Un brutto esempio di phishinig

La diffusione dei Ransomware ha portato molta attenzione al tema della sicurezza informatica ed in particolare verso tutti i metodi di protezione dai ransomware, trascurando l’esistenza di altre pericolose minacce.

Fra queste c’è senza dubbio in Phishing, che continua attraverso campagne mirate a sottrarre dati personali da rivendersi nel mercato nero.

Stamattina mi è capitato di osservare un messaggio di phishing correttamente classificato, ma che mi ha fatto riflettere su alcuni aspetti caratterizzanti di questo messaggio.

Vediamo come era composto:

Delivered-To: <rimosso>
Received: by 10.202.62.131 with SMTP id l125csp2191720oia;
        Tue, 31 May 2016 14:13:07 -0700 (PDT)
X-Received: by 10.194.173.132 with SMTP id bk4mr110281wjc.92.1464729186993;
        Tue, 31 May 2016 14:13:06 -0700 (PDT)
Return-Path: <root@mail.yervaguena.com>
Received: from mail.yervaguena.com (mail.yervaguena.com. [5.56.57.43])
        by mx.google.com with ESMTPS id o84si39196803wmb.94.2016.05.31.14.13.06
        for <angelopenduzzu@gmail.com>
        (version=TLS1_2 cipher=ECDHE-RSA-AES128-GCM-SHA256 bits=128/128);
        Tue, 31 May 2016 14:13:06 -0700 (PDT)
Received-SPF: pass (google.com: best guess record for domain of root@mail.yervaguena.com designates 5.56.57.43 as permitted sender) client-ip=5.56.57.43;
Authentication-Results: mx.google.com;
       spf=pass (google.com: best guess record for domain of root@mail.yervaguena.com designates 5.56.57.43 as permitted sender) smtp.mailfrom=root@mail.yervaguena.com
Received: by mail.yervaguena.com (Postfix, from userid 0)
	id 3DFF513A22A; Tue, 31 May 2016 22:44:06 +0200 (CEST)
To: <rimosso>
Subject: Accesso bloccato al tuo account CheBanca associato con l'indirizzo e-mail angelopenduzzu@gmail.com .
X-PHP-Originating-Script: 0:ch3.php
From: CheBanca! <noreply.5206@ingdirectitalia.it>
Reply-To: noreply.5206@ingdirectitalia.it
Content-Type: text/html
Message-Id: <20160531204406.3DFF513A22A@mail.yervaguena.com>
Date: Tue, 31 May 2016 22:44:06 +0200 (CEST)


<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html>
<a href="http://www.chebanca.it.voKUCJ.thearborist.co.nz/.chebanca.it/?sicurezza=voKUCJ">
<img src="http://www.chebanca.it.Rzfuwt.thearborist.co.nz/images/chebancalogo205.png" height="261" width="632" border="0"></a> <text-align:center;margin-top: -19px;\"><b> </b></p></div
</html>'

Gli aspetti interessanti sono due:

  • L’indirizzo del mittente usa il dominio ingdirectitalia.it di proprietà di una nota banca online che opera a livello internazionale, purtroppo da una rapida analisi scopriamo che non hanno registrato un record SPF e quindi il messaggio non è stato bloccato. 
    dig ingdirectitalia.it TXT
; <<>> DiG 9.10.3-P4-Ubuntu <<>> ingdirectitalia.it TXT
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 41050
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0
;; QUESTION SECTION:
;ingdirectitalia.it.        IN    TX
;; AUTHORITY SECTION:
ingdirectitalia.it.    3600    IN    SOA    dns1.fastweb.it. dnsmaster.fastweb.it. 2015121001 10800 900 604800 86400
;; Query time: 1133 msec
;; SERVER: 127.0.1.1#53(127.0.1.1)
;; WHEN: Wed Jun 01 07:10:48 CEST 2016
;; MSG SIZE  rcvd: 95
  • L’indirizzo a cui punta il collegamento inizia con http://www.chebanca.it che ad una lettura superficiale potrebbe anche far credere che si tratti dell’indirizzo giusto, mentre invece il vero dominio è: thearborist.co.nz

Infine un’ultima considerazione, nelle intestazioni possiamo trovare che il messaggio è stato spedito da uno script php:

X-PHP-Originating-Script: 0:ch3.php

Il furto di identità è ancora una pratica molto diffusa e le campagne di Phishing quotidiane. Un incidente di sicurezza causato dalla perdita di credenziali di accesso può produrre danni economici più ingenti rispetto al BitCoin solitamente necessario per acquistare la chiave di decrittazione per un ransomware (acquisto che continuiamo a sconsigliare perchè significherebbe incrementare le disponibilità economiche e la motivazione dei gruppi che sviluppano e diffondono ransomware).

