StrongPity un attacco APT interessato all’Italia

Il ricercatore di Kaspersky Lab, Kurt Baumgartner, ha evidenziato in una ricerca una woodpicker pericolosa minaccia chiamata: StrongPity. Si tratta di un malware utilizzato per effettuare attacchi persistenti (APT), utilizzati per rubare dati confidenziali.

Il malware StrongPity viene distribuito tramite gli installar opportunamente modificati di due applicativi utilizzati per la crittografia: WinRAR e TrueCrypt. L’utente alla ricerca di uno di questi software, durante la ricerca potrebbe imbattersi in un sito da cui fare il download che presenta la versione di uno di questi software alterata.

Conclusa l’installazione l’applicazione binoculars scelta funziona regolarmente, purtroppo però entra in funzione anche il meccanismo di controllo del malware che permette ai criminali informatici di aver il controllo completo del sistema, permettendo di rubare i contenuti dei dischi e inviare al target dei moduli aggiuntivi del malware per ottenere informazioni mirate in base al sistema target.

Il malware è stato distribuito a partire da maggio 2016 da un sito italiano di distribuzione di WinRAR. In questo caso gli utenti non venivano reindirizzati ad un sito che proponeva una versione modificata, ma ottenevano direttamente l’installer dannoso StrongPity dal sito distributore. In alcuni casi erano presenti dei domini che invertivano alcuni caratteri e che conducevano a siti malevoli da cui scaricare l’applicazione modificata.

Questo malware era diretto in particolare contro gli utenti italiani, con l’87% delle infezioni a livello mondiale.

Questo genere di malware è particolarmente difficile da scoprire, la macchina infetta non mostra sintomi di infezione, l’obiettivo di un attacco APT e rubare i dati in maniera persistente e sempre più mirata.

I prodotti Kaspersky Lab individuano e rimuovono i componenti di StrongPity con i nomi: HEUR:Trojan.Win32.StrongPity.gen, Trojan.Win32.StrongPity.* ed altri nomi generici di infezione.

Argonavis è a vostra disposizione per fornirvi ulteriori informazioni su aspetti tecnici e commerciali, ed illustrarvi la convenienza nel proteggere i vostri sistemi con le tecnologie più efficaci.

Richiedi Informazioni

Sandbox Analysis

Con la diffusione massiva dei ransomware il mercato dei prodotti di Cyber Security ha iniziato a proporre sempre più frequentemente dei sistemi di protezione che fanno ricorso a delle sandbox in cloud, per riuscire ad individuare tempestivamente i malware più recenti e limitarne la pericolosità. matrix

I sistemi di analisi in sandbox pur basandosi sempre sull’analisi comportamentale, come i sistemi di analisi euristica presenti all’interno delle soluzioni antimalware, permettono di effettuare dei controlli più accurati, sia di tipo statico che di tipo dinamico.

Ad esempio permettono di analizzare il traffico di rete che l’oggetto in analisi tenta di compiere, analizzano l’utilizzo della memoria e le chiamate alle librerie di sistema fatte dall’applicazione con l’obiettivo di analizzarne il comportamento.

I malware più sofisticati sono capaci di capire quando si trovano all’interno di un ambiente di analisi euristico misurando alcuni parametri legati all’hardware, ad esempio viene misurata la quantità di risorse, irrisoria rispetto allo standard di mercato. Un ambiente euristico su una workstation arriva a consumare circa 200 MB di Ram (che per la workstation se non adeguatamente robusta potrebbero essere giù un problema).

evasione Il malware può rilevare l’interazione assente dell’utente, ad esempio il malware può individuare che la posizione del puntatore del mouse dell’ambiente di analisi euristica non cambia durante l’analisi.

Infine la durata dell’analisi ha la sua rilevanza, esistono alcuni esemplari di malware che rimangono inoffensivi per diversi minuti, con l’auspicio che al termine di questo di periodo l’analisi sia terminata ed il malware possa aver concluso la sua “evasione“.

La maggior accuratezza dell’analisi di una sandbox piuttosto che dell’analisi euristica dipende principalmente dalle proprietà dall’ambiente di analisi, che permette di rendere vane le tecniche di elusione degli ambienti di analisi euristica. key

Le macchine virtuali che compongono una sandbox approssimano con grande realismo un ambiente reale (pur essendo isolato), su queste macchine viene permesso al malware di manifestare la propria aggressività e ne vengono studiati i comportamenti. Al termine dell’analisi sarà sufficiente il ripristino dello snapshot per ripristinare l’ambiente e prepararsi ad una nuova analisi.

L’approccio di lotta al malware non è una novità, da anni i ricercatori che analizzano i malware ne fanno uso per effettuare l’analisi statica ed individuare le firme da utilizzare per arrestare il malware, la novità è la messa a disposizione al pubblico di questi sistemi.

Komplex un nuovo malware per OS X

E’ stato individuato un nuovo malware costruito per colpire sistemi OS X e chiamato Komplex (Trojan.OSX.Sofacy.gen dal motore anti-malware Kaspersky per MAC)

Il malware è della famiglia dei Trojan, sembra essere legato al gruppo Sofacy, un gruppo di Cyber Spionaggio responsabile anche della recente diffusione di dati che proverebbero il ricorso al doping degli atleti americani impegnati alle olimpiadi provenienti dai server dell’agenzia internazionale per la lotta al doping, è stato costruito per sferrare attacchi mirati, rubando informazioni ed eseguendo comandi arbitrari sulla macchina infettata.

