Secondo il CERT del DHS (PDF) americano gli impianti industriali critici sono molto vulnerabili ad attacchi di malware basati su chiavette USB.
I supporti di memorizzazione USB sono una parte molto vulnerabile della sicurezza delle organizzazioni perché coinvolgono l’interazione degli utenti, i quali possono essere manipolati in vari modi, dal social engineering alla mera corruzione.
(altro…)Ci sono dei portatili, come quello che avevo prima, con lettori di smart card incorporati.
In alcuni contesti le smart card sono utilizzate come token di sicurezza per l’autenticazione a due fattori, quindi il servizio Smart Card di Windows è necessario.
Ci sono però anche dei virus, come Shylock, che verificano se è attivo il servizio di gestione delle Smart Card; se non è attivo Shylock non si installa. Il nome di questo malware deriva ddall’omonimo personaggio del Mercante di Venezia di Shakespeare, in quanto ogni variante contiene una citazione dell’opera.
Per partire Shylock ha bisogno che il servizio delle Smart Card sia attivo, che la memoria fisica sia almeno 256 Mb di RAM e che ci siano almeno 12 Gb liberi su una partizione. Ci manca solo che chieda di accettare una EULA quando si installa.
Secondo F-Secure il motivo per cui Shylock verifichi la presenza del servizio di gestione delle Smart Card è da collegare al fatto che le macchine virtuali utilizzate per analizzare i malware spesso non hanno attivo quel servizio perché non hanno l’emulazione di un hardware simile.
Bisogna anche rilevare che Shylock avrebbe come obbiettivo l’ambiente finanziario, un contesto in cui è abbastanza diffuso l’utilizzo delle carte a microprocessore come strumento di identificazione.
Si avvicina il Natale, che porta con sé innumerevoli messaggi di posta elettronica inutili con allegate immagini oppure programmi che installano malware.
L’ultima notizia riguarda un messaggio di posta elettronica che sembra provenire da Vodafone U.K. che contiene l’avviso del presunto recapito di un messaggio MMS.
Come è successo in altri casi, è facile supporre che, se questo scherzetto avrà seguito oltre Manica, potrebbero diffondersi alternative in altre lingue o con altri operatori telefonici.
Al solito, se non avete delle SIM del presunto operatore telefonico che vi starebbe scrivendo, è difficile che abbiate ricevuto un MMS; inoltre diffidate sempre di mail sgrammaticate o con errori grossolani. (via Naked Security)
Melissa è un macro virus di Word che ha infettato la Rete nella primavera del 1999.
Tredici anni dopo Melissa torna sui nostri vostri schermi sotto forma di un malware molto subdolo.
La nuova Melissa non si replica inviando se stessa ai primi 50 contatti di Outlook. Questo nuovo malware a base sessuale non è dannoso per le vittime come il Sex Ladies che ha causato qualche problema agli utenti Macintosh nel 1988.
All’apparenza, la Melissa del 2012 vuole solamente mostrarvi le sue grazie dopo che voi avete risolto alcuni CAPTCHA, e qui casca l’asino, o, meglio, il porco.
Quello che volgarmente chiamiamo “progetto SETI” è in effetti un nome collettivo che identifica tutta una serie di attività volte alla ricerca di vita senziente nello spazio.
Una grande parte di questa ricerca è fatta, come tutti ben sapete, tramite l’analisi dello spettro elettromagnetico, in particolare utilizzando radiotelescopi per la rierca di segnali che potrebbero indicare, non una trasmissione dovuta a qualche fenomeno naturale, ma un messaggio codificato indice appunto di una trasmissione artificiale.
Da qui il passo è breve, nell’immaginario collettivo, alla ricerca di un vero messaggio spedito da una civiltà aliena verso la Terra.
Per quanto la scienza sia ancora lontana dallo scoprire un tale messaggio, la fantascienza abbonda di esempi a riguardo.
A partire dai semplici messaggi di saluto, fino ad arrivare alla spedizione di veri e propri progetti verso di noi per farci costruire o sintetizzare qulcosa che, nei racconti di fantascienza, finisce inevitabilmente per procurarci diversi grattacapi.
Questa appunto è fantascienza e nessuno crede veramente che gli alieni ci possano spedire qualche importante informazione, tanto meno mandare un virus nei nostri computer e conquistare la Terra senza muoversi dai loro terminali nella Galassia di Andromeda.
Infatti, Indipendence Day è solo un film e nessuno crede veramente alla possibilità di collegarsi a un sistema informativo alieno e contaminarlo con la semplicità con cui stabilivamo una connessione dial-up a internet negli anni ’90. (altro…)
La famiglia dei malware creati ad arte per portare attacchi mirati saluta Gauss (Trojan.Win32.Gauss), l’ultimo arrivato del gruppo.
Gauss è stato realizzato sulla stessa piattaforma di Flame e condivide con Stuxnet (edizione 2010) il modulo di propagazione via USB.
