Scoperto AppleJeus , la campagna che attacca anche piattaforme macOS

I ricercatori del Global Research and Analysis Team (GReAT) di Kaspersky Lab hanno scoperto AppleJeus, una nuova operazione malevola del famigerato gruppo hacker Lazarus. Gli aggressori si sono infiltrati in un network di cambio di criptovaluta in Asia utilizzando software di commercio di criptovalute Trojanized. L’obiettivo dell’attacco era rubare criptovaluta dalle loro vittime. Oltre al malware basato su Windows, i ricercatori sono stati in grado di identificare una versione precedentemente sconosciuta che prende di mir applejeus a le piattaforme macOS.

Questo è il primo caso in cui i ricercatori di Kaspersky Lab hanno osservato il famigerato gruppo Lazarus distribuire malware destinato ad utenti macOS e questo rappresenta un campanello d’allarme per tutti coloro che utilizzano questo sistema operativo per attività correlate alle criptovalute.

Sulla base delle analisi condotte dal GReAT, l’infiltrazione nell’infrastruttura della borsa è iniziata quando un dipendente ignaro della società ha scaricato un’applicazione di terze parti dal sito web legittimo di un’azienda che sviluppa software per il trading di criptovaluta.

Il codice dell’applicazione non è sospetto, ad eccezione di un componente: un aggiornamento. Nel software legittimo tali componenti vengono utilizzati per scaricare nuove versioni dei programmi. Nel caso di AppleJeus, si comporta come un modulo di ricognizione: prima raccoglie le informazioni di base sul computer su cui è stato installato e successivamente invia queste informazioni al server di comando e controllo e se gli aggressori decidono che il computer merita d’esser attaccato, il codice dannoso ritorna sotto forma di un aggiornamento software. L’aggiornamento dannoso installa un trojan noto come Fallchill, un vecchio tool che il gruppo Lazarus è tornato recentemente ad usare. Questo fatto ha fornito ai ricercatori una base per l’attribuzione. Al momento dell’installazione, il Trojan Fallchill fornisce agli aggressori un accesso quasi illimitato al computer attaccato, consentendo loro di rubare preziose informazioni finanziarie o di distribuire tool aggiuntivi a tale scopo.

La situazione è stata aggravata dal fatto che i criminali hanno sviluppato software sia per la piattaforma Windows che per la piattaforma macOS. Quest’ultima è generalmente molto meno esposta alle minacce informatiche rispetto a Windows. Le funzionalità delle due versioni della piattaforma del malware sono esattamente le stesse.

Un’altra cosa insolita dell’operazione AppleJeus è che mentre sembra un attacco supply-chain, in realtà, poi si mostra non esserlo. Il fornitore del software di trading di criptovaluta utilizzato per inviare il payload dannoso ai computer delle vittime dispone di un certificato digitale valido per la firma del suo software e record di registrazione che sembrano legittimi per il dominio. Tuttavia, almeno sulla base di informazioni pubblicamente disponibili, i ricercatori di Kaspersky Lab non sono stati in grado di identificare alcuna organizzazione legittima con sede all’indirizzo utilizzato nelle informazioni del certificato.

“All’inizio del 2017, abbiamo notato un crescente interesse del gruppo Lazarus per i mercati delle criptovalute, quando il software di mining Monero è stato installato su uno dei loro server da un operatore Lazarus. Da allora, sono stati individuati più volte prendere di mira i cambi di criptovaluta e tradizionali organizzazioni finanziarie. Il fatto che abbiano sviluppato malware per infettare gli utenti di macOS in aggiunta agli utenti di Windows e, molto probabilmente, persino creato una società di software e un prodotto software completamente falsi per essere in grado di fornire questo malware che non viene rilevato dalle soluzioni di sicurezza, significa che vedono profitti potenzialmente grandi nell’intera operazione e dovremmo aspettarci sicuramente più casi simili nel prossimo futuro. Per gli utenti macOS, questo caso è un campanello d’allarme, soprattutto se utilizzano i propri Mac per eseguire operazioni con criptovalute“, osserva Vitaly Kamluk, Head of GReAT APAC team di Kaspersky Lab.
Il gruppo Lazarus, noto per le sue sofisticate operazioni e collegamenti con la Corea del Nord, è noto non solo per i suoi attacchi di cyberspionaggio e cyber sabotaggio, ma anche per gli attacchi verso obiettivi finanziari. Diversi ricercatori, tra cui quelli di Kaspersky Lab, hanno riportato in passato notizie su questo gruppo relative a obiettivi come banche e altre grandi imprese finanziarie.