Il malware effettua dei controlli ed implementa tecniche di evasione dall’analisi euristica ed è in di accorgersi se viene eseguito in una sandbox.

Sofacy_1-500x391

Komplex scarica un’altro componente “dropper” e lo posiziona nella cartella “/tmp/content” (SHA256: 96a19a90caa41406b632a2046f3a39b5579fbf730aca2357f84bf23f2cbc1fd3).
Il componente “dropper” a sua volta installa in maniera persistente, inserendolo fra le applicazioni eseguite all’avvio del sistema operativo un terzo componente eseguibile reperibile nella cartella “/Users/<nome_utente>/.local/kextd” (SHA256:
227b7fe495ad9951aebf0aae3c317c1ac526cdd255953f111341b0b11be3bbc5), assieme ad un file di tipo plist posizionato in “/Users/<nome_utente>/com.apple.updates.plist” (SHA256:
1f22e8f489abff004a3c47210a9642798e1c53efc9d6f333a1072af4b11d71ef) ed uno script che si occupa della persistenza del malware “/Users/<nome_utente>/start.sh” (SHA256:
d494e9f885ad2d6a2686424843142ddc680bb5485414023976b4d15e3b6be800).

Come già avvenuto in passato il vettore di penetrazione sfruttato da questo malware è la posta elettronica.

Il messaggio virato contiene un solo allegato in forma di pacchetto eseguibile che a sua volta contiene il codice cifrato del malware, gli script e un documento in formato PDF.

Quando viene aperto l’allegato, il codice del malware carica e apre un documento PDF. L’utente ritiene che il risultato della sua operazione sia congruo, si aspettava di aprire un allegato e così è stato, non immaginando che invece ha installato un malware sul proprio sistema.

Questo genere di malware, il trojan è molto insidioso, il sistema vittima di questo attacco non ha una sintomatologia che gli permetta di capire che è stato attaccato, tuttavia questi malware lasciano delle porte aperte ai criminali che sono riusciti ad installarlo.

Tramite il server Command & Control possono rubare dati presenti sul sistema e scaricare file aggiuntivi sulla macchina in modo da poter eseguire comandi di shell arbitrari, il cui risultato viene inviato come risposta al server C&C

La prevenzione in questi casi è fondamentale, sono necessari un ottimo sistema antispam ed un ottimo antimalware.

Logo_Esva

LibraESVA è fra i migliori antispam, grazie al sistema di filtraggio basato su 14 stadi di scansione, i 3 motori antimalware disponibili, il sistema sandbox per l’analisi dei collegamenti è in grado di filtrare il 99,97% dei messaggi di spam, con un tasso di falsi positivi quasi assenti.

Kaspersky Endpoint Security for Business è disponibile anche per sistemi MAC, ed è già in grado di bloccare questa minaccia. Logiche commerciali hanno trasmesso il concetto che i sistemi OS X fossero esclusi dalla minaccia dei malware, purtroppo la realtà è differente, pur non essendo diffusi come per altre piattaforme, i malware esistono anche per OS X, proteggersi è una reale esigenza.

Richiedi Informazioni

Pensi che la tua password sia veramente sicura?

La scelta di una buona password è una delle operazioni più importanti e sottovalutate che l’utente informatico si trova a fare.

Esistono delle regole abbastanza precise che permettono di selezionarne una efficace, tuttavia spesso il problema diventa ricordarla senza doverla scrivere da qualche parte, riducendone l’efficacia.

Kaspersky ha reso pubblico un servizio che permette di testare la complessità della password: https://password.kaspersky.com/it/ dando una indicazione temporale del tempo che sarebbe necessario per individuarla.

kaspersky password

Anche se lo strumento dovesse indicare che il tempo per scoprire con degli strumenti automatici fosse di oltre 10000 secoli, di cambiare la password ogni 6 mesi. La digitazione frequente e magari fatta postazioni “insicure” come ad esempio da PC posti in luoghi pubblici, potrebbe mettere a rischio la riservatezza della password.

Inserire una eccezione per la sandbox di LibraESVA

Nell’ultima versione di LibraESVA 4.0.0 è stata rilasciata una interessantissima funzionalità la Sandbox, che permette di analizzare la pericolosità dei link prima di poterci accedere.

Il link nel messaggio viene riscritto, in modo da indirizzarlo verso la sandbox installata negli EsvaLabs ed essere analizzato.

In alcuni casi è utile poter inserire delle eccezioni alla riscrittura. LibraESVA anche in questo caso ci permette di scegliere per quali domini non effettuare la riscrittura del link.

Dal menù “System” -> “Content Analisys” -> “Phishing Highlight” possiamo inserire dei siti da considerare SAFE

eccezioni sandbox

Nota: per i siti considerati sicuri e su cui non si vuole la riscrittura mettere il valore Phishing Safe: Yes, mettendo Phishing Safe: No i link che rispondono alla regola verranno considerati sempre come Phishing.

Dopo aver inserito le regole ricordarsi di applicare le nuove impostazioni

phishing apply settings

Argonavis ti invita a richiedere una prova di 30 giorni di LibraESVA, per provare sul tuo dominio gli straordinari risultati di filtraggio dello spam e dei malware allegati a messaggi di posta elettronica.

Richiedi Informazioni

Categorie