Questo malware è stato realizzato a metà del 2011, rilasciato pochi mesi dopo ed è stato identificato come tale nel giugno del 2012.
L’analisi di Gauss è ancora in corso, quindi le informazioni non sono ancora complete, Kaspersky ha pubblicato un documento tecnico con le informazioni disponibili (HTML, PDF).
(altro…)ESET ha scoperto un nuovo malware che si basa su AutoCAD.
Il software è scritto in AutoLISP e pare che si sia diffuso a partire dal Perù in altre nazioni di lingua spagnole del sud America ed è stato battezzato Medre, che in spagnolo significa prosperare.
Le versioni di AutoCAD interessate sono quelle dalla 14.0 alla 19.2.
Lo scopo del malware potrebbe essere lo spionaggio industriale; il virus si propaga modificando lo script di startup di AutoCAD e invia i file di AutoCAD al C&C.
Ulteriori dettagli tecnici sul malware si trovano su ACAD/Medre.A 10000‘s of AutoCAD Designs Leaked in Suspected Industrial Espionage. (via GFI)
Il MAHER ha annunciato di aver scoperto un nuovo tipo di malware che avrebbe preso di mira alcuni Paesi dell Medio Oriente.
La scoperta è supportata dalla notizia che i laboratori di Kaspersky sono stati contattati dall’ITU per identificare un malware fino ad allora sconosciuto.
L’analisi del malware è appena all’inizio e richiederà molto tempo dal momento che quando è completamente installato raggiunge la dimensione di 20 Mb. Queste sono le caratteristiche note fin’ora:
I laboratori di ricerca di Kaspersky stanno analizzando il payload di Duqu e non riescono a capire con che linguaggio sia stato scritta una parte del malware.
Ogni compilatore, infatti, lascia una sorta di impronta di riconoscimento nel codice binario che crea e una parte di Duqu sembra essere stata realizzata con un compilatore diverso da quelli noti.
La parte esterna della DLL è un normale eseguibile PE realizzato con Visual Studio 2008, ma il modulo di connessione al C&C e di download di eventuali altre parti del malware non presenta i tratti tipici dei compilatori noti.
Dalle analisi di Kaspersky il linguaggio sorgente è con ogni probabilità un linguaggio ad oggetti che comunicano tra loro attraverso metodi, code di chiamate differite e callback; inoltre non sembrano esserci chiamate a librerie di runtime, ma vengono invocate direttamente le API di Windows.
Ulteriori e più tecnici dettagli sono qui, se qualcuno vuole contribuire può farlo lasciando un commento alla pagina.
Aggiornamento del 19/3/2012 – Il problema è stato risolto: quella parte è stata scritta utilizzando un’estensione custom a oggetti del C chiamata “OO C” e compilata con Microsoft Visual Studio Compiler 2008 utilizzando particolari opzioni di ottimizzazione.
Questa pagina contiene un video di un’oretta in cui Ralph Langner espone la prova inconfutabile che STUXNET sia stato fatto per colpire le installazioni iraniane.
La presentazione si basa sul payload di STUXNET che il team di Langner ha isolato, decrittato, decompilato, decodificato e, infine, correlato con il presunto obiettivo del malware.
Le operazioni sono state complicate dal fatto che parte del materiale su cui opera STUXNET è classificato.
Il risultato, comunque è notevole: grazie anche alle foto propagandistiche del sito Internet del presidente iraniano è stato possibile dimostrare che STUXNET è stato realizzato espressamente per colpire quell’installazione.
Due note di colore: il numero 6 sembra essere molto ricorrente nel codice di STUXNET e spesso la voce di Langner ricorda molto quella di Londo Mollari 🙂
Il Laboratory of Cryptography and System Security (CrySyS) ungherese ha scoperto che la routine di installazione di Duqu sfrutta una vulnerabilità non corretta del kernel di Windows.
Duqu utilizza un documento Word creato ad arte che riesce a caricare un driver del kernel sfruttando un baco non corretto; il driver carica, quindi, una DLL in Services.exe per avviare l’installazione di Duqu nel computer vittima dell’attacco. La compilazione del driver secondo l’header PE sarebbe avvenuta il 21/02/2008 alle 06:14:47.
La vulnerabilità non è di Word, ma del kernel, quindi questo vettore di attacco potrebbe essere sfruttato in altri modi, finché Microsoft non decide di correggere questo problema.
Secondo un’analisi di McAfee, il sistema appena descritto sarebbe già stato presente in Stuxnet.
Sophos riporta che Microsoft sta lavorando per correggere il problema del kernel. Sempre secondo Redmond [PDF], il loro sistema di pulizia dal malware non residente (il Malicious Software Removal Tool distribuito ogni mese con Windows Update) non ha rilevato alcun 0-day, ma sono dati che lasciano il tempo che trovano, in quanto il tool non è aggiornato come gli antivirus residenti e viene spesso ignorato dagli utenti.