Adware insidioso di Chrome

Questa mattina mi è capitato un caso di un malware abbastanza insidioso per Google Chrome, in questo caso per Windows.

Alla vittima si aprivano linguette di Chrome con finti avvisi di computer infetto e similari e pop-up modali JavaScript dello stesso tono.

Le ultime versioni di Kaspersky e AdwCleaner non riuscivano ad avere ragione del malware. Leggi tutto “Adware insidioso di Chrome”

Ransomware per Linux

Si chiama Linux.Encoder.1 il primo ransomware per Linux.

Il programma in questione (ma potrebbero uscire altre varianti in seguito) richiede privilegi amministrativi perché si demonizza prima di agire.

Sento già qualcuno dire «Allora io sono tranquillo» e mi permetto di rispondere «Un bel par di palle!» Leggi tutto “Ransomware per Linux”

Arginare CryptoLocker

È possibile ridurre (enfasi su ridurre) la possibilità che un attacco CryptoLocker o similare vada a buon fine.

Allo stato attuale gli attacchi avvengono principalmente eseguendo dei programmi (dropper) mascherati da fatture, rapporti di recapito di un vettore o altri documenti analoghi, la maggior parte delle volte compressi in uno ZIP allegato a sua volta ad un messaggio di posta elettronica. Leggi tutto “Arginare CryptoLocker”

Destover

Sembra che il malware che distrugge i dati sia tornato.

Dopo Cryptolocker si iniziano a vedere alcuni esempi di malware che sovrascrivono le aree dati vitali di un disco, rendendo il computer inutilizzabile.

Il fatto che molti computer attuali vengano venduti senza un disco di ripristino rende la cosa ancora più fastidiosa per realtà medio-piccole e per utenti privati. Veeam ha annunciato un software di backup di tipo disaster recovery gratuito per tutti i PC fisici, ma per ora è solamente annunciato o disponibile a pochi per il beta testing. Esistono sicuramente altri prodotti anche gratuiti, ma il problema per gli utenti finali e le realtà piccole e medie è fare i backup, verificarli e mantenerli aggiornati.

Destover sembra essere il malware utilizzato per attaccare Sony e trafugare documenti riservati e le copie di alcuni film.

Come fa notare il report di Kaspersky, Destover appartiene alla categoria dei malware che distruggono i dati dei computer dopo aver copiato quello che interessa; il danno arriva fino al Master Boot Record (MBR), quindi in caso di attacco è necessario avere a disposizione un supporto per il ripristino totale del computer oppure un backup disaster recovery. Leggi tutto “Destover”

Quanto vale un computer hackerato?

Norton Antivirus 4.0Mikko Hyppönen ha spiegato che il malware viene scritto principalmente per tre motivi: soldi, attivismo politico e lotta tra Stati.

Spesso le persone che non seguono le vicende della parte oscura di Internet non riescono a capire come un computer infetto possa valere dei soldi. La risposta breve è: mercato.

Una regola fondamentale dell’economia dice che il prezzo si forma con l’incontro tra domanda e offerta, quindi ci devono essere delle organizzazioni criminali disposte a pagare del danaro per assumere il controllo di un computer senza che il possessore o l’amministratore lo sappia.

Ernest J. Hilbert di Kroll ha stimato quanto possa essere il valore in termini di somma di risparmi e potenziali profitti per i malviventi per alcune tipologie di utilizzi fraudolenti. Leggi tutto “Quanto vale un computer hackerato?”

Operation Windigo

Più di 500.000 computer e 25.000 server compromessi, incluso il server di kernel.org, e oltre 700 server ancora infetti in questo momento.

Sono alcuni dei numeri di un rapporto pubblicato da ESET (PDF) sull’operazione Windigo, un’azione su larga scala che ha interessato piattaforme di ogni tipo.