L’unico modo per risparmiare è dotarsi di un antispam efficace in grado di bloccare i messaggi più pericolosi.

Logo_Esva

LibraESVA è la soluzione Italiana ai problemi di spam e phishing, in grado di ridurre drasticamente del 99,99% la presenza di messaggi di spam nelle nostre mailbox ed ridurre quasi a zero la presenza di malware negli allegati potendo effettuare la scansione con più motori antispam.

argonavislab

Argonavis é partner LibraESVA e può fornirti tutte le informazioni commerciali e tecniche per implementare LibraESVA e migliorare la sicurezza della tua infrastruttura ed in particolare della posta elettronica.

Richiedi Informazioni

1 Giugno 2016

Vecchie licenze non attivano funzione Anti-Cryptor

Abbiamo già parlato della nuova funzionalità anti-Cryptor sui prodotto per proteggere i File Server Windows di KasperskyLAB.

Le nuove funzionalità introdotte in Kaspersky Security 10 for Windows Server (Anti-Cryptor, Applications Launch Control, and Untrusted Hosts Blocking) sono automaticamente abilitate con le chiavi generate dopo il 1° aprile 2016

anti-cryptor disabilitato

Per poter attivare Anti-Cryptor con una licenza emessa prima del 1 aprile è necessario installare una specifica patch su ciascun server in cui è installato il prodotto:

  • http://media.kaspersky.com/utilities/CorporateUtilities/critical_fix_lic_(kb12662)_x64.zip
  • http://media.kaspersky.com/utilities/CorporateUtilities/critical_fix_lic_(kb12662)_x86.zip

La distribuzione della patch può essere fatta installandola localmente sul server in cui è installato il prodotto oppure tramite un task di installazione remoto.

Creazione del task

Dal menù laterale, aprire Remote Installation, cliccare su Installation packages e cliccare su Create installation package

creazione_task

 

 

premere sul bottone Create installation package for a Kaspersky Lab application

creazione_task

dopo aver dato un nome al task, scaricare il file della patch, decomprimerlo e selezionare il percorso in cui si trova.

Aggiungere nel campo: Executable file command line il paramentro /qn

creazione_task

Nota: Applications Launch Control non è disponibile nella licenza Select.

argonavislab

Argonavis è a vostra disposizione per fornirvi ulteriori informazioni su aspetti tecnici e commerciali, ed illustrarvi la convenienza nel proteggere i vostri sistemi con la tecnologia Kaspersky.

Richiedi Informazioni

12 Maggio 2016

Rilasciata Patch E per Kaspersky Security Center 10 Service Pack 1

E’ stata rilasciata la Patch E per Kaspersky Security Center 10 Service Pack 1.kaspersky

Patch E è disponibile per:

  • Patch per Administration Console (patch_10_2_434_console_e.zip) che deve essere installata su i computer in cui è installata la Administration Console senza Administration Server.
  • Patch per Network Agent (patch_10_2_434_nagent_e.zip) sui computer gestiti in cui è installato il Network Agent senza Administration Server.
  • Patch per Administration Server (patch_10_2_434_server_e.zip) per i computer su cui è installato Administration Server. Questa patch include l’aggiornamento anche per Administration Console e Network Agent.

Patch E è cumulativa ed include gli aggiornamenti già rilasciati nelle patch А, patch B, patch C, e patch D.
Dopo che la patch E è stata installata la versione di alcuni file diventerà 10.2.2019, mentre la versione mostrata dalla Administration Console, rimarrà 10.2.434.