Per proteggersi e proteggere la propria azienda da sofisticati attacchi informatici da parte di gruppi come Lazarus, gli esperti di sicurezza di Kaspersky Lab consigliano alcuni accorgimenti:

Non fidarsi automaticamente del codice in esecuzione sui propri sistemi. Né un sito web dall’aspetto autentico, né un solido profilo aziendale, né certificati digitali garantiscono l’assenza di backdoor.
Utilizzare soluzioni di sicurezza solide, dotate di tecnologie di rilevamento del comportamento malevolo che consentano di bloccare anche minacce precedentemente sconosciute.
Iscrivere il team di sicurezza della propria organizzazione ad un servizio di qualità di reporting di intelligence delle minacce per ottenere un accesso tempestivo alle informazioni sugli sviluppi più recenti delle tattiche, tecniche e procedure di sofisticati autori di minacce.
Usare l’autenticazione multi-fattore e portafogli hardware se si ha a che fare con transazioni finanziarie significative. A tale scopo, utilizzare preferibilmente un computer standalone isolato che non si utilizza per navigare in Internet o leggere la posta elettronica.

Per ulteriori approfondimenti è disponibile la versione completa del rapporto su Securelist.

Fonte
Questar

Man-in-the-Disk: un nuovo, pericoloso sistema per hackerare i dispositivi Android

Android è un buon sistema operativo e i suoi sviluppatori hanno davvero a cuore la sicurezza; tuttavia, con tante versioni del sistema operativo e applicazioni a disposizione, tenere tutto perfettamente sotto controllo non è affatto facile.

Per questo spesso emergono nuovi modi per aggirare i meccanismi di sicurezza integrati.

L’ultimo in ordine di tempo si chiama “Man-in-the-Disk” : in questo articolo Kaspersky ne descrive il funzionamento e illustra alcuni consigli per proteggere il vostro dispositivo Android.

Fonte
Kaspersky Lab Italia

E’ record di Trojan bancari per dispositivi mobile

Kaspersky Lab ha rilasciato un nuovo report dedicato all’evoluzione delle minacce informatiche e al mondo dei malware nel secondo trimestre del 2018.

Tra i dati che sono emersi, risulta che i Trojan bancari per dispositivi mobile sono in cima alla lista delle preoccupazioni legate ai pericoli online.

I Trojan bancari per dispositivi mobile sono uno dei più pericolosi tipi di malware: sono infatti progettati per rubare denaro direttamente dai conti correnti degli utenti in ambito mobile. Questo tipo di attacco è di grande interesse per i criminali informatici di tutto il mondo, alla costante ricerca di guadagni facili. Di solito il malware ha le sembianze di una app legittima, per indurre le persone ad installarla. Una volta avviata l’applicazione bancaria, il Trojan mostra la propria interfaccia sovrapponendola all’interfaccia della app di mobile banking. Quando l’utente inserisce le proprie credenziali, il malware procede con il furto delle informazioni.

Il secondo trimestre del 2018 ha registrato un’ondata significativa di questi tipi di Trojan, che ha raggiunto le 61.045 unità, un valore che può considerarsi storico, se si prende come riferimento l’arco temporale nel corso del quale Kaspersky Lab ha osservato questo tipo di minacce.