Questa è più o meno la scansione degli eventi:

  • agosto 2011: il server di kernel.org viene compromesso (tornerà online in ottobre);
  • novembre 2011: Steinar Gunderson pubblica la prima analisi tecnica di Linux/Ebury, un trojan che colpisce i server ssh;
  • febbraio 2013: cPanel denuncia che alcuni suoi server sono stati infettati da Linux/Ebury; il CERT tedesco inizia ad avvertire alcune vittime del medesimo trojan;
  • aprile 2013: Sucuri pubblica la prima analisi tecnica di Linux/Cdorked, una backdoor che colpisce Apache, Nginx e lighttpd;
  • giugno 2013: viene trovato un nesso tra Linux/Ebury e Linux/Cdorked; l’analisi di frammenti di traffico rivela che Linux/Ebury ha infettato oltre 7.500 server;
  • luglio 2013: viene scoperto Perl/Calfbot, legato ai due malware di cui sopra;
  • settembre 2013: l’analisi del traffico rivela che Linux/Cdorked genera oltre un milione di ridirezioni in due giorni;
  • ottobre 2013: l’analisi del traffico rivela che oltre 12.000 server sono infettati da Linux/Ebury;
  • gennaio 2014: l’analisi del traffico di un C&C di Perl/Calfbot rivela che il bot genera 35 milioni di messaggi al giorno.

Leggi tutto “Operation Windigo”

Ransomware e backup

CHIUSO / CLOSEDDopo quasi dieci anni durante i quali i vari tipi di malware non distruggevano i dati, il ransomware ha riportato in auge un vecchio tema di lotta contro i vari tipi di malware.

Il ransomware è quel tipo di software ostile che blocca in qualche modo l’accesso ai file degli utenti per chiedere poi un riscatto (ransom).

Lo scorso anno CryptoLocker è diventato relativamente famoso e in quattro mesi di vita ha già fatto moltissime vittime. Negli ultimi giorni è stato annunciato Prison Locker (originale su Pastebin), un nuovo tipo di ransomware che cripta ogni tipo di file accessibile di un’installazione Windows, con l’eccezione degli eseguibili e dei file di sistema.

Questa nuova famiglia di malware impone una revisione delle politiche di backup.

Leggi tutto “Ransomware e backup”

Ransomware “Guardia di Finanza”

FakeGdFIl finto ransomware della “Guardia di Finanza” è in giro da qualche anno.

Le prime versioni, come quella riprodotta a lato, erano credibili come una moneta da tre Euro, ma riuscivano comunque a bloccare il computer.

La seconda generazione si è fatta più furba: il loader del ransomware comunica con il C&C, il quale analizza l’IP pubblico della vittima e trasmette la schermata “giusta” in base alla nazione con la corretta forza di polizia. Questa generazione è anche abbastanza pericolosa perché dopo alcuni reboot cambia attributi e permessi di tutto il file system rendendo di fatto il computer inutilizzabile se non dopo la reinstallazione del sistema operativo.

Una versione che mi è capitata tra le mani un mese fa attiva la webcam del portatile e mostra quello che viene acquisito in un riquadro della schermata della presunta autorità di polizia: in pratica l’utente vede il proprio faccione nel finto mandato di sequestro. Un tocco di perversa genialità, bisogna ammetterlo.

La versione che ho visto questa sera da un cliente fa in modo che se si avvia il computer (un Windows 7 Home in questo caso) in modalità provvisoria un programma in avvio automatico lancia un immediato reboot del sistema operativo.

Il trucco è per fortuna aggirabile avviando Windows in modalità provvisoria con la sola interfaccia a riga di comando, in questo modo non vengono eseguiti i programmi in avvio automatico di Explorer. Dalla shell a riga di comando si esegue EXPLORER, che avvia la shell grafica, ma senza eseguire i programmi in avvio automatico. Da lì si può togliere il ransomware con ComboFix o programmi analoghi.

Il caso Hetzner

HetznerOggi pomeriggio Hetzner, il servizio che ospita anche il server su cui gira Siamo Geek, ha avvisato che alcuni dei suoi server sono stati compromessi.

Secondo le prime analisi, sarebbe stata trafugata una parte del database degli utenti utilizzati per collegarsi al sistema di gestione dei server, sono state pubblicate anche delle FAQ in merito.

