Monero: Kaspersky rileva un aumento di 2000 attacchi in due mesi

 

Tratto da BitMAT
Autore: Redazione BitMAT – 12/03/2021
 
 
Aumentano drasticamente le installazioni di applicazioni fake in cui si cela la criptovaluta Monero
 
 
Monero

 

Alla fine di gennaio gli esperti di Kaspersky hanno registrato un severo aumento di applicazioni fake. Sotto questo fenomeno si nascondeva la criptovaluta Monero che, i cybercriminali, hanno distribuito, tramite queste applicazioni, nei vari siti web.

Kaspersky è arrivata alla conclusione che è stata messa a punto una vera e propria campagna distruttiva, che ha avuto inizio già in estate e segnalata dai membri della community di sicurezza. La segnalazione riguardava la distribuzione, da parte dei criminali informatici, di miner nascosti in finti programmi di installazione di antivirus.

Durante la seconda ondata di attacchi nel 2021, l’installer XMRig ha assunto le sembianze di diverse nuove applicazioni, come gli ad blocker AdShield e Netshield e il servizio OpenDNS. Monero viene distribuito sfruttando i nomi di famose applicazioni legittime per sistemi mobile e tenta di apparire come un’equivalente versione per Windows. Quando l’utente avvia manualmente il programma, quest’ultimo cambia le impostazioni DNS sul dispositivo in modo che tutti i domini vengano risolti attraverso i server degli attaccanti.

Questi server, a loro volta, impediscono agli utenti di accedere a determinati siti antivirus, come Malwarebytes.com. Come payload finale, il pacchetto contiene il famigerato miner open-source XMRig.

Secondo quanto emerso dai dati raccolti attraverso il Kaspersky Security Network, fino all’inizio di febbraio 2021, gli attaccanti hanno tentato di installare, con Monero, app fake sui dispositivi di 21.141 utenti.

Numero di utenti attaccati tra agosto 2020 e febbraio 2021

Al culmine della campagna, sono stati attaccati più di 2.500 utenti al giorno, la maggior parte dei quali localizzati in Russia e nella Comunità degli Stati Indipendenti.

Le soluzioni di Kaspersky per difendersi da Monero, rilevano le minacce precedentemente descritte con i seguenti nomi:

• Trojan.Win64.Patched.netyyk
• Trojan.Win32.DNSChanger.aaox
• Trojan.Win64.Miner.gen
• HEUR:Trojan.Multi.Miner.gen

17 Marzo 2021

Phishing: attenzione alle false email provenienti dall’OMS

Tratto da BitMAT
Autore: Redazione BitMAT – 08/10/2020
 
 
Phishing: attenzione alle false email provenienti dall'OMS
 

I criminali informatici hanno ampiamente sfruttato l’emergenza sanitaria che negli ultimi mesi ha occupato le prime pagine di tutti i media, utilizzandola più volte come esca per diffondere numerosi malware. La strategia è stata spesso quella di nascondere i malware all’interno di documenti falsi sulla diffusione del coronavirus. Molti venivano diffusi come allegati di una mail contenenti le istruzioni su come proteggersi dal virus. In realtà, questi file contenevano diverse minacce tra cui Trojan e worm, in grado di distruggere, bloccare, modificare o copiare i dati, oltre ad interferire con il funzionamento dei computer o delle reti di computer. In questi giorni i ricercatori di Kaspersky hanno rilevato un’ulteriore minaccia che utilizza la stessa strategia. A fine settembre è stato rilevato uno schema di phishing che ha preso di mira gli utenti italiani. Circa 1.000 utenti italiani di soluzioni Kaspersky hanno ricevuto una mail, apparentemente inviata dall’OMS (Organizzazione Mondiale della Sanità) contenente una lettera in cui venivano indicate tutte le precauzioni da mettere in atto contro l’infezione.

La mail contiene in realtà un allegato dannoso attraverso il quale viene scaricato un Trojan: Trojan-Downloader.MSOffice.Agent.gen.

Phishing: attenzione alle false email provenienti dall'OMS

Tatyana Shcherbakova, security expert di Kaspersky ha dichiarato: “Abbiamo rilevato link simili in diverse lingue che sostenevano di contenere misure precauzionali emanate dall’OMS durante la prima ondata della pandemia. Dal momento che i tassi di infezione sono nuovamente in aumento, questo tipo di truffa è apparso nuovamente. L’OMS viene spesso utilizzata come esca per convincere le vittime che i documenti inviati siano legittimi”.