Secondo gli esperti di Kaspersky Lab, numeri così alti potrebbero essere parte di una tendenza globale, caratterizzata dalla crescita di malware rivolti al mondo mobile: il numero complessivo di pacchetti di installazione di malware per mobile è aumentato di oltre 421.000 unità nel secondo trimestre del 2018 rispetto al trimestre precedente.

Tra gli altri dati emersi dal report sulle minacce online relative al secondo trimestre del 2018:

Le soluzioni Kaspersky Lab hanno rilevato e respinto 962.947.023 attacchi dannosi da risorse online localizzate in 187 paesi in tutto il mondo.
I componenti web antivirus hanno riconosciuto come malevoli 351.913.075 URL unici.
Sono stati 215.762 i computer degli utenti che hanno registrato tentativi di infezione da parte di malware che avevano come obiettivo il furto di denaro tramite l’accesso online ai conti bancari.
L’antivirus Kaspersky Lab ha rilevato un totale di 192.053.604 elementi unici potenzialmente malevoli e indesiderati.
Le soluzioni per la sicurezza mobile di Kaspersky Lab hanno rilevato anche 1.744.244 pacchetti di installazione malevoli.

Per ridurre il possibile rischio di infezione, si consiglia agli utenti di:

Installare applicazioni solo da fonti attendibili, preferibilmente dagli app store ufficiali.
Controllare le autorizzazioni richieste dall’app; la presenza di richieste non in linea con l’attività specifica dell’app in questione (ad esempio un lettore chiede di accedere a messaggi e chiamate) può essere segno di una app potenzialmente pericolosa.
Utilizzare una soluzione di sicurezza solida per la protezione da software malevoli e dalle loro azioni. La versione free di Kaspersky Internet Security for Android, ad esempio, può essere utile per evitare di cadere in situazioni spiacevoli.
Non cliccare su link presenti in email da spam.
Non eseguire la procedura di root del dispositivo che potrebbe fornire ai cybercriminali funzionalità senza limiti.

Il Comunicato stampa_Report di Kaspersky Lab su evoluzione delle cyberminacce e malware_Q2 2018

Fonte
Kaspersky LAB

Aziende dell’ambito industriale sotto attacco di spear phishing

I ricercatori di Kaspersky Lab hanno rilevato una nuova ondata di email di spear phishing di tipo finanziario progettate dai cybercriminali per ottenere profitti. Le email hanno le sembianze di comunicazioni legittime in ambito di appalti, acquisti e altre questioni contabili e hanno colpito almeno 400 organizzazioni industriali, la maggior parte delle quali in Russia. La serie di attacchi ha avuto inizio nell’autunno del 2017 e ha coinvolto diverse centinaia di PC aziendali in vari settori, dall’Oil&Gas al metallurgico, dal settore energetico a quelli dell’edilizia e della logistica. Kaspersky

Dall’ondata di email rilevata da Kaspersky Lab, emerge come i cybercriminali non abbiano attaccato realtà industriali e altre organizzazioni, ma come si siano concentrati in maniera precisa proprio sull’ambito industriale. Hanno inviato email contenenti allegati malevoli e hanno cercato di indurre le vittime inconsapevoli a fornire dati riservati, che potrebbero poi essere utilizzati per ottenere un ritorno economico.

Secondo i dati di Kaspersky Lab, questa ondata di email ha preso di mira circa 800 PC dei dipendenti, con l’obiettivo di rubare denaro e dati riservati alle organizzazioni, da utilizzare poi in ulteriori attacchi. Le email avevano le sembianze di comunicazioni legittime in ambito di appalti, acquisti e altre questioni contabili, con contenuti che corrispondevano al profilo delle organizzazioni attaccate e che tenevano conto anche dell’identità del dipendente – il destinatario della lettera. È interessante notare come gli attaccanti si siano persino rivolti alle vittime designate per nome. Questo suggerisce che gli attacchi sono stati preparati in modo accurato e che i cybercriminali hanno dedicato del tempo allo sviluppo di comunicazioni personalizzate per ciascun utente.