La compromissione sarebbe stata causata da una backdoor creata da un programma che gira in RAM e non modifica gli eseguibili. Ricorda qualcosa questa definizione? Da qualche decennio lo chiamiamo virus e da qualche decennio lo combattiamo con una famiglia di programmi nota come “antivirus”, quei programmi che si caricano all’avvio e tengono d’occhio il sistema per impedire che altri programmi facciano quello che non dovrebbero.

Ecco che chi si credeva al sicuro solo perché usava un determinato sistema operativo e un metodo basato sulle checksum dei binari si scopre improvvisamente vulnerabile ad un attacco portato con una delle più vecchie forme di malware.

Probabilmente (ma è un’ipotesi azzardata) Selinux avrebbe potuto mitigare il danno, oppure l’ha mitigato. Sto facendo un po’ di test sulla mia pelle (il server casalingo) con Selinux, appena ho qualcosa di concreto arriva un articolo.

Nel frattempo, giova ancora una volta ricordare che nessuno è al sicuro per il solo fatto di utilizzare un sistema operativo piuttosto che un altro.

Ecco a cosa servono gli antivirus

I professionisti dell’informatica consigliano sempre di installare un buon antivirus e di tenerlo aggiornato.

Altre persone, che appartengono alla stessa categoria dei 60 milioni di CT della nazionale e 60 milioni di Presidenti del Consiglio, dicono che non serve e snocciolano queste sapienti motivazioni:

  • i virus sono scritti dalle ditte di antivirus;
  • non ho nulla da proteggere;
  • me l’ha detto mio cuggggino che è stato trasferito da poco al reparto computer e telefoni di $società_della_GDO e, quindi, ne capisce;
  • io capisco a sensazione quando il mio PC è infetto senza bisogno di antivirus; [i “tennici sensitivi” sono i più divertenti, NdLR]
  • è troppo caro;
  • mi rallenta il PC;
  • io sono più furbo dei virus;
  • il mio computer è inattaccabile perché ho $sistema_operativo_diverso_da_Windows e i virus li fanno solo per Windows (me l’ha detto mio cugggino che eccetera eccetera).

Ieri BBC e New York Times hanno dato la notizia di un attacco di DDoS contro Spamhaus nell’ambito di una guerra di malviventi contro chi li blocca. Il grosso dall’attacco sarebbe stato un traffico generato contro Spamhaus di 300 Gb al secondo; immaginate ogni due secondi il contenuto di un migliaio di CD-ROM lanciato contro i server di Spamhaus.

Leggi tutto “Ecco a cosa servono gli antivirus”

Il virus è stato rimosso, ma cosa rimane?

101 112 1Quando un software di protezione rileva un programma con intenzioni poco simpatiche lo rimuove e, se istruito per farlo, notifica l’utente, il quale, soddisfatto per l’azione, continua a lavorare sicuro perché c’è un software che lo protegge.

Come spesso accade nei film [b]hollywoodiani che cercano una sorpresa che non sorprende più nessuno, quando il cattivone prende una raffica di pallottole in faccia, dopo 5 minuti si scopre che è tutto fuorché morto.

Leggi tutto “Il virus è stato rimosso, ma cosa rimane?”

La complessità del malware

È stata percorsa molta strada dal primo worm di sendmail, dai primi virus o dai primi spyware.

Come illustrato da Mikko Hypponen, adesso il malware viene scritto essenzialmente per tre ragioni: danaro, attivismo politico e attacchi tra Stati.

VRT ha pubblicato un’interessantissima analisi di un malware ben nidificato. Si tratta di un exploit che sfrutta un integer overflow per eseguire del codice arbitrario utilizzando un’immagine TIFF creata ad arte codificata base64, che viene creata al momento da un codice JavaScript hex encoded in altro codice JavaScript che è incorporato in un XML compresso a sua volta all’interno di un file PDF.

Ci si potrebbe chiedere come mai sia lecito incorporare codice JavaScript in un XML a sua volta incorporato in un formato di definizione della pagina. Purtroppo il formato PDF è nato come un’idea di Adobe di rendere ubiquo il PostScript, ma ha raccolto a bordo negli anni ogni tipo di contenuto. Un’idea, che poteva sembrare interessante ad alcuni, si è rivelata una pericolosa breccia nella sicurezza di moltissimi computer grazie a visualizzatori scritti non esattamente con la sicurezza come luce guida.