Fra le correzioni introdotte in questa Patch, si evidenziano la correzione di alcuni errori che potevano causare il blocco di Administration Console ed Administration Server ed errori di connessione fra Network Agent e Administration Server.

argonavislabArgonavis dispone di tutte le competenze per supportarti al meglio a livello tecnico e commerciale contattaci per rendere il più efficace possibile la tua protezione.

Richiedi Informazioni

11 Maggio 2016

Angler Exploit Kit per diffondere i ransomware

Si è sempre considerato che il vettore di infezione per eccellenza dei ransomware fosse un allegato di posta elettronica, la realtà invece è decisamente peggiore.

La cattiva notizia è che è possibile infettarsi con un ransomware semplicemente aprendo una pagina web che è stata compromessa.

E’ stato documentato che alcuni fra i più temuti ransomware come TeslaCrypt vengano veicolati utilizzando Angler Exploit Kit.

 Angler Exploit Kit sfrutta le vulnerabilità note per infettare le macchine ed eseguire operazioni malevole sulle vittime, incluso il drive-by download, che permette di scaricare ed eseguire sul computer della vittima un altro malware.

La pericolosità di questo Kit è facilmente comprensibile quando si elencano alcune delle applicazioni interessate dalle vulnerabilità sfruttate: Adobe Flash Player, Microsoft Silverlight, Java. Applicazioni che vengono eseguite sulla maggior parte dei computer.

La diffusione del ransomware tramite questo Exploit Kit avviene prima andando ad infiltrare un sito web con degli javascript o dei file di adobe flash.

Quando il sito web (detto landing page) viene visitato dall’utente, se le applicazioni soffrono delle vulnerabilità che il kit riesce a sfruttare, avviene l’infezione tramite il malware Bedep che effettua il download del ransomware.

Il miglior modo per prevenire questi attacchi è provvedere ad installare regolarmente gli aggiornamenti delle applicazioni, e questa è una nota dolente nella sicurezza informatica.

Più o meno la maggior parte dei computer installa le patch per il sistema operativo, windows update svolge questa funzione, ma quasi nessuno lo fa per le applicazioni esponendosi a rischi concreti.

4 Maggio 2016

Integrity Check per i prodotti Kaspersky Endpoint Security

Purtroppo a volte può accadere che alcuni malware danneggino in qualche maniera il funzionamento del software antimalware, in maniera molto fine, in modo da risultare a tutti gli effetti perfettamente funzionante, ma in realtà rendendolo incapace di intercettare alcune minacce.

L’attività Integrity Check per i prodotti Kaspersky Endpoint Security serve a verificare che tutti i moduli del software antimalware siano perfettamente funzionanti e non presentino delle compromissioni.

La creazione del task è similare alla creazione di qualsiasi altra attività:

  1. Si seleziona un gruppo e si apre il tab “Task”
  2. Si preme il pulsante “Create Task”
  3. Si assegna un nome al task che andiamo a creare
    kas_integrity_1
  4. Si seleziona la versione del prodotto Kaspersky da verificare ed il relativo task di Integrity Check
    kas_integrity_2
  5. Si seleziona la frequenza di esecuzione del task
    kas_integrity_3
  6. Si conclude la creazione del Task

Il task di Integrity Check è presente per le versioni del prodotto:

  • Kaspersky Security 10 for Windows Server (Application Integrity Control)
  • Kaspersky Endpoint Security 10 Service Pack1 Maintenance Release 2 for Windows (Integrity Check)
  • Kaspersky Endpoint Security 10 Service Pack1 for Windows (Integrity Check)

Il suggerimento è di aggiornare la propria installazione ad una di queste versioni, ed effettuare periodicamente il controllo, in modo da poter essere tranquilli sulla reale protezione.

argonavislab

Argonavis è partner Kaspersky ed i suoi tecnici hanno conseguito le più importanti certificazioni sui prodotti KasperskyLab, potendo vantare anche la prestigiosa certificazione KSCC (massimo livello di certificazione).

Contattaci ed affida la protezione della tua azienda all’esperienza e competenza di KasperskyLAB ed Argonavis.

Richiedi Informazioni

26 Aprile 2016

Blog & News

Categorie