14 Ottobre 2020

Cyber spionaggio: rilevato un nuovo bootkit firmware

Tratto da BitMAT
Autore: Redazione BitMAT – 06/10/2020
 
Cyber spionaggio: rilevato un nuovo bootkit firmware
 
Alcuni cyber criminali hanno iniziato ad utilizzare un bootkit firmware, un malware osservato raramente, per condurre una nuova campagna APT di spionaggio. Il nuovo malware è stato rilevato dalla tecnologia di scansione UEFI / BIOS di Kaspersky, che rileva minacce note e sconosciute. La tecnologia di scansione ha identificato un malware precedentemente sconosciuto all’interno dell’Unified Extensible Firmware Interface (UEFI), una parte essenziale di ogni dispositivo informatico moderno. Il malware è difficile da rilevare e da rimuovere dai dispositivi infetti. Il bootkit UEFI utilizzato insieme al malware è una versione personalizzata del bootkit di Hacking Team emersa nel 2015.
 

Il firmware UEFI è una parte essenziale dei computer ed inizia a funzionare prima ancora del sistema operativo e di tutti i programmi installati sul pc. Se il firmware UEFI viene in qualche modo modificato per contenere un codice dannoso, questo codice verrà lanciato prima del sistema operativo, rendendo la sua attività potenzialmente invisibile alle soluzioni di sicurezza. Questa particolarità unita al fatto che il firmware stesso risiede su un chip flash separato dal disco rigido, rende gli attacchi contro UEFI difficili da rilevare e persistenti. L’infezione del firmware UEFI implica che, indipendentemente da quante volte il sistema operativo sia stato reinstallato, il malware impiantato dal bootkit rimarrà sul dispositivo.

I ricercatori di Kaspersky hanno scoperto che un campione di questo malware è stato utilizzato in una campagna nella quale sono state implementate diverse varianti di un complesso framework modulare a più stadi denominato MosaicRegressor. Il framework è stato utilizzato per lo spionaggio e la raccolta di dati e con il malware UEFI è stato uno dei metodi di persistenza di questo nuovo malware precedentemente sconosciuto.

I componenti del bootkit UEFI rilevati erano basati sul bootkit ‘Vector-EDK’ sviluppato da Hacking Team e il cui codice sorgente è apparso in rete nel 2015. Il codice trapelato ha probabilmente permesso agli autori di costruire il proprio software senza grandi sforzi e con un rischio di esposizione ridotto.

Gli attacchi sono stati rilevati con l’aiuto di Firmware Scanner, incluso nei prodotti Kaspersky all’inizio del 2019. Questa tecnologia è stata sviluppata per rilevare in modo specifico le minacce che si nascondono nel BIOS della ROM, comprese le immagini del firmware UEFI.

Anche se non è ancora noto il vettore esatto dell’infezione che ha permesso agli aggressori di sovrascrivere il firmware originale UEFI, i ricercatori di Kaspersky hanno creato un’ipotesi sulla base di alcune informazioni trapelate da alcuni documenti di Hacking Team su VectorEDK. Queste informazioni suggeriscono, senza escludere altre opzioni, che le infezioni potrebbero essere state possibili attraverso l’accesso fisico alla macchina della vittima, in particolare con una chiavetta USB avviabile, contente una speciale utility di aggiornamento. Il firmware con patch faciliterebbe quindi l’installazione di un downloader di Trojan, ovvero un malware che consente di scaricare qualsiasi payload adatto alle esigenze dell’aggressore mentre il sistema operativo è attivo e funzionante.

Nella maggior parte dei casi, tuttavia, i componenti di MosaicRegressor sono stati consegnati alle vittime utilizzando misure molto meno sofisticate, come la consegna di spearphishing nascosto in un archivio insieme ad un file esca. La struttura a più moduli del framework ha permesso agli aggressori di nascondere il framework più ampio dall’analisi e di distribuire i componenti alle macchine prese di mira solo on demand. Il malware inizialmente installato sul dispositivo infetto è un Trojan-downloader, un programma in grado di scaricare ulteriori payload e altri malware. A seconda del payload scaricato, il malware potrebbe caricare o fare il download di file arbitrari da/verso URL arbitrari e raccogliere informazioni dalla macchina presa di mira.

Sono state individuate caratteristiche comuni a tutte le vittime identificate che hanno consentito ai ricercatori di stabilire che MosaicRegressor è stato utilizzato in una serie di attacchi mirati contro diplomatici e membri di ONG provenienti dall’Africa, dall’Asia e dall’Europa. Alcuni degli attacchi comprendevano documenti di spearphishing in lingua russa, mentre altri erano collegati alla Corea del Nord e utilizzati come esca per scaricare malware.

La campagna non è stata collegata con certezza a nessuno dei threat actor APT conosciuti.