Questo è il motivo per cui molti enti della nostra Pubblica Amministrazione accettano che vengano caricati solamente PDF/A.

Questo piccolo esempio dimostra che il malware si può annidare in ogni tipo di file il cui sistema di visualizzazione è prono ad attacchi o contiene vulnerabilità. È, quindi, sempre opportuno aggiornare i vari programmi di visualizzazione e i sistemi antivirus perché i disagi teorici che potrebbero conseguire da un aggiornamento di versione sono sicuramente inferiori ai problemi concreti che derivano da un visualizzatore di cui sono note le vulnerabilità.

Porte USB per l’ingresso di malware

New USB device found... Found Airbus A330... Installing drivers...Secondo il CERT del DHS (PDF) americano gli impianti industriali critici sono molto vulnerabili ad attacchi di malware basati su chiavette USB.

I supporti di memorizzazione USB sono una parte molto vulnerabile della sicurezza delle organizzazioni perché coinvolgono l’interazione degli utenti, i quali possono essere manipolati in vari modi, dal social engineering alla mera corruzione.

Le ultime versioni di Windows, da Vista in avanti, sono meno prone a questi tipi di attacchi e permettono agli antivirus di analizzare i supporti inseriti prima che questi vengano passati alla shell utente, ma XP non ha strutturalmente questa possibilità.

Leggi tutto “Porte USB per l’ingresso di malware”

Disabilitare il servizio Smart Card, se non serve

Ci sono dei portatili, come quello che avevo prima, con lettori di smart card incorporati.

In alcuni contesti le smart card sono utilizzate come token di sicurezza per l’autenticazione a due fattori, quindi il servizio Smart Card di Windows è necessario.

Ci sono però anche dei virus, come Shylock, che verificano se è attivo il servizio di gestione delle Smart Card; se non è attivo Shylock non si installa. Il nome di questo malware deriva ddall’omonimo personaggio del Mercante di Venezia di Shakespeare, in quanto ogni variante contiene una citazione dell’opera.

Per partire Shylock ha bisogno che il servizio delle Smart Card sia attivo, che la memoria fisica sia almeno 256 Mb di RAM e che ci siano almeno 12 Gb liberi su una partizione. Ci manca solo che chieda di accettare una EULA quando si installa.

Secondo F-Secure il motivo per cui Shylock verifichi la presenza del servizio di gestione delle Smart Card è da collegare al fatto che le macchine virtuali utilizzate per analizzare i malware spesso non hanno attivo quel servizio perché non hanno l’emulazione di un hardware  simile.

Bisogna anche rilevare che Shylock avrebbe come obbiettivo l’ambiente finanziario, un contesto in cui è abbastanza diffuso l’utilizzo delle carte a microprocessore come strumento di identificazione.

 

Non avete ricevuto alcun MMS

Albero addobbatoSi avvicina il Natale, che porta con sé innumerevoli messaggi di posta elettronica inutili con allegate immagini oppure programmi che installano malware.

L’ultima notizia riguarda un messaggio di posta elettronica che sembra provenire da Vodafone U.K. che contiene l’avviso del presunto recapito di un messaggio MMS.

Come è successo in altri casi, è facile supporre che, se questo scherzetto avrà seguito oltre Manica, potrebbero diffondersi alternative in altre lingue o con altri operatori telefonici.

Al solito, se non avete delle SIM del presunto operatore telefonico che vi starebbe scrivendo, è difficile che abbiate ricevuto un MMS; inoltre diffidate sempre di mail sgrammaticate o con errori grossolani. (via Naked Security)

Listino prezzi russo

Minuetto MD11Trend Micro ha pubblicato un’analisi dell’attività criminale russa legata al malware, spam e assimilati.

La creazione di malware o l’hacking di siti o email è passata da qualcosa di goliardico ad una vera e propria attività legata alla criminalità organizzata.

