Roma - I ricercatori di ESET hanno scovato una nuova minaccia per sistemi macOS, un attacco pensato per distribuire il trojan ad accesso remoto (RAT) OSX/Proton attraverso un player multimediale apparentemente legittimo. Il software è stato in realtà compromesso dai cyber-criminali, e non si sa per quanto tempo sia andata avanti al distribuzione della release a base di malware.

I cracker hanno abusato del lettore multimediale Elmedia Player, realizzato da Eltima, violando i server dell'azienda e integrando una variante del RAT Proton sulle versioni recenti del software. Al momento il numero di sistemi infetti è incerto ma ESET dice di aver comunicato la presenza del malware il 19 ottobre; Eltima ha prontamente risposto ripulendo i server dalle release compromesse. Elmedia Player era un obiettivo alquanto appetibile per i cyber criminali in quanto ha recentemente festeggiato il traguardo del milione di utenti.Proton costituisce una minaccia potenzialmente molto pericolosa, visto che il RAT è in grado di comunicare all'esterno informazioni importanti sull'host infetto come i dettagli sull'OS, i dati del browser (password incluse), le chiavi SSH private eventualmente presenti sul sistema e molto altro ancora. Ulteriore funzionalità del trojan è poi quella che permette di scaricare ed eseguire ulteriori software malevoli.I server di Eltima rappresentano la nuova vittima di un malware che ha già fatto parlare di sé nei mesi scorsi, quando i server di un altro popolare tool (HandBrake) sono stati compromessiper diffondere il RAT Proton. La violazione dei server per distribuire codice malevolo non è poi certo una gran novità, visti i tanti casi emersi in tempi recenti sia per OS X (Transmission) che per sistemi Windows (CCleaner).

Copyright

Venerdì, 27 Ottobre 2017 11:38

Brasile, la carica dei trojan bancari

 

Roma - Stando a quanto sostiene Check Point Softwarelo scenario delle minacce informatiche brasiliano sta conoscendo una fase di sviluppo preoccupante: se in passato i trojan bancari del Paese erano progettati per agire tramite meccanismi in qualche modo basilari, i nuovi trend evidenziano una crescita in quanto a complessità tecnica che potrebbe avere effetti anche in ambito globale.

La security enterprise si riferisce in particolare a una minaccia identificata a maggio del 2017, un allegato malevolo distribuito attraverso e-mail spazzatura scritte in portoghese con lo scopo di indurre l'utente a visitare una pagina remota infetta da cui scaricare un file JAR.

Una volta arrivato sul sistema bersaglio, l'applet JAVA contenuto nel file avvia il processo di installazione del trojan bancario vero e proprio. A infezione avvenuta, il malware stabilisce una connessione remota con il server dei cyber-criminali, mettendo al contempo sotto controllo le attività dell'utente sul sistema infetto.

I ricercatori non erano fin qui riusciti ad analizzare in dettaglio il comportamento del codice malevolo perché il malware faceva uso del codice di compressione "Themida", ma ora che anche questo ostacolo è stato superato la nuova minaccia ha svelato le sue caratteristichegrazie al lavoro degli analisti.

L'interazione del malware con il sistema infetto prevede dunque il monitoraggio delle attività dell'utente, allertando il server di comando&controllo quando viene eseguito il login su un servizio finanziario. A quel punto il malware visualizza una falsa schermata di autenticazione, cosa che permette il furto delle credenziali di accesso e che viene infine camuffata con un falso messaggio di errore precompilato.

Una volta compromesse le credenziali di accesso - ed eventualmente il meccanismo di autenticazione a doppio fattore della banca - dice Check Point, i cyber-criminali possono agire indisturbati prelevando il denaro dal conto dell'utente.

Copyright

Venerdì, 27 Ottobre 2017 11:28

Android, in test il protocollo DNS over TLS

Roma - In questi giorni Google sta lavorando per introdurre il supporto al protocollo DNS over TLS all'interno del suo sistema operativo mobile, al fine di cifrare il traffico generato dalle richieste relative alla risoluzione dei domini Internet e Intranet.

Il supporto di questo protocollo, quindi, è una sorta di quadratura del cerchio: nel caso in cui venga abilitato, per un eventuale attaccante sarà impossibile visionare le richieste DNS effettuate per associarle ad un determinato utente, una problematica già risolta da diversi anni per quanto riguarda il protocollo HTTP, attraverso l'analogo standard HTTP over TLS (HTTPS).

Il commit che implementa il supporto allo standard è stato caricato lo scorso luglio su uno dei branch master dell'Android Open Source Project, mentre quelli relativi all'abilitazione del protocollo - per mezzo di un parametro globale e/o delle opzioni sviluppatore - sono stati caricati solo nei giorni scorsi. Di conseguenza, questi cambiamenti non sono presenti all'interno di Android 8, mentre potrebbero essere inclusi nel prossimo major upgrade o nella prossima release.È importante considerare che DNS over TLS non va a risolvere le problematiche di sicurezza note relative al protocollo DNS tradizionale; inoltre, è richiesto che il provider DNS utilizzato sia concorde nell'utilizzo del nuovo protocollo, altrimenti il traffico continuerà ad essere trasmesso in chiaro. Infine, le informazioni di navigazione saranno visibili sempre e comunque al provider di servizi Internet.