Quando il destinatario cliccava sugli allegati malevoli, veniva installato sul computer e in modo discreto un software legittimo modificato, in modo che i cybercriminali potessero connettersi ad esso, esaminare documenti e software relativi alle operazioni di approvvigionamento, a quelle finanziarie o contabili. Inoltre, gli attaccanti erano alla ricerca di ulteriori modi per commettere frodi a scopo economico, come cambiare i requisiti nelle fatture di pagamento per ottenere denaro a loro vantaggio.

phishing Inoltre, ogni volta che i cybercriminali avevano bisogno di altri dati o funzionalità aggiuntive, come ottenere privilegi da amministratore locale o rubare dati di autenticazione di un utente o account Windows per diffondersi all’interno della rete aziendale, gli attaccanti caricavano set aggiuntivi di malware, preparati in modo individuale per colpire ciascuna vittima. Questo processo poteva includere degli spyware, strumenti aggiuntivi di amministrazione da remoto che estendono le possibilità di controllo da parte dei cybercriminali sui sistemi infetti, e malware, per sfruttare le vulnerabilità nel sistema operativo, fino ad uno strumento come Mimikatz che consente agli utenti di ottenere dati dagli account Windows.

“Gli attaccanti hanno dimostrato un chiaro interesse nel prendere di mira realtà industriali in Russia. Sulla base della nostra esperienza, questo è probabilmente dovuto al fatto che il loro livello di consapevolezza in materia di cybersicurezza non è così alto come in altri settori, ad esempio in quello dei servizi finanziari. Questo fa sì che le organizzazioni industriali diventino un obiettivo potenzialmente redditizio per i cybercriminali – non solo in Russia, ma in tutto il mondo“, ha affermato Vyacheslav Kopeytsev, Security Expert di Kaspersky Lab.

I ricercatori di Kaspersky Lab consigliano agli utenti di adottare i seguenti accorgimenti per proteggersi da attacchi di spear-phishing:
Utilizzare soluzioni di sicurezza con funzionalità dedicate al rilevamento e al blocco di tentativi di phishing. Le aziende possono proteggere i propri sistemi di posta elettronica on-premise con applicazioni mirate all’interno della suite Kaspersky Endpoint Security for Business. Kaspersky Security for Microsoft Office 365, ad esempio, aiuta a proteggere anche il servizio di posta Exchange Online all’interno della suite Microsoft Office 365 basata su cloud.
Avviare iniziative per sensibilizzare i dipendenti al tema della sicurezza, compresa la formazione basata sul gaming con la valutazione delle competenze e il loro potenziamento, attraverso la ripetizione di attacchi di phishing simulati. I clienti di Kaspersky Lab potrebbero trarre notevoli vantaggi dall’utilizzo dei servizi dei training Kaspersky Security Awareness.

Per ulteriori informazioni sulla minaccia del phishing in ambito finanziario, è disponibile anche un approfondimento sul sito dell’ICS CERT di Kaspersky Lab.

Fonte
Questar

Kaspersky : le password di protezione

E’ in aumento il trend di attacchi all’acceasso RDP dei server, oppure l’impersonazione di un administrator, dopo che un malintenzionato ha avuto accesso ad uno dei client della rete, con la conseguenza di avere piena libertà di disattivare o disinstallare la protezione e rimuovere eventuali log, ottenendo di fatto il controllo del server e lasciando l’utilizzatore ignaro di tutto.

I prodotti Kaspersky dispongono di password di protezione , che si consiglia di attivre di tutte.

Network Agent
ha un’impostazione del genere nella sua policy
Kaspersky Endpoint Security 11
come i suoi predecessori, permette di inserire un nome utente ed una password sia su diverse azioni utente (modifica protezione, chiusura, report, cambio licenza), sia sulla disinstallazione.
Security 10 for Windows Server
ha un’opzione simile nella policy di protezione

Fonte
Questar

Categorie