“Sebbene gli attacchi UEFI presentino ampie opportunità per i theat actor, MosaicRegressor è il primo caso pubblicamente noto in cui un threat actor abbia utilizzato un firmware UEFI malevolo personalizzato in the wild. Gli attacchi precedentemente osservati in the wild avevano semplicemente riprogrammato un software legittimo (ad esempio LoJax), il che rende questo attacco in the wild il primo a sfruttare un bootkit UEFI personalizzato. Quanto rilevato dimostra che, anche se raramente e in casi eccezionali, gli attori sono disposti a fare di tutto per ottenere il massimo livello di persistenza sulla macchina di una vittima. I threat actor continuano a diversificare il loro toolset e a diventare sempre più creativi nei metodi scelti per prendere di mira le vittime. Lo stesso dovrebbero fare i fornitori di sicurezza per mantenere il vantaggio sui criminali informatici. Fortunatamente, la combinazione della nostra tecnologia e la conoscenza delle campagne attuali e passate che sfruttano firmware infetti ci aiuta a monitorare e riferire di futuri attacchi contro questi obiettivi”, ha commentato Mark Lechtik, senior security researcher del Global Research and Analysis Team (GReAT) di Kaspersky.

“L’utilizzo di un codice sorgente di terze parti trapelato e la sua personalizzazione in un nuovo malware avanzato ricorda nuovamente l’importanza della sicurezza dei dati. Una volta che il software – che si tratti di un bootkit, di un malware o di qualsiasi altra cosa – viene diffuso, i threat actor ottengono un vantaggio significativo. Gli strumenti resi disponibili senza limiti offrono loro l’opportunità di migliorare e personalizzare i loro toolset con pochi sforzi e minori possibilità di essere scoperti”, ha commentato Igor Kuznetsov, principal security researcher at Kaspersky’s GReAT.

Per difendersi da minacce come MosaicRegressor, Kaspersky raccomanda:

  • Fornire al team SOC l’accesso alla threat intelligence (TI) più aggiornata. Kaspersky Threat Intelligence Portal è un unico punto di accesso per la TI dell’azienda, e fornisce dati sugli attacchi informatici e molte informazioni raccolte da Kaspersky in 20 anni di esperienza sul campo.
  • Per la detection a livello endpoint, l’indagine e la remediation degli incidenti, implementare soluzioni EDR, come Kaspersky Endpoint Detection and Response.
  • Fornire ai dipendenti una formazione di base sulla cyber hygiene, poiché molti attacchi mirati iniziano sfruttando strategie di phishing o altre tecniche di ingegneria sociale.
  • Utilizzare un prodotto affidabile per la sicurezza degli endpoint come Kaspersky Endpoint Security for Business, in grado di rilevare l’uso del firmware.
  • Aggiornare regolarmente il firmware UEFI e utilizzare solo firmware di fornitori fidati.

6 Ottobre 2020

StrongPity un attacco APT interessato all’Italia

Il ricercatore di Kaspersky Lab, Kurt Baumgartner, ha evidenziato in una ricerca una woodpickerpericolosa minaccia chiamata: StrongPity. Si tratta di un malware utilizzato per effettuare attacchi persistenti (APT), utilizzati per rubare dati confidenziali.

Il malware StrongPity viene distribuito tramite gli installar opportunamente modificati di due applicativi utilizzati per la crittografia: WinRAR e TrueCrypt. L’utente alla ricerca di uno di questi software, durante la ricerca potrebbe imbattersi in un sito da cui fare il download che presenta la versione di uno di questi software alterata.

Conclusa l’installazione l’applicazione binocularsscelta funziona regolarmente, purtroppo però entra in funzione anche il meccanismo di controllo del malware che permette ai criminali informatici di aver il controllo completo del sistema, permettendo di rubare i contenuti dei dischi e inviare al target dei moduli aggiuntivi del malware per ottenere informazioni mirate in base al sistema target.

Il malware è stato distribuito a partire da maggio 2016 da un sito italiano di distribuzione di WinRAR. In questo caso gli utenti non venivano reindirizzati ad un sito che proponeva una versione modificata, ma ottenevano direttamente l’installer dannoso StrongPity dal sito distributore. In alcuni casi erano presenti dei domini che invertivano alcuni caratteri e che conducevano a siti malevoli da cui scaricare l’applicazione modificata.

Questo malware era diretto in particolare contro gli utenti italiani, con l’87% delle infezioni a livello mondiale.

Questo genere di malware è particolarmente difficile da scoprire, la macchina infetta non mostra sintomi di infezione, l’obiettivo di un attacco APT e rubare i dati in maniera persistente e sempre più mirata.

kaspersky-logo

I prodotti Kaspersky Lab individuano e rimuovono i componenti di StrongPity con i nomi: HEUR:Trojan.Win32.StrongPity.gen, Trojan.Win32.StrongPity.* ed altri nomi generici di infezione.

argonavislabArgonavis è a vostra disposizione per fornirvi ulteriori informazioni su aspetti tecnici e commerciali, ed illustrarvi la convenienza nel proteggere i vostri sistemi con le tecnologie più efficaci.

Richiedi Informazioni

11 Ottobre 2016

Komplex un nuovo malware per OS X

E’ stato individuato un nuovo malware costruito per colpire sistemi OS X e chiamato Komplex (Trojan.OSX.Sofacy.gen dal motore anti-malware Kaspersky per MAC)

Il malware è della famiglia dei Trojan, sembra essere legato al gruppo Sofacy, un gruppo di Cyber Spionaggio responsabile anche della recente diffusione di dati che proverebbero il ricorso al doping degli atleti americani impegnati alle olimpiadi provenienti dai server dell’agenzia internazionale per la lotta al doping, è stato costruito per sferrare attacchi mirati, rubando informazioni ed eseguendo comandi arbitrari sulla macchina infettata.

Il malware effettua dei controlli ed implementa tecniche di evasione dall’analisi euristica ed è in di accorgersi se viene eseguito in una sandbox.

Sofacy_1-500x391

Komplex scarica un’altro componente “dropper” e lo posiziona nella cartella “/tmp/content” (SHA256: 96a19a90caa41406b632a2046f3a39b5579fbf730aca2357f84bf23f2cbc1fd3).
Il componente “dropper” a sua volta installa in maniera persistente, inserendolo fra le applicazioni eseguite all’avvio del sistema operativo un terzo componente eseguibile reperibile nella cartella “/Users/<nome_utente>/.local/kextd” (SHA256:
227b7fe495ad9951aebf0aae3c317c1ac526cdd255953f111341b0b11be3bbc5), assieme ad un file di tipo plist posizionato in “/Users/<nome_utente>/com.apple.updates.plist”  (SHA256:
1f22e8f489abff004a3c47210a9642798e1c53efc9d6f333a1072af4b11d71ef) ed uno script che si occupa della persistenza del malware “/Users/<nome_utente>/start.sh” (SHA256:
d494e9f885ad2d6a2686424843142ddc680bb5485414023976b4d15e3b6be800).

Come già avvenuto in passato il vettore di penetrazione sfruttato da questo malware è la posta elettronica.

Il messaggio virato contiene un solo allegato in forma di pacchetto eseguibile che a sua volta contiene il codice cifrato del malware, gli script e un documento in formato PDF.

Quando viene aperto l’allegato, il codice del malware carica e apre un documento PDF. L’utente ritiene che il risultato della sua operazione sia congruo, si aspettava di aprire un allegato e così è stato, non immaginando che invece ha installato un malware sul proprio sistema.

Questo genere di malware, il trojan è molto insidioso, il sistema vittima di questo attacco non ha una sintomatologia che gli permetta di capire che è stato attaccato, tuttavia questi malware lasciano delle porte aperte ai criminali che sono riusciti ad installarlo.

Tramite il server Command & Control possono rubare dati presenti sul sistema e scaricare file aggiuntivi sulla macchina in modo da poter eseguire comandi di shell arbitrari, il cui risultato viene inviato come risposta al server C&C

La prevenzione in questi casi è fondamentale, sono necessari un ottimo sistema antispam ed un ottimo antimalware.

Logo_Esva

LibraESVA è fra i migliori antispam, grazie al sistema di filtraggio basato su 14 stadi di scansione, i 3 motori antimalware disponibili, il sistema sandbox per l’analisi dei collegamenti è in grado di filtrare il 99,97% dei messaggi di spam, con un tasso di falsi positivi quasi assenti.

kaspersky-logo

Kaspersky Endpoint Security for Business è disponibile anche per sistemi MAC, ed è già in grado di bloccare questa minaccia. Logiche commerciali hanno trasmesso il concetto che i sistemi OS X fossero esclusi dalla minaccia dei malware, purtroppo la realtà è differente, pur non essendo diffusi come per altre piattaforme, i malware esistono anche per OS X, proteggersi è una reale esigenza.

argonavislabArgonavis è a vostra disposizione per fornirvi ulteriori informazioni su aspetti tecnici e commerciali, ed illustrarvi la convenienza nel proteggere i vostri sistemi con le tecnologie più efficaci.

Richiedi Informazioni

 

30 Settembre 2016