Copyright

Venerdì, 27 Ottobre 2017 11:24

NowISeeYou, ethical hacking all'italiana

nowiseeyou

 

Si chiama NowISeeYou e secondo i suoi autori rappresenta "il primo e più rilevante privacy hacking basato sulle immagini". Autori dello studio sono Federico Ziberna e Claudio Cavalera, ricercatori italiani indipendenti, che evidenziano i rischi connessi all'uso di fotografie "reali" o altri avatar riconoscibili sui servizi di messaggistica istantanea più popolari.

Stando a quanto sostengono i ricercatori, il tipo di attacco da loro ideato potrebbe infatti coinvolgere "gran parte" degli utenti di WhatsApp e Viber, con l'identificazione dell'identità "reale" di un utente dei suddetti servizi di IM accanto al numero di telefono usato sul networkIl sistema ideato da Ziberna e Cavalera prevede prima di tutto il download di una "quantità illimitata" di avatar degli account IM, immagini da cui è poi possibile estrapolare chiavi di ricerca rilevanti inclusi quelle estrapolabili con gli algoritmi di riconoscimento facciale come etnia, età, sesso e altro.In questo modo, dicono gli autori, è potenzialmente possibile "collegare il numero di telefono di uno sconosciuto qualunque ad una persona reale" - e tutto grazie all'uso degli avatar usati sui network di IM.

Suggestivo e degno di nota lo scenario tratteggiato dai ricercatori per spiegare l'utilità del loro lavoro: "possediamo uno schedario di milioni di foto. Di queste la gran parte presentano il volto di una persona. Avete presente i vecchi film in cui la polizia cerca il criminale paragonando la sua foto a quelle contenute nel loro schedario? ecco: solo che nowiseeyou ha il vantaggio che su ogni foto del suo schedario c'è appiccicato il numero di telefono del criminale...".

Una delle conseguenze potenziali dell'abuso di avatar è l'attacco che i ricercatori chiamano "voodoo doll exploit", uno scenario in cui un malintenzionato fa una foto a una persona qualsiasi (magari in spiaggia) e poi si serve del tool di NowISeeYou per verificare la presenza dell'avatar nel suo database per risalire al numero di telefono della "vittima".

Copyright

Venerdì, 27 Ottobre 2017 11:12

LokiBot, nuovo trojan bancario per Android

LokiBot ransomware

Roma - I ricercatori di SfyLabs hanno individuato una nuova minaccia classificata come LokiBot, un trojan bancario per gadget Android che all'occorrenza prova a far paura all'utente trasformandosi in ransomware. Ma la routine di codifica dei file non funziona come dovrebbe e il malware può essere eliminato, per fortuna, direttamente dall'utente.

Il payload principale di LokiBot consiste nell'interferire nell'attività delle app bancarie legittime, con la visualizzazione di schermate di login fasulle ogni qualvolta l'utente avvia una delle succitate app per il furto delle credenziali di accesso.

LokiBot si differenzia dalla media dei trojan bancari per Android a causa di alcune caratteristiche avanzate come la capacità di visitare un URL tramite un proprio browser Web per installare un proxy SOCK5, la replica automatica agli SMS in entrata - meccanismo forse utile a inviare messaggi di spam ai contatti presenti in rubrica - la visualizzazione di notifiche fasulle simili a quelle presentate dalle app bancarie originali.Al momento i cyber-criminali offrono LokiBot sull'underground telematico con un costo di 2.000 dollari per licenza - da pagare naturalmente in Bitcoin. Il malware funziona sui terminali Android dalla versione 4.0 in su e necessita della concessione dei privilegi di amministratore durante l'installazione.

Qualora l'utente provasse a ritirare i suddetti privilegi precedentemente concessi, però, LokiBot mostra la sua seconda natura entrando in "modalità ransomware" con il blocco del terminale, la visualizzazione di una schermata di "allarme pedopornografia" fasulla con una richiesta del riscatto (100 dollari in Bitcoin entro 48 ore) piuttosto reale e la codifica dei file dell'utente tramite algoritmo AES128.

La codifica dei file non funziona però come dovrebbe, spiegano i ricercatori, visto che i file originali vengono cancellati ma poi sostituiti con una versione decodificata scritta immediatamente dal malware con nomi cambiati.

Anche considerando questo clamoroso svarione, in ogni caso, i criminali a cui si deve la creazione di LokiBot hanno messo in piedi un business non proprio fallimentare: al momento i portafogli virtuali indicati negli avvisi di riscatto contengono qualcosa come 1,5 milioni di dollari in Bitcoin.

Copyright

Pagina 1 di 20
Copyright © Xion Informatica S.n.c. - P. IVA 06455280963
Powered by Rubedo Marketing & Web Solution
Security by Ermeteus