Program sono dei programmi a premio finanziati dai produttori di software, in cui vengono remunerate le scoperte di nuovi bug o vulnerabilità ancora sconosciute.robot-mela

Questi programmi servono ai produttori di software di venire a conoscenza di vulnerabilità e bug che possono mettere in pericolo la sicurezza del loro prodotto, ben consapevoli che in un mercato affollato di concorrenti, basta un passo falso per perdere importanti quote di mercato.

A questo programma possono partecipare tutti i ricercatori capaci di individuare delle falle di sicurezza, quando una di queste viene individuata deve essere rigorosamente segnata ai gestori del programma e deve rimanere riservata fino al momento in cui viene rilasciata una apposita fix, in quel momento viene resa pubblica.

La partecipazione ad un programma di questo genere, lascia intendere un sincero desiderio da parte del vendor di perfezionare il proprio codice riducendo il rischio che possa essere oggetto di un attacco.

2 Settembre 2016

Blog & News

Categorie