Alcuni siti russi, citati nella pubblicazione, mettono a disposizione una serie di servizi illegali a fronte del pagamento di un corrispettivo.

Ovviamente l’acquisto di questi servizi è illegale tanto quanto la fornitura dei medesimi; il listino prezzi dà però un’idea di quanto possa costare ad un attaccante una determinata attività illegale.

Leggi tutto “Listino prezzi russo”

Il ritorno di Melissa

Melissa è un macro virus di Word che ha infettato la Rete nella primavera del 1999.

Tredici anni dopo Melissa torna sui nostri vostri schermi sotto forma di un malware molto subdolo.

La nuova Melissa non si replica inviando se stessa ai primi 50 contatti di Outlook. Questo nuovo malware a base sessuale non è dannoso per le vittime come il Sex Ladies che ha causato qualche problema agli utenti Macintosh nel 1988.

All’apparenza, la Melissa del 2012 vuole solamente mostrarvi le sue grazie dopo che voi avete risolto alcuni CAPTCHA, e qui casca l’asino, o, meglio, il porco.

Leggi tutto “Il ritorno di Melissa”

Fantascienza, ma non troppo…

Quello che volgarmente chiamiamo “progetto SETI” è in effetti un nome collettivo che identifica tutta una serie di attività volte alla ricerca di vita senziente nello spazio.
Una grande parte di questa ricerca è fatta, come tutti ben sapete, tramite l’analisi dello spettro elettromagnetico, in particolare utilizzando radiotelescopi per la rierca di segnali che potrebbero indicare, non una trasmissione dovuta a qualche fenomeno naturale, ma un messaggio codificato indice appunto di una trasmissione artificiale.

Da qui il passo è breve, nell’immaginario collettivo, alla ricerca di un vero messaggio spedito da una civiltà aliena verso la Terra.
Per quanto la scienza sia ancora lontana dallo scoprire un tale messaggio, la fantascienza abbonda di esempi a riguardo.
A partire dai semplici messaggi di saluto, fino ad arrivare alla spedizione di veri e propri progetti verso di noi per farci costruire o sintetizzare qulcosa che, nei racconti di fantascienza, finisce inevitabilmente per procurarci diversi grattacapi.

Questa appunto è fantascienza e nessuno crede veramente che gli alieni ci possano spedire qualche importante informazione, tanto meno mandare un virus nei nostri computer e conquistare la Terra senza muoversi dai loro terminali nella Galassia di Andromeda.
Infatti, Indipendence Day è solo un film e nessuno crede veramente alla possibilità di collegarsi a un sistema informativo alieno e contaminarlo con la semplicità con cui stabilivamo una connessione dial-up a internet negli anni ’90. Leggi tutto “Fantascienza, ma non troppo…”

Gauss

Babbage's Difference EngineLa famiglia dei malware creati ad arte per portare attacchi mirati saluta Gauss (Trojan.Win32.Gauss), l’ultimo arrivato del gruppo.

Gauss è stato realizzato sulla stessa piattaforma di Flame e condivide con Stuxnet (edizione 2010) il modulo di propagazione via USB.

Questo malware è stato realizzato a metà del 2011, rilasciato pochi mesi dopo ed è stato identificato come tale nel giugno del 2012.

Leggi tutto “Gauss”

Malware basato su AutoCAD

by Renzo PianoESET ha scoperto un nuovo malware che si basa su AutoCAD.

Il software è scritto in AutoLISP e pare che si sia diffuso a partire dal Perù in altre nazioni di lingua spagnole del sud America ed è stato battezzato Medre, che in spagnolo significa prosperare.

Le versioni di AutoCAD interessate sono quelle dalla 14.0 alla 19.2.

Lo scopo del malware potrebbe essere lo spionaggio industriale; il virus si propaga modificando lo script di startup di AutoCAD e invia i file di AutoCAD al C&C.

Ulteriori dettagli tecnici sul malware si trovano su ACAD/Medre.A 10000‘s of AutoCAD Designs Leaked in Suspected Industrial Espionage. (